法規資訊
| 法規名稱 | 中華民國期貨業商業同業公會「期貨業資通系統與服務供應鏈風險管理自律規範」 |
| 發佈日期 | 民國114年3月14日 |
| 沿革資訊 | 中華民國114年3月14日中華民國期貨業商業同業公會中期商字第1140001132號函修正第2條至第5條、第7條條文,自即日起施行(中華民國114年3月12日金融監督管理委員會金管證期字第1140334351號函辦理) |
所有條文
-
第4條 (期貨業與資訊服務供應商之合約)
-
一、期貨業與資訊服務供應商之合約內容應依服務範圍的不同,宜包含下列各項:
-
(一)基本要求
-
1.合約期限。
-
2.服務範圍。
-
3.服務交付日期。
-
4.服務水準要求(如為一年期以上提供性質者,如:軟硬體維護合約、系統委外管理等,資訊服務供應商應依合約要求,定期提交服務水準報告)。
-
5.服務變更規範。
-
6.服務驗收之標準。
-
7.資通安全事件通報及應變處理作業程序。(含當發生資安事故時,受託廠商應主動、即時或於時限要求內通知委託人)。
-
8.對資訊服務供應商之稽核權條款。
-
9.合約轉讓或同意分包之規範。
-
10.保密義務條款。
-
11.罰則與損害賠償條款。
-
12.爭議處理程序。
-
13.違約處理條款。
-
14.合約終止規範。
-
15.合約終止後之處理。
-
16.保固。
-
17.權利及責任。
-
-
(二)期貨業與資訊服務供應商之服務與產品應載明事項:
-
1.載明資訊委外服務或產品之智慧財產權及其授權範圍。
-
2.資訊服務供應商如分包予其他供應商應載明(異動亦同)。
-
3.應載明資訊服務供應商配合進行壓力測試及調整服務負載量之義務,並於市場交易量、業務變化及客戶屬性等發生顯著異動時發動辦理,俾憑評估系統資源調配或擴增。
-
4.第一類期貨商應載明採購之服務與產品於規劃設計時納入服務與產品之機敏資料保護、授權與認證、安全性更新等。
-
5.第一類期貨商應載明採購之服務與產品於規劃設計時納入隱私保護機制(Privacy by design)之要求。
-
-
(三)資訊服務供應商服務範圍涉及資通系統開發、維護與監控,應遵循「本公會資通系統安全防護基準自律規範」。
-
(四)服務範圍涉及使用雲端服務,資訊服務供應商應遵循「本公會新興科技資通安全自律規範」。
-
(五)資訊服務供應商之資安應符合下列要求:
-
1.資訊服務供應商應遵循之資安要求事項、個人資料保護法與其他相關法規遵循與保密義務。
-
2.資訊服務供應商應提供安全性檢測證明(如行動應用程式資安檢測、源碼檢測、弱點掃描等),並應確保交付之系統或程式無惡意程式及後門程式,其放置於網際網路之程式應通過程式碼掃描或黑箱測試。
-
3.資訊服務供應商揭露第三方程式元件之來源與授權證明。
-
4.資訊服務供應商處理期貨業委託服務各項範圍資訊,能於期貨業要求期限內提供。
-
5.資通(訊)服務供應商於處理期貨業資料應有明確區隔,並應予以加密保護。
-
6.期貨業應載明要求資訊服務供應商於知悉存有任何潛在問題和危害(如:於其他客戶端發生重大系統異常),且其可能影響受託業務時,立即通知期貨業並採取相關補救措施。
-
7.期貨業應載明資訊服務供應商在應用程式上線前應完整測試。交易主機應設立備援機制,並禁止於開盤前及開盤期間進行系統更新及下載,避免客戶端發生重大系統異常。
-
8.第一類期貨商之資訊服務供應商應提供取得之資安及品質證照。
-
-
-
二、期貨業應於簽約程序中確認資訊服務供應商保密切結事宜。
-
三、資訊服務供應商發生資安事件致期貨業受到影響時,資訊服務供應商的處置程序及責任。