南山人壽一個月內 3 度遭罰,金管會今天表示,發現南山人壽電子商務系統業務存在 7 項資安、洗錢防制及內稽內控相關缺失,限一個月內改正,並開罰新台幣 240 萬元。
南山人壽在 4 月 18 日及 19 日,才接連因未徵得保戶同意,片面變更保費收取方式,以及投資國內股票未落實停損,並對匯兌風險缺乏積極改善措施,遭到金管會開罰;先吞下 600 萬元罰單,總經理停職半年,之後再被罰 180 萬元。如今不到一個月,又再度收到金管會處分。
金管會表示,南山人壽在辦理網路投保旅平險業務時,並未落實客戶姓名檢核,同時,針對網路投保個資複製到個人電腦的情形,沒有稽核軌跡及管控措施,編製的應用系統安全管理作業手冊以及各應用系統開發手冊等規範內容,也不夠完備。
此外,委外的運作網路監控服務,被發現實際在進行控管決策時有延宕情形,且未建立一般資安事故事件處理程序。APP 的上架、安全性檢測、發布與更新等作業規範,有違分工牽制原則,也未定期進行 APP 程式原始碼檢測、發行用密碼變更及憑證備份與封存。
金管會指出,南山人壽雖訂有資訊安全政策,但訂定層級並未達董事會,有欠妥適,對於應收集、監控的系統稽核軌跡或日誌紀錄(log)範圍,尚未明確規範,且公司資料庫存取授權管理欠妥,電子商務系統的安全設計項目也不符合內規要求,皆具有礙健全經營的疑慮。
同時,南山人壽將正式作業主機的個資檔案及資料庫複製到開發測試主機作業,並未落實未去識別化;其電子商務系統的安全設計也有瑕疵,涉及個人資料時,並沒有以隱碼方式顯示。
因此,金管會依照違反個資法規範,核處限期一個月內改正,且根據保險法,開罰 240 萬元罰鍰,並祭出 4 項糾正處分。
(新聞資料來源 : 中央社)
評論被關閉。