康和證資安4缺失 金管會開罰30萬
金管會對康和證進行資通安全專案檢查,發現康和證4缺失違反資訊安全相關管理規範,並未落實執行內部控制制度,依證券交易法規定,今天開罰康和證新台幣30萬元罰鍰。
金管會證期局今天公布最新裁罰案,根據證期局裁罰書,金管會檢查局於2024年7月26日至8月13日對康和證進行資通安全專案檢查,發現有4點缺失事項。
包含部分防火牆未辦理檢視作業,也未評估必要性即允許資訊部人員使用可連線網際網路的個人電腦直接連線營運環境伺服器,以及外層防火牆開放網段對網段存取的設定過於寬鬆。
另外,康和證提供網際網路下單服務的核心系統上架前及系統更新時,未執行「源碼掃描」安全檢測;辦理委外開發且置於網際網路的應用系統變更作業,供應商僅提供源碼檢視作業通過安全驗證的聲明書,並未提供通過的程式碼掃描或黑箱測試檢測證明。
最後是康和證辦理應用程式介面(API)盤點作業有欠確實,不利API安全性控管。金管會證期局指出,以上4項缺失顯示康和證未落實執行內控制度,違反證券商管理規則,處30萬元罰鍰。
