綠色金融

安心服務

資訊安全維護

本公司為能有效管理集團之資訊業務,已訂定「資訊管理政策與指導原則」,並於「內部控制制度」對資訊設備及網路安全之規劃與管理訂定相關作業辦法及處理手冊,並設置「資訊發展委員會」,由本公司總經理擔任主任委員、副總經理及電子資訊處處長為當然委員,且由本公司及子公司具資訊專業背景、負責資訊作業之經理人擔任委員,定期召開會議討論及審議集團各公司資訊發展、資訊安全及管理等議題。

為確保網路及資訊系統安全,提供客戶安全之自動化服務,本集團核心子公司第一銀行及第一金證券均已經由BSI英國標準協會審核,並獲得ISO 27001:2013資訊安全管理系統轉版驗證,第一銀行更取得ISO/IEC 20000:2011 資訊服務管理標準驗證,此為第一金控力求資訊安全管理制度達到國際資訊安全管理水準的努力。

另為確保持續營運不中斷,本公司已設置「資訊作業緊急應變措施管理小組」因應網路威脅,另訂定資訊作業管理辦法及資訊作業災害復原計畫,每年執行災害復原演練,而為使資訊安全事件發生時即時掌握處理時效,爰訂定資訊安全事件通報作業細則供同仁遵循;且為加強同仁對資訊安全之認知,2016年舉辦相關教育訓練46場,參加受訓9,070人次。

本集團為強化資訊系統之安全,各項伺服器設備每年均統一辦理主機弱點掃描、網站應用程式弱點掃描及入侵滲透測試等檢測作業。第一銀行每年亦委託資安專業服務廠商辦理資訊安全評估作業,檢測及評估項目包括資訊架構、網路活動、設備、網站安全、安全性設定及合規檢視等。另為強化全球網路安全,業與電信業者簽訂分散式阻斷服務攻擊(DDoS)安全防護服務契約,且每年辦理分散式阻斷服務攻擊(DDoS)防禦演練。另對釣魚網站之防禦亦委請國際資安廠商提供安全防護服務。

2016年7月及9月分別發生銀行ATM系統遭國際駭客入侵、證券電子交易下單系統受到分散式阻斷服務攻擊等資訊安全重大事件後,本集團啟動全面作業流程檢討以因應金融數位化時代之資訊安全風險,其主要作為如下:

面向 改善措施
組織面 加強高階資訊專業人力,第一銀行新聘前行政院國家資通安全會報技術服務中心主任暨資訊工業策進會資安科技研究所副所長擔任資訊處及數位銀行處副總經理,全面提升數位金融業務及資訊安全管理。
制度面
  • 第一銀行單獨成立「數位安全處」,而非隸屬於資訊處業務部門。
  • 落實自動櫃員機之維修及監視錄影資料保存作業。
  • 第一銀行新增RCSA流程並訂定相關控制項目。
系統面
  • 化資訊設備控管(如:通訊設備、儲存裝置等)及廠商維護合約管理。
  • 建立自動櫃員機異常提領監控機制,如:設備異常情形自動通報、鈔匣狀態與帳務鈔數合理性檢測。
  • 依重要層級主動通知不同級別人員,俾得以即時發現、處理及緊急應變。
  • 委請資安顧問公司(KPMG)進行短期防護措施驗證,並提供佈建中長期強化防護措施顧問服務。
  • 資訊系統短期安全防護措施,如:全面檢測自動櫃員機、對海外分行系統實行網段區隔、建立SWIFT系統資安通報機制、加強全行個人電腦使用管理、全行惡意程式檢測作業等防護機制、系統異常存取監控作業等。
  • 資訊系統中長期強化防護措施,計劃完成網路安全防禦架構強化(如:網段區隔)、系統面及安全管理面防護機制建置(如:建置自動櫃員機白名單機制或防毒軟體)。
安控面 第一銀行
  • 強化重要業務如SWIFT、ATM、海外分行上網、網路銀行等業務之網段安全區隔與佈署作業。
  • 禁止使用外部電子郵件收發、加強郵件進階攻擊防護(APT)檢測,避免附檔夾帶惡意程式攻擊。
  • 加強端點連網評估及IP管理並擴大灰名單網站範圍,落實上網網頁過濾管制機制。
第一金證券
  • 參採主管機關提供「證券商因應DDoS攻擊之防護及應變處置建議」,擬訂相關應變措施SOP。
  • 加強監控機制,與ISP業者配合,阻擋國外攻擊IP,緩解DDoS攻擊。
  • 依主管機關通報程序進行通報,並建立聯防機制。
  • 申請中華電信流量清洗服務,以強化DDoS防禦能力。

第一好安全 保障客戶

配合金融監督管理委員會推動「金融服務業公平待客原則」,除本公司「誠信經營守則暨行為指南」規範集團各公司就商品及服務於研發、採購、提供或銷售時不得損害消費者或其他利害關係人權益,並應訂定相關作業程序、行為準則並辦理教育訓練。第一銀行、第一金證券、第一金投信及第一金人壽皆訂定並函布「公平待客原則政策及策略」,並於公司網站公告「客戶服務承諾」,第一金控落實「金融服務業公平待客原則」之主要措施如下:

