电子支付要设专责资安单位 4家专营先行

银行局副局长林志吉表示，电支机构是以支付业务为核心，资安防护与金融体系密切关联，考量专营电支机构多是公开发行公司，当专营的电支机构使用人数达到一定条件时，应该要设置资讯安全专责单位，并配置适当人力资源及设备。

金管会希望使用者人数多的电子支付机构先行，先要求使用人数超过400万人的3家专营业者，即街口支付、一卡通、全支付，加上虽使用人数未达300万人、但实体卡使用者多的悠游卡，4家先设立专责资安单位。

林志吉表示，4家电支机构在市场上已具规模，认为有必要先行，已有跟4家电子支付机构沟通，4家都有表达愿意先设置，考量到4家电支需要缓冲时间，因此给予半年、10月底之前设置，4家电支机构现在就可以开始调整与评估。

目前国内有10家专营电子支付机构，针对其他6家，金管会表示，已请银行公会协助，对电支机构设置资讯安全专责单位的条件进行研议，3个月内、7月底前报金管会。

林志吉说明，目前金融业是资本额1兆元以上的银行、保险公司要设立副总级以上的资安长，至于电子支付机构，因为营运规模没有银行、保险大，业务相对来说单纯，后续将请银行公会研议，不一定要设置到副总级以上的资安主管，至于资安主管可不可以兼任，也有待进一步研议。

林志吉指出，最终期待是希望所有专营电支机构都要设资安专责单位，至于人数与层级，由银行公会研议后再做决定，牵涉到需要修改章则、资讯系统调整等，目前没有订出时间表。确定后会订在专营电子支付机构实施办法，若违反将处以60万～300万罚锾。

另金管会也请银行公会协助检讨修正电支安控基准，于6个月内、10月底报金管会。据检查局今年初金检电子支付缺失态样有四点，一是因过去没有要求要设立资安专责人员，资安人员都是由资讯人员兼任；二是对帐号管理不够严谨，三是系统软体更新机制有缺漏，四是伺服器档案清理不够完善，也发现电子支付机构对于发生资安事件时，内控上并没有统一规定怎样情况要通报主管机关，显示内控还不够完善。