金融機構風險控管問題 - HRDA

金融機構應確保本身，主管機關及中央銀行，或其指定的人能取得雲端服務業者執行受託作業的相關資訊，包括客戶資訊及相關系統的查核報告，以及實地查核權力。

HRDA 系統所有伺服器以及數據資料分別存放於 GCP (Google Cloud Platform) 以及 hicloud。其中 GCP 所選擇之區域為 asia-east-1 (台灣) GCP 與 hicloud 均符合國際資安標準，並取得相關國際認證如下：

當金融機構終止或結束作業委託時，要確保能順利移轉至另一雲端服務業者，或者是移回自行處理，並且確保原受託雲端服務業者留存資料全數刪除或銷毁，還要留存刪除或銷毁記錄。（請廠商是否同意委外服務終止後資料刪除機制。）

HRDA 平台提供 API 可以拉回所有資料，系統也提供刪除功能，可以抹除求職者相關軌跡。

對委外處理的資料應保有完整所有權，金融機構得確保，雲端服務業者除了執行受託作業之外，不得有存取客戶資料的權限，且不可在委託範圍以外利用。

儲存的資料不含完整個資，權限控管分三階不同強度的權限，由客戶自行配置權限。

金融機構傳翰及儲存客戶資料到雲端服務業者，應採行客戶資料加密或代碼化等有效保護措施，並應訂定加密金鑰管理機制。

HRDA 系統的資料傳輸部分用 SSL，其餘安控主要是帳號密碼，由於儲存的資料不含個資，所以沒有另外做審計 (auditing) 功能。

金融機構要對雲端服務業者負有最終監督義務，並具有專業技術與資源去監督雲端服務業者執行受託作業，並視情況需要委託專業第三人輔助監督作業。

同意全球或委外第三方查核。HRDA 系統的資料放在 google 雲端以及 hicloud 機房，GCP 機房本身就符合相關的規範及要求。

金融機構應確保作業風險控管，評估受託機構處理的風險，採取適當風險管控措施。

委外風險評估：儲存的資料不含個資，且 HRDA 系統操作目前都有做權限控管，以及資訊揭露的時候也有做管控。

金融機構得自行委託，或是與其他委外同一家雲端服務業者的金融機構，聯合委託具備資訊專業的獨立第三人查核。

HRDA 同意全球或委外第三方作委外查核。