第 19 條
金融機構將作業委託他人處理涉及使用雲端服務,應依下列規定辦理:
一、應訂定使用雲端服務之政策及原則,採取適當風險管控措施,並應注意作業委託雲端服務業者之適度分散。
二、金融機構對雲端服務業者負有最終監督義務,並應具有專業技術及資源,監督雲端服務業者執行受託作業,並得視需要委託專業第三人以輔助其監督作業。
三、金融機構得自行委託,或與委託同一雲端服務業者之其他金融機構聯合委託具資訊專業之獨立第三人查核,並應符合下列規定:
(一)確認其查核範圍涵蓋雲端服務業者受託處理作業相關之重要系統及控制環節。
(二)應評估第三人之適格性,以及其所出具查核報告內容之妥適性並符合相關國際資訊安全及隱私保護標準。
(三)應針對金融機構所委託作業範圍進行查核並出具報告。
四、金融機構傳輸及儲存客戶資料至雲端服務業者,應採行客戶資料加密或代碼化等有效保護措施,並應訂定妥適之加密金鑰管理機制。
五、對委託雲端服務業者處理之資料應保有完整所有權,除執行受託作業外,金融機構應確保雲端服務業者不得有存取客戶資料之權限,並不得為委託範圍以外之利用。
六、委託雲端服務業者處理之客戶資料及其儲存地應依下列規定辦理:
(一)金融機構須保有其指定資料處理及儲存地之權利。
(二)境外當地資料保護法規不得低於我國要求。
(三)涉及重大性消費金融業務資訊系統之客戶資料儲存地以位於我國境內為原則。如位於境外,除經主管機關核准者外,客戶重要資料應在我國留存備份。