金管会近期公布新版委外上云问答集,详细说明了重大性定义和消金业务资讯系统定义,并公布了其他经核可的委外项目名单。
针对重大性的判断因素,问答集中也举例考量项目,包括委外作业成本和委外作业涉及的业务是否具时效关键性等。此外,金管会提醒,原不属于重大委外项目的事项,也可能会在委外服务规模增加、委外事项性质改变,或在同一受委托机构新增委外服务或进行重大变更时,变为具有重大性。
而针对消金业务资讯系统定义,则包括消金核心业务系统、信用卡业务系统、金融商品销售业务系统、消金授信管理系统、电话银行服务、催收作业管理系统及信托业务管理系统等。其中,消金核心业务系统包含个人客户存款、放款、汇款业务、相关会计及帐务处理系统,金融商品销售业务系统则包含各项投资理财业务、客户关系管理和客户分级管理系统。
此外,涉及重大性消金系统委托至境外除了需要经过核准,也要在境内将客户重要资料留存备份,例如,存款、授信、信用卡、汇款及投资等客户重要资料。
由于新版上云办法开放金融机构在非一般委外项目有首例核定通过时,可以迳行办理,因此问答集中也公布首例名单,目前有两项,分别为「企业客户商务信用卡盗刷监控作业」和「企业客户洗钱防制交易监控作业」,包括「企业客户洗钱防制交易监控之判读作业」及「企业客户姓名及名称检核之判读作业」。金管会表示,未来也会以修正问答集的方式新增核定的委外作业事项。
针对金融机构是否能以云端业者提供的认证办理查核报告,金管会开放金融机构在查核云端服务的资讯底层架构时,可使用云端业者提供的相关资安认证,来办理查核报告。不过,金融机构还是要针对委外项目和云端服务应用情形,以风险基础方法进行查核并产出报告。
此外,虽然金控不适用新版委外办法,不过,问答集中点出,金控若将汇整子集团资料的资料库委托至境外云端,云端业者应该采取不低于委外管理的资安标准和相关控管,并经过董事会决议通过。若资料库涉及重大性消金业务,金控须事先函请金管会备查。