〔記者王孟倫/台北報導〕金管會今天(21日)宣布,對第一金人壽公司辦理專案金檢,查有違反「保險法」相關規定,包括辦理對外服務系統資訊安全業務等,總計4項缺失,因此,依保險法第171條之1第4項規定,核處罰鍰60萬元。
首先,金管會表示,第一金人壽辦理特權帳號管理系統,提供使用者代登連線之申請作業,經查使用者於主管核准其使用申請後,可於代登前輸入同網域任一伺服器名稱;也就是說,實際連線之伺服器,得與申請核准連線之伺服器不同,且有申請原因填寫過於簡略之情形,與該公司所訂特權帳號管理相關內部規範不符。
其次,第一金人壽的虛擬環境實體伺服器作業系統,對密碼變更最長天數參數使用預設值,致密碼未要求須定期變更;對於密碼歷程紀錄參數僅使用預設值,導致密碼屆期變更時,仍允許重複使用舊密碼,與該公司所訂系統存取控制相關內部規範不符。
第三,該公司辦理對外服務網站管理作業,經查,官方保戶服務專區對登入驗證使用之固定密碼,雖有採AES256加密演算法儲存,惟該加密金鑰係以Spring jasypt元件加密存放於專案參數檔,與公司所訂系統存取控制相關內部規範不符。
第四,對版控軟體內帳號權限設定,有未符最小授權原則,且查最高權限帳號皆由系統管理部人員自行持有使用,與公司所訂資訊系統開發與維護相關內部規範不符。
金管會表示,依「保險法」第148條之3第1項授權訂定之「保險業內部控制及稽核制度實施辦法」第6條第1項第2款及第8款規定,保險業使用電腦化資訊系統處理者,其內部控制制度,除資訊部門與使用者部門應明確劃分權責外,至少應包括下列控制作業,並應依所屬商業同業公會訂定之自律規範辦理。
對此,金管會說明,由於第一金人壽有未依內部控制制度落實執行特權帳號管理、安全檢視密碼設定作業、對外服務網站之密碼管理作業、以及內部帳號權限設定與管理等之情事,有違反「保險業內部控制及稽核制度實施辦法」,因此,依保險法第171條之1第4項規定,核處罰鍰60萬元。
一手掌握經濟脈動 點我訂閱自由財經Youtube頻道
不用抽 不用搶 現在用APP看新聞 保證天天中獎 點我下載APP 按我看活動辦法