法規資訊

法規名稱 中華民國期貨業商業同業公會「雲端服務運作安全自律規範」 (現行法規)
發佈日期 民國115年3月27日
沿革資訊 中華民國115年3月27日中華民國期貨業商業同業公會中期商字第1150001309號函訂定全文11條,自即日起施行(中華民國114年12月26日中華民國期貨商業同業公會第8屆理監事第3次聯席會決議通過、中華民國115年3月25日金融監督管理委員會金管證期字第1140369318號函辦理)

所有條文

  1. 第1條 (目的)
  1. 中華民國期貨業商業同業公會(以下簡稱本公會)為強化期貨業對雲端服務的管理與應用,特訂定本自律規範。
  1. 第2條 (雲端服務相關定義)
  1. 一、雲端服務:透過網路技術達成共享運算資源之前提下,提供使用者具備彈性、可擴展及可自助之服務(如:IaaS(基礎架構即服務)、PaaS(平台即服務)、SaaS(軟體即服務))。
  2. 二、雲端服務提供者:係指提供雲端服務之業者,以及透過雲端平台對客戶提供應用軟體服務、工具或解決方案之業者。
  3. 三、風險基礎方法(Risk Based Approach, RBA):期貨業應確認、評估及瞭解其使用雲端服務之風險,採取適當控制措施,以有效降低此類風險。
    依該方法,期貨業對於較高風險情形應採取加強措施,對於較低風險情形,則可採取相對簡化措施,以有效分配資源,並以適當且有效之方法,降低經其確認之使用雲端服務風險。
  4. 四、互通性:係指系統或資料可從原本受委託之雲端服務提供者,移轉至其他雲端服務提供者或移回期貨業。
  5. 五、重大性:應參考「期貨商作業委託他人處理應注意事項」之定義。
  1. 第3條 (雲端服務適用範圍)
  1. 一、本自律規範適用之範圍,以期貨業對於涉及營業執照所載業務項目或客戶資訊之相關作業委外,並涉及使用雲端服務者,應符合本自律規範控管建議。
  2. 二、期貨業如於非屬前項範圍使用雲端服務者,得參照本自律規範控管採納必要之雲端服務資安控管。
  3. 三、外國期貨商在臺分(子)公司,如委外作業涉及雲端服務,且係透過總(母)公司辦理者,得依其所訂之管控措施辦理,但不得低於本自律規範之要求。外國期貨商在臺分(子)公司仍應就其在臺業務建立妥適內部控制制度及風險管理機制,充分掌握對在臺作業涉及雲端委外事項之控管情形。
  1. 第4條 (雲端服務治理制度與風險管理)
  1. 一、期貨業使用雲端服務應建立使用雲端服務治理制度,規劃並確認以下事項:
    1. (一)應制定雲端服務管理政策,至少每年檢視一次。
    2. (二)應明確專責單位及相關單位對雲端服務使用之角色權責與責任劃分,專責單位應包含雲端財務、成本或資源管理之角色。
    3. (三)應針對雲端服務採取風險基礎方法評估潛在風險與管理風險議題,評估項目宜包含:
      1. 1、雲端服務使用模式與情境;
      2. 2、雲端服務所涉及之業務與資料;
      3. 3、期貨業對於雲端服務可用性與互通性之要求;
      4. 4、期貨業對於雲端服務之管理能力與經驗。
    4. (四)使用雲端服務與控管其風險事項應注意風險適度分散,惟採取多雲或其他分散策略時,應同時考量營運複雜性提升之風險。
    5. (五)如將作業項目委託至境外處理,應評估雲端服務提供者之客戶資料處理地及其儲存地之資料保護法規,不得低於我國要求。如有高風險之情形者,期貨業應採行妥適之風險控管措施。
    6. (六)期貨業應針對使用雲端服務之風險建立適當監控機制,如:監控雲端資源負載、安全防護與服務可用性,以健全業務持續性運作。
  2. 二、董事會應認知及監督期貨業使用雲端服務之風險,確保期貨業對於控管雲端服務風險事項具備充足之資源、專業及權限。外國期貨商在臺分公司,得由總公司或經其授權之區域總部負責及辦理。
  3. 三、應確保期貨業相關人員具備應有之專業知識與技能,於使用雲端服務期間定期辦理人才教育訓練並驗證教育訓練之有效性,訓練內容可包含資訊安全、風險認知和雲端知識技能等議題,以提升人員對雲端服務導入、使用及管理之能力,並能以風險基礎方法做出適當之決策與監督。
  1. 第5條 (雲端服務提供者選擇與盡職調查)
  1. 一、期貨業應依所使用之雲端服務模式,對雲端服務提供者執行盡職調查及定期審查程序,評估雲端服務提供者之服務水準、備援機制、資料銷毀機制、資源邏輯區隔機制、日誌留存機制、資通安全防護能力、資通安全事件通報責任管理、業務持續運作與災難復原能力、受託業務之專業知識與資源、財務健全、內部控制及符合法規要求等項目是否可符合需求若有不符合需求之處,應考量其他補償性措施。
