風之國論壇 - Powered by Discuz! Board

標題: [轉貼] 金管會金檢專營電支機構去年揪出7大缺失 [打印本頁]

作者: gravius 時間: 2023-3-26 04:18 標題: 金管會金檢專營電支機構去年揪出7大缺失

自由時報 2023/03/25 根據金管會最新出爐的2022年下半年度金融檢查報告，其中，專營電子支付機構被揪出7大缺失情節，包括：應屬於高風險的國內外重要政治性職務人士，卻被評為中低風險客戶等。% q0 C9 B, i+ h7 z0 P
2 {4 s: c- n  I+ e! d0 G
至於何時開罰？如何開罰？金管會表示，檢查局已經依照行政流程，將金檢缺失資料移給銀行局處理；銀行局將通盤檢視相關缺失情節及改善情況，綜合進行裁量評估或懲處，不會為了開罰而罰。
9 d" c' `2 i2 X8 Y* Z/ q
根據統計，截至去年12月底止，國內計有11家「專營」及20家「兼營」電子支付機構（含銀行及中華郵政），而金管會金檢對象鎖定專營的電支機構。
, n  i+ U2 {) s# Z, {
金管會檢查局表示，去年下半年發現專營電支機構主要有7大缺失態樣，分別為第1、在防制洗錢、打擊資恐及反武擴作業方面，使用者風險評估作業有欠妥適，例如受益人為現任國內外政府之重要政治性職務人士，卻未納入特定高風險因子項目，導致高風險客戶評為中低風險。
8 X) J8 y( _. h* N# A, b! P0 u
第2、有電子支付機構辦理帳戶或交易監控作業，未訂定相關監控政策及程序：雖有以資訊系統輔助篩選異常交易，不過，監控範圍或檢核條件欠完整，導致無法有效篩選出疑似不法或顯屬異常交易。
* I: d# v7 t6 N& ~
第3、未對各單位法令遵循作業之成效加以考核，並將考核結果作為單位考評之依據。+ G' R4 O  B8 Z- c/ R; `
6 o- d2 D# K1 A, M' v( {
第4、作業委託他人處理，卻未依規報經金管會核准或備查。. `& m  Y2 N- I5 n% P" I  }
+ q9 N4 Y- _3 e9 e  ^- }9 U
第5、員工可透過內部管理系統進行客戶資料查詢，卻未建立資料外洩防護機制。辦理個資外洩演練作業，未就外部網路入侵及非法或異常使用行為所致個資外洩進行模擬。9 N& d6 s& W7 U: H  z; P0 A! v

第6、沒有落實帳號權限清查作業，例如：未列出帳號所擁有之權限並經使用者逐項確認、未刪除或停用已無使用需求之帳號。
0 x  N8 {4 Y- d3 i
第7、在資訊安全方面，未規範防火牆檢視作業之重點原則項目，包括：六個月內流量為零、高風險性網路通訊服務（如：檔案傳輸（FTP）、遠端登入。防火牆規則設定過於寬鬆。+ a) ?, b  G6 _) N7 T3 j3 o( \

金管會強調，對各金融機構執行一般及專案金檢，受檢機構除依檢查報告辦理缺失改善外，平日亦可參閱金管會公布之主要檢查缺失，瞭解整體業界之缺失情形，進行自我檢視有無類此情形，以達自律導正之效果。

歡迎光臨風之國論壇 (http://wind.talkapple.net/)