[新聞] 上海商銀1.4萬戶客戶個資外洩遭重罰千萬

看板Bank_Service (銀行服務)作者jackloutter (Clarkson)時間1年前 (2023/11/28 21:50)推噓7(7推 0噓 9→)

留言16則, 13人參與討論串1/1

上海商銀1.4萬戶客戶個資外洩遭重罰千萬 https://ec.ltn.com.tw/article/breakingnews/4504160 2023/11/28 16:36 https://img.ltn.com.tw/Upload/business/page/800/2023/11/28/4504160_1.jpg

上海商銀1.4萬戶的客戶個資遭到外洩，金管會重罰1千萬元。（記者王孟倫攝）〔記者王孟倫／台北報導〕金管會今天公開最新裁罰案，上海商銀因為客戶個人資料遭到外洩共1萬4千戶（已歸戶），顯示該行有未完善建立及執行內部控制制度，致客戶資料外洩，因此，予以開罰1千萬元。金管會銀行局副局長童政彰表示，本案先是去年九月向金管會匿名檢舉，我們請銀行馬上查，但未能查出結果；後來，在今年五月到七月間，上海商銀的分行端也有接獲匿名檢舉，並查出該行客戶的紙本名單，遭到外洩攜出。童政彰說明，客戶被外洩的資料內容為姓名與身分證。為何銀行客戶資料會遭到外洩？童政彰說，我們已經請銀行進行調查，初步推測，有可能是資訊系統碰觸到委外單位廠商，或是銀行行員自行攜出兩種可能。至於客戶被外洩的資料是否被使用？童政彰指出，目前還不瞭解，已經請銀行要調查清楚，而且，主管機關也基於未能建立及落實內稽內控，進而開罰上海商銀。金管會表示，上海商銀本案共四大缺失，第1、未訂定妥適個人電腦管理者權限規範：該行遲至案發後始明定每半年變更個人電腦管理者權限密碼，長期未辦理密碼變更作業，致客戶資料有外洩風險。第2、未訂定完善可攜式設備管理規範：有權使用可攜式設備之人員得使用可攜式設備將行內資料攜出，且無妥適之讀取控管措施，不利資訊安全保護。第3、該行案關報表系統未依內部規範，記錄個人資料使用情況，留存軌跡資料或相關證據，不利個人資料外洩時，追蹤個人資料使用狀況，並影響查核期程。第4、該行未落實執行內部規範，作業系統上線前及更新時，未能測試出資安監控軟體漏洞，並確認其於工作站之執行情形，致未發現該軟體有未能正常啟動之情形，造成無法控管及記錄可攜式設備資料之存取，影響查核時效，且無法判斷實際損害情形，並不利後續調查程序。針對本案，金管會依銀行法第129條第7款規定，核處1000萬元罰鍰。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.27.14.213 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Bank_Service/M.1701179420.A.778.html

推

ayen0422

11/28 22:26, 1年前 , 1^F

11/28 22:26, 1^F

推

bryanwang

11/29 00:51, 1年前 , 2^F

11/29 00:51, 2^F

推

coke

11/29 09:38, 1年前 , 3^F

11/29 09:38, 3^F