跳至主要內容
:::

加入資料夾:

條文內容

法規名稱: 電子支付機構資訊系統標準及安全控管作業基準辦法 EN
法規類別: 行政 > 金融監督管理委員會 > 銀行目
※歷史法規係提供九十年四月以後法規修正之歷次完整舊條文。
※如已配合行政院組織改造,公告變更管轄或停止辦理業務之法規條文,請詳見沿革
第 18 條
電子支付作業環境之網路管理應符合下列要求:
一、網路應區分網際網路、非武裝區(Demilitarized Zone;以下簡稱DMZ)、營運環境及其他(如內部辦公區)等區域,並使用防火牆進行彼此間之存取控管。機敏資料僅能存放於安全的網路區域,不得存放於網際網路及DMZ等區域。對外網際網路服務僅能透過DMZ進行,再由 DMZ 連線至其他網路區域。
二、電子支付作業環境與其他網路間之連線必須透過防火牆或路由器進行控管。
三、系統僅得開啟必要之服務及程式,使用者僅能存取已被授權使用之網路及網路服務。內部網址及網路架構等資訊,未經授權不得對外揭露。
四、應檢視防火牆及具存取控制(Access control list,ACL)網路設備之設定,至少每年一次;針對高風險設定及六個月內無流量之防火牆規則應評估其必要性與風險;針對已下線系統應立即停用防火牆規則。
五、使用遠端連線進行系統管理作業時,應使用足夠強度之加密通訊協定,並不得將通行碼紀錄於工具軟體內。
六、應管控內部無線網路之使用人員申請,不得於內部無線網路連線至電子支付作業環境,並應使用必要防護措施進行隔離。
七、經由網際網路連接至內部網路進行遠距之系統管理工作,應遵循下列措施:
(一)應審查其申請目的、期間、時段、網段、使用設備、目的設備或服務,至少每年一次。
(二)應建立授權機制,依據其申請項目提供必要授權,至少每年檢視一次。
(三)變更作業應加強身分認證,每次登入可採用照會或二項(含)以上安全設計並取得主管授權。
(四)應定義允許可連結之遠端設備,並確保已安裝必要資訊安全防護。
(五)應建立監控機制,留存操作紀錄,並由主管定期覆核。