電子支付機構應盤點與資訊安全相關法規規定,並將相關資訊安全要求與內部控制制度結合,定期進行法令遵循自評,以確保資訊安全之法令遵循性。
本辦法所訂之資訊系統及安全控管項目,電子支付機構應透過內部控制制度進行定期檢核,並應於依本條例第十條申請許可時及其後每年四月底前,由會計師進行檢視,提出資訊系統及安全控管作業評估報告。
前項評估報告內容應至少包含評估人員資格、評估範圍、評估時所發現之缺失項目、缺失嚴重程度、缺失類別、風險說明、具體改善建議及社交演練結果,且應送稽核單位進行缺失改善事項之追蹤覆查。該報告應併同缺失改善等相關文件至少保存二年。
為確保交易資料之隱密性及安全性,並維持資料傳輸、交換或處理之正確性,主管機關於必要時,得要求電子支付機構提高資訊系統標準及加強安全控管作業。