  2. 二、委由雲端服務提供者處理之資料,期貨業應保有完整所有權,除執行受託作業外,應確保雲端服務提供者不得有存取客戶資料之權限,並不得為委託範圍以外之利用。
  3. 三、期貨業為確保於服務結束時,可將系統遷移或資料遷出雲端服務,應評估雲端服務提供者可滿足下列雲端互通性和可移植性需求:
    1. (一)雲端服務提供者可提出應用程式及資訊處理之互通性與可移植性需求說明文件供期貨業參考。
    2. (二)雲端服務提供者使用業界常見之虛擬化平台、虛擬機檔案格式、資料檔案格式,以確保互通性。
    3. (三)雲端服務若涉及應用程式介面存取服務,雲端服務提供者宜使用開放或已公開之應用程式介面(API),以確保應用程式元件可以較容易地轉移。
  4. 四、外國期貨商在臺分(子)公司經由總(母)公司或經其授權之區域總部複委託第三方提供雲端服務之情形,得援用其總(母)公司或經其授權之區域總部負責統籌辦理並提供雲端服務業者之盡職調查及定期審查報告。
  1. 第6條 (雲端服務查核)
  1. 一、就雲端服務委外作業,期貨業對雲端服務提供者負有最終監督義務,應落實定期對雲端服務提供者之查核,宜依風險基礎方法規劃查核頻率、查核內容、時間及方式,並得視需要委託專業第三人以輔助其監督作業,且應遵循「期貨商作業委託他人處理應注意事項」之規定辦理。對於具重大性之境外雲端委外服務,要求應每年至少辦理一次查核。
  2. 二、期貨業應確保其本身、主管機關、同業公會及其指定之人能取得雲端服務提供者執行作業之相關資料或報告,包括客戶資訊及相關系統之查核報告,並進行查核。
  3. 三、涉及重大性之雲端委外作業者,對雲端服務之查核重點項目宜包含:
    1. (一)雲端服務所在機房之實體安全控管機制。
    2. (二)雲端服務提供者處理作業相關之重要系統及控制環節。
    3. (三)盡職調查過程中雲端服務提供者所提供之報告內容。
    4. (四)雲端平台資料刪除與災難復原流程。
    5. (五)雲端服務提供者之營運持續性控制措施。
    6. (六)雲端服務作業內容執行之妥適性並符合相關國際資訊安全標準及隱私保護標準。
  4. 四、應持續追蹤雲端服務提供者之查核改善情形,確保其採取適當和及時之替代性措施。
  5. 五、外國期貨商在臺分(子)公司經由總(母)公司或經其授權之區域總部複委託第三方提供雲端服務之情形,可援用其總(母)公司或經其授權之區域總部負責統籌辦理並提供第三方查核報告。
  1. 第7條 (雲端服務供應鏈管理)
  1. 一、雲端服務委外作業之供應鏈管理事項,應參酌「期貨業資通系統與服務供應鏈風險管理自律規範」辦理。
  2. 二、如涉及重大性自然人客戶業務資訊系統委託由雲端服務提供者處理,契約或協議應包括委外作業移轉至其他雲端服務提供者或移回期貨業之情況,原雲端服務提供者有關系統遷移、資料處理之義務,及雲端服務提供者服務中斷之賠償責任。
  3. 三、契約或協議內容如無法符合本條第一項及第二項要求,應採取適當評估,並依風險規劃替代措施,以確保對雲端服務提供者之最終監督義務之執行。
  1. 第8條 (雲端服務資安控管)
  1. 期貨業使用雲端服務應依風險基礎方法採取適當之控管措施,如:僅開放必要連接埠(Port)、通訊協定(Protocols)與服務(Service)、病毒防護、安全漏洞評估機制、檔案完整性監控等。
    1. 一、加密與金鑰管理
      1. (一)傳輸及儲存客戶資料至雲端服務提供者時,應採行客戶資料加密或代碼化等有效保護措施,並訂定妥適之加密金鑰管理機制。
    2. 二、身分識別與存取控制
      1. (一)雲端服務存取權限管理應採權限最小化原則,輔以適當安全控管措施,如:透過多因子認證、稽核軌跡、IP地址過濾、防火牆,以及傳輸層安全性(TLS)封裝的通訊管理。
      2. (二)若透過網際網路直接存取雲端服務者,應強化身分、設備與來源IP識別等存取控制措施。
      3. (三)應針對特權帳號實施多因子身份驗證機制,如:具備調整雲端服務組態設定權限之帳號。
    3. 三、稽核軌跡與監控
      1. (一)應留存雲端服務平台操作之稽核軌跡與監控資料。
      2. (二)應有威脅與弱點檢測及管理流程,持續關注雲端服務相關威脅與弱點,定期評估相關威脅與弱點對雲端服務使用之影響及網路安全防禦措施之有效性。
