-
-
一、就雲端服務委外作業,期貨業對雲端服務提供者負有最終監督義務,應落實定期對雲端服務提供者之查核,宜依風險基礎方法規劃查核頻率、查核內容、時間及方式,並得視需要委託專業第三人以輔助其監督作業,且應遵循「期貨商作業委託他人處理應注意事項」之規定辦理。對於具重大性之境外雲端委外服務,要求應每年至少辦理一次查核。
-
二、期貨業應確保其本身、主管機關、同業公會及其指定之人能取得雲端服務提供者執行作業之相關資料或報告,包括客戶資訊及相關系統之查核報告,並進行查核。
-
三、涉及重大性之雲端委外作業者,對雲端服務之查核重點項目宜包含:
-
(一)雲端服務所在機房之實體安全控管機制。
-
(二)雲端服務提供者處理作業相關之重要系統及控制環節。
-
(三)盡職調查過程中雲端服務提供者所提供之報告內容。
-
(四)雲端平台資料刪除與災難復原流程。
-
(五)雲端服務提供者之營運持續性控制措施。
-
(六)雲端服務作業內容執行之妥適性並符合相關國際資訊安全標準及隱私保護標準。
-
四、應持續追蹤雲端服務提供者之查核改善情形,確保其採取適當和及時之替代性措施。
-
五、外國期貨商在臺分(子)公司經由總(母)公司或經其授權之區域總部複委託第三方提供雲端服務之情形,可援用其總(母)公司或經其授權之區域總部負責統籌辦理並提供第三方查核報告。