▲南山人壽總部 。(圖/記者湯興漢攝)
實習記者陳妙津/綜合報導
南山人壽在一個月內3度遭罰!金管會發現南山人壽電子商務系統業務有7項資安、洗錢防治與內稽內控的缺失,因此於17日祭出新台幣240萬元罰鍰及4項糾正處分,並責令限期一個月內改正。
[廣告] 請繼續往下閱讀.
據《中央社》報導,南山人壽分別於今(2019)年4月18日及19日遭罰,先是因片面更改契約,導致保戶權益受損,遭金管會開罰新台幣600萬元,總經理停職半年,2名資深副總也因此停職5個月;後又因未落實停損標準及匯兌風險管控,再度遭罰新台幣180萬元,而今卻又在一個月內再收金管會罰單。
金管會17日指出,南山人壽辦理網路投保旅平險業務時,並沒有落實審核客戶姓名資料,而網路投保個資複製到個人電腦時,也沒有任何稽核軌跡及管控,編制的應用系統安全管理作業手冊,及各應用系統開發手冊等規範內容,也不夠妥善完整。
▲南山人壽總部 。(圖/記者湯興漢攝)
[廣告] 請繼續往下閱讀..
APP上架、安全性檢測、發布及更新等作業流程違反分工牽制原則,也未定期檢測程式原始碼、發行用密碼變更與憑證備份封存。此外,南山人壽委外代營的網路監控服務,還被發現實際控管決策時會有延宕,且沒有建立一般資安事故事件處理程序。
金管會表示,南山人壽電子商務系統安全設計在個人資料部分,並未以隱碼顯示客戶資訊,且安全設計項目不符內規要求,對於應收集、監控的系統稽核軌跡或日誌紀錄範圍,也沒有明確規定,加之公司資料庫存取授權管理方式不妥善,有影響健全經營之虞。
此外,雖然南山人壽本訂有資訊安全政策,但層級並未達到董事會,顯見不妥,而將正式作業主機的個資檔案、資料庫,複製至開發測試主機作業時,也沒有嚴謹執行去識別化。綜上總總,金管會依照違反個資法,限期南山人壽需在一個月內改善,並根據保險法核處新台幣240萬元罰鍰,併4項糾正處分。