      3. (三)宜針對雲端安全事件場景制定監控與分析之關聯規則,以即早發現潛在資安風險。
      4. (四)宜考量集中管理稽核軌跡與監控資料。
      5. (五)應避免雲端平台之稽核軌跡內容含有未加密之營運或客戶重要資料。
      6. (六)如期貨業之雲端服務係採與其地端資訊環境介接之雲地混合模式,宜考量雲地間邊際防護,並建立日誌與監控分析相關機制。
    4. 四、基礎架構安全
      1. (一)應確保採用可信任來源之映像檔,管理映像檔之完整性,並保留映像檔異動紀錄。
      2. (二)應確保採取適當措施管理使用中的虛擬機和容器。
      3. (三)應確保雲端服務提供者依據需求,提供虛擬機隔離性(isolation)說明,隔離性失效時應立即通知期貨業。
      4. (四)應實施資料外洩、跨服務攻擊防護及持續性威脅防護等進階威脅防禦策略,以保護對雲端環境的存取。
    5. 五、組態安全
      應實施雲端服務組態管理機制,妥善管制對雲端服務組態之變更紀錄。
    6. 六、資料安全
      1. (一)涉及期貨業資料(含客戶資料)之登錄、處理、輸出或儲存時,期貨業應確認雲端服務提供者辦理設備維護更換時(如硬碟更換),具備相關機制可確保資料遷移過程安全性及完整性,且須對汰換設備內之期貨業資料進行全數刪除或銷毀,並留存刪除或銷毀之紀錄。
      2. (二)涉及個人資料跨境傳輸之雲端服務,期貨業應建立加密傳輸機制且應就雲端服務提供者對客戶資訊之蒐集、處理、利用、國際傳輸及控管情形確認符合我國個人資料保護法相關規定,傳輸前應取得當事人授權且不違反主管機關對國際傳輸之限制,並留存完整稽核紀錄。
      3. (三)涉及委託雲端服務提供者處理之客戶資料及其儲存地應依下列規定辦理:
        1. 1、期貨業須保有其指定資料處理及儲存地之權力。
        2. 2、境外當地資料保護法規不得低於我國要求。
        3. 3、涉及重大性自然人客戶業務資訊系統之客戶資料儲存地以位於我國境內為原則。如位於境外,除經主管機關核准者外,客戶重要資料應在我國留存備份。
      4. (四)宜依據雲端服務使用之目的控管雲端服務存取方式。
    7. 七、涉及重大性之雲端委外作業,期貨業宜評估採行以下資安控管措施:
      1. (一)使用標準化的網路協定,如涉及敏感性資料之傳遞,宜使用超文字傳輸安全協定(HTTPS)、安全檔案傳輸協定(SFTP)等加密之網路協定。
      2. (二)定期評估雲端服務之基礎架構安全管理機制,以確保使用雲端服務符合期貨業資訊安全政策等相關規範要求。
      3. (三)使用自行管理之加密金鑰,以提升對金鑰的控制權。
      4. (四)加密工具及金鑰儲存於隔離且安全的網路環境,並限制存取來源。
      5. (五)避免使用營運資料執行雲端服務測試與驗證。
      6. (六)監控與定期查核雲端資料使用情形,預防客戶隱私及營運機密外洩。
  1. 第9條 (雲端服務持續性及退場管理)
  1. 一、期貨業應針對涉及雲端服務使用之資訊系統辦理營運衝擊分析,評估雲端服務之韌性及復原能力,並考量雲端服務所涉及資產、資源與資料所在位置,以及雲端服務提供者可提供之復原能力規劃營運持續管理計畫。
  2. 二、涉及重大性之雲端委外作業,期貨業規劃雲端服務營運持續之測試或演練計畫時,應以風險基礎方法,決定測試或演練執行頻率與方式。宜考量與雲端服務提供者共同合作擬訂建立使用雲端服務之營運持續測試或演練計畫,並得於情況允許下與雲端服務提供者進行聯合測試或演練。
  3. 三、期貨業應建立雲端資料備份機制,並留存備份清冊,備份媒體或檔案應妥善防護,確保資訊之可用性及防止未授權存取。
  4. 四、期貨業應建立使用雲端服務之資訊安全事件通報與管理機制。
  5. 五、期貨業應於採用雲端服務前,建立終止使用雲端服務之轉移策略及計畫,以確保終止或結束作業委託能順利移轉至另一雲端服務提供者或移回自行處理。
  6. 六、期貨業應確保終止委外契約或終止使用雲端服務時,刪除雲端服務提供者留存之資料(如虛擬機映像檔、儲存空間、快取空間、備份媒體、客戶資料或敏感資料),並要求雲端服務提供者出具資料完全刪除之證明。
  1. 第10條 (違規之處理)
  1. 期貨業違反本自律規範,依本公會會員自律公約及其他有關之規定辦理。
  1. 第11條 (附則)
  1. 本自律規範經本公會理事會通過,並報奉主管機關核備後實施,修正時亦同。
回上方