重大裁罰案件
Wed, 21 May 2025 00:00:00 GMT
第一金人壽保險股份有限公司辦理對外服務系統資訊安全業務,核有違反保險法相關規定,依保險法第171條之1第4項規定,核處罰鍰新臺幣(下同)60萬元整。
一、裁罰時間:114年5月21日
二、受裁罰之對象:第一金人壽保險股份有限公司
三、營利事業統一編號:略
四、地址:略
五、代表人或管理人姓名:楊○○
六、地址:略
七、主旨:有關本會對貴公司辦理專案檢查報告(編號:113I008)所列缺失事項,核有違反保險法相關規定,依保險法第171條之1第4項規定,核處罰鍰新臺幣(下同)60萬元整。
八、事實:
(一)貴公司辦理特權帳號管理系統提供使用者代登連線之申請作業,經查使用者於主管核准其使用申請後,可於代登前輸入同網域任一伺服器名稱,致實際連線之伺服器得與申請核准連線之伺服器不同,且有申請原因填寫過於簡略之情形,與貴公司所訂特權帳號管理相關內部規範不符。
(二)貴公司虛擬環境實體伺服器作業系統,對密碼變更最長天數參數使用預設值,致密碼未要求須定期變更;另對密碼歷程紀錄參數使用預設值,致密碼屆期變更時仍允許重複使用舊密碼,與貴公司所訂系統存取控制相關內部規範不符。
(三)貴公司辦理對外服務網站管理作業,經查官方保戶服務專區對登入驗證使用之固定密碼,雖有採AES256加密演算法儲存,惟該加密金鑰係以Spring jasypt元件加密存放於專案參數檔,與貴公司所訂系統存取控制相關內部規範不符。
(四)貴公司對版控軟體內帳號權限設定,有未符最小授權原則,且查最高權限帳號皆由系統管理部人員自行持有使用,與貴公司所訂資訊系統開發與維護相關內部規範不符。
九、理由及法令依據:
(一)依保險法第148條之3第1項授權訂定之「保險業內部控制及稽核制度實施辦法」第6條第1項第2款及第8款規定,保險業使用電腦化資訊系統處理者,其內部控制制度,除資訊部門與使用者部門應明確劃分權責外,至少應包括下列控制作業,並應依所屬商業同業公會訂定之自律規範辦理:「二、系統開發及程式修改之控制。…八、系統、檔案及電腦、通訊設備之安全控制」。
(二)上述事實一至四,貴公司有未依內部控制制度落實執行特權帳號管理、安全檢視密碼設定作業、對外服務網站之密碼管理作業、以及內部帳號權限設定與管理等之情事,核有違反「保險業內部控制及稽核制度實施辦法」第6條第1項第2款及第8款規定,依保險法第171條之1第4項規定,核處罰鍰60萬元整。
十、繳款方式:
(一)繳款期限:自本處分送達之次日起10日內繳納。
(二)請依本會檢附之繳款單注意事項辦理繳納。
十一、注意事項:
(一)受處分人如不服本處分,應於本處分送達之次日起30日內,依訴願法第58條第1項規定,繕具訴願書經由本會(新北市板橋區縣民大道二段7號18樓)向行政院提起訴願。惟依訴願法第93條第1項規定,除法律另有規定外,訴願之提起並不停止本處分之執行,受處分人仍應繳納罰鍰。
(二)受處分人如逾本處分所定繳款期限不繳納罰鍰者,即依行政執行法第4條第1項但書規定,移送法務部行政執行署各分署辦理行政執行。