iT邦幫忙

第 12 屆 iThome 鐵人賽

DAY 23
2
Security

資安裁罰案件分析系列 第 23

DAY 23 第二十一件裁罰案 金管會保險局裁罰對象:富邦人壽保險股份有限公司 裁罰日期:108/8/13

  • 分享至 

  • xImage
  •  

https://ithelp.ithome.com.tw/upload/images/20201007/20107482VfyfBnGKJ5.jpg

《有關資訊安全之違法事項:》
(一) 該公司網路e方便資料庫,未依內部規範將要保人之信用卡號、有效期限加密儲存,核與保險法第148條之3第1項授權訂定之「保險業內部控制及稽核制度實施辦法」第6條第1項第13款規定不符。

保險業內部控制及稽核制度實施辦法:
https://ithelp.ithome.com.tw/upload/images/20201007/201074822ZcbjtJRH9.jpg

(二)公司辦理應用系統開發、維護、安全檢測作業有欠妥適,漏洞風險評估及修補作業欠確實,核有礙健全經營之虞。
(三)公司辦理資料異動相關作業,對於有權登入資料庫變更資料者,因作業處理不當,致未傳送資料庫存取紀錄日報表供主管及相關人員覆核,核有礙健全經營之虞。
(四)該公司行動應用程式APP及網路投保系統之安全設計有欠妥適,核有礙健全經營之虞。
(五)該公司應用程式密碼安全性設計,有未依所訂內部規範設計之情事,核與保險法第148條之3第1項授權訂定之「保險業內部控制及稽核制度實施辦法」第6條第1項第13款規定不符。

《筆者分析》

有關該案的各項違法事項,筆者說明如下:
(一) 客戶的信用卡卡號及有效期限未加密處理:筆者認為可能原因是沒有用字元隱蔽,而直接明示的關係,如果有心人士進行側錄,那有客戶信用卡就有機會被盜刷,筆者建議,現在刷卡之後,銀行皆會通知消費資訊,有的透過簡訊,有的透過mail或line,總之,要核對一下消費資料,每個月帳單,也要核對一下明細,如果發現明細上有刷卡未成功,且當日未曾消費的情況的下,一定要跟發卡銀行再確認,如有需要更換新的信用卡,可請求重發卡片,避免卡片資料被破解或被盜用。
(二) 漏洞風險評估及修補作業欠確實:這部分無法得知其漏洞為何,但如果風險評估與金管會保險局的查核要求不一致時,還是要配合保險局的要求,由內部風控單位修正其風控辦法,並要求資訊單位修補漏洞。
(三)資料庫存取紀錄日報表:這張日報表應是公司內部表單,可能是在資料異動時候,會產出這張內控表單,這部分因單位主管未進行覆核(確認),所產生的一個內控缺失,除了主管機關會要求改正,稽核單位也會要求單位主管解釋流程上的問題。這部分屬企業內部控管的問題,筆者建議,這部分可以透過ERP系統控管,走電子簽核的模式,產出表單,也符合企業卡控的精神。
(四) 行動應用程式有安全問題:由近期案件來看,似乎保險業很多APP都有安全漏洞的問題,這部分是值得未來做討論的一個大主題,台灣好像有太多家企業,不只金融保險業,似乎都有應用程式或APP的安全問題,這值得注意與探討。
(五) 應用程式密碼安全性設計,有未依所訂內部規範設計之情事:由此點可知,設計人員可能不知道內規到底寫了甚麼,換句話說,部門內控歸內控,設計歸設計,設計人員沒有事先將部門要求標準了解,才會出現不符規定的狀況。這點部門主管也有責任,如果人員不知道規定,部門主管再覆核之時,也應該比人員更了解規定,並且告知人員要注意的地方,明顯沒盡到責任,可見得該部門的螺絲沒鎖太緊。

這五項雖有三項屬糾正案,然而內控缺失的部分一定會被罰,只要有違『內部控制及稽核制度』,大部分都會被開罰,畢竟是三道防線的最後一道防線,只要一違反,罰款一定不輕的,因此,本案一共被裁罰120萬元


上一篇
DAY 22 第二十件裁罰案 金管會保險局裁罰對象:友邦人壽保險股份有限公司 裁罰日期:108/8/16
下一篇
DAY 24 第二十二件裁罰案 金管會保險局裁罰對象:保誠人壽保險股份有限公司 裁罰日期:108/8/13
系列文
資安裁罰案件分析30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言