法規資訊
| 法規名稱 | 中華民國證券商業同業公會資通系統安全防護基準自律規範 |
| 發佈日期 | 民國112年10月6日 |
| 沿革資訊 | 中華民國112年10月6日中華民國證券商業同業公會中證商業一字第1120005429號函修正發布第6條條文,自公告日起實施(中華民國112年10月2日金融監督管理委員會金管證券字第1120357170號函辦理) |
所有條文
-
第8條 (系統與通訊保護)
-
一、核心系統透過網際網路及內部網路傳輸個人或機敏資料應採用加密傳輸機制,以防止未授權之資訊揭露或偵測資訊之變更(傳輸過程中如有替代之實體保護措施者,則無需採加密傳輸機制)。
-
二、如有國際傳輸客戶個人機敏資料時,證券商應建立加密傳輸機制,當涉及客戶資訊,傳輸前應告知取得當事人授權且不違反主管機關對國際傳輸之限制,並留存完整稽核紀錄。外國證券商如為同集團內之傳輸,其間傳輸方式已符合所在國當地的法令規定,得排除國際傳輸之規定。
-
三、加密機制應使用公開、國際機構驗證且未遭破解之演算法。
-
四、加密機制之金鑰或憑證應定期更換。
-
五、加密機制宜支援演算法最大長度金鑰。
-
六、加密機制於伺服器端之金鑰保管宜訂定管理規範及實施應有之安全防護措施。
-
七、第一類證券商核心系統重要組態設定檔案及其他具保護需求之資訊應加密或以其他適當方式儲存。
-
八、加解密程式或具變更權限之公用程式(如資料庫工具程式)應列管並限制使用,防止未經授權存取並保留稽核軌跡。