  • 訂約公平誠信原則:金融消費者與我們訂立的金融商品或服務契約,均本著公平合理、平等互惠及誠信原則。
  • 注意與忠實義務原則:對於我們所提供的金融商品或服務,克盡善良管理人之注意義務,確實遵循「金融消費者保護法」等規定,訂定相關作業準則、內控制度並據以執行,透過完備的作業流程規範及員工教育訓練,建立「顧客至上」的服務理念,避免客戶權益遭受侵害,2016年共舉辦9場金融消費者保護法教育訓練,受訓1,494人次,完訓率達99.5%。
  • 廣告招攬真實原則: 對於各類業務所刊登之廣告或宣傳資料於商品銷售前應檢具「辦理金融商品銷售業務廣告或宣傳資料之遵循法規自行檢核表」,確認符合外部法令、內部規範後始得陳列上架,並將廣告視為契約內容之一部分,以確保廣告內容之真實。
  • 告知與揭露原則: 第一銀行除於官方網站固定消息公告各類業務收費標準、各類業務定型化契約範本以及貸款利率試算等相關產品資訊外,針對金融理財商品充分向客戶說明商品、服務及契約之重要內容,並充分揭露其風險;另信用卡專區除公告信用卡相關收費標準外,為防止卡片遭盜刷,於每筆交易後即時發送消費確認簡訊及E-MAIL通知,發現異常狀況時亦有專人與客戶連絡,以保障卡友消費權益;第一金證券公司網站亦公告各項業務收費標準及相關產品操作說明;第一金投信則於網站公告收費費率、收益分配、風險屬性及投資說明,申請表單亦註明相關費用、風險告知等注意事項,產品資訊完整揭露於公開說明書及產品說明書;第一金人壽公司網站則公告各類型保單借款利率以及理賠流程,讓消費者方便取得我們所提供之商品及服務資訊。

    我們遵循「第一金融控股股份有限公司暨各子公司共同行銷防火牆政策與指導原則」,於本公司及各子公司網站首頁公佈客戶隱私權保護政策,並訂定「營業秘密及智慧財產權管理要點」及「機密維護處理細則」,針對應保守秘密之文書(含紙本及電子文件)、圖表、訊息、電腦程式、媒體或物品訂定保密範圍,且定期向所屬員工宣導,加強員工保密教育,嚴防個人與客戶資料外洩,2016年集團各公司配合「個人資料保護法」修正施行共舉辦219場教育訓練,完訓率為100%,且未發生客戶向外部機關申訴關於隱私權侵犯及資料外洩事件。
  • 商品或服務適合度原則: 由於金融工具日新月異,金融商品不斷推陳出新,惟並非適合銷售予所有消費者,各公司業務人員確實遵守「理財業務人員及金融商品銷售人員行為守則」等規範,所有客戶均需完成客戶屬性評估(Know Your Customer, KYC),並依客戶之理財需求、投資屬性及風險承受度等級,提供適合其投資之商品,並透過系統定期產生報表,分析客戶投資週轉率、投資績效、風險屬性與投資組合配置之適當性,2016年度加強宣導瞭解客戶作業(KYC)相關規範之訓練課程共計93場,完訓率為94.4%,確保業務人員提供金融商品或服務時,落實KYC、KYP(Know Your Product)及商品適合度分析,避免不當銷售損害消費者權益。
  • 複雜性高風險商品銷售原則: 複雜性高風險商品多涉及專業複雜之金融或財務工程,應慎重處理其上架,以免客戶承擔過多風險,第一銀行自2016年第1季起全面停止承作複雜性高風險商品,另針對結構型商品除進行投資風險告知外,並訂定特別告知客戶事項,確保客戶充分了解商品內容;第一金證券對於境外結構型商品連結之標的,需符合篩選標準並經第一金投顧評選後,始開放連結,此外,為保障消費者權益,建立理財商品審議上架機制,檢視架上理財商品的妥適性,並配合主管機關規範增修、調整商品審議作業及制度,2016年第一金控旗下各子公司未曾銷售被禁止或有爭議性之產品,商品與服務資訊提供及標示亦無違反相關法令或自律規範情事。
公司名稱 2016年度主要工作項目
第一銀行
  • 召開14次理財商品審議會,審查通過之理財商品共92檔,備查通過商品共39檔,符合下架標準商品共56檔。
  • 召開10次保險商品審議會議,審查通過之保險商品共58檔,符合下架標準之保險商品共8檔,架上共計銷售86檔保險商品。
第一金證券 召開6次金融商品暨服務審查會議,審查通過之理財商品共10檔,符合下架標準商品共0檔。
第一金人壽 召開26次保險商品開發會議,審查通過之保險商品共37檔,符合下架標準之保險商品共17檔,架上共計銷售110檔保險商品。
  • 酬金與業績衡平原則:第一金控旗下子公司均針對業務人員訂定酬金制度,考評項目內容包含作業規範遵守情形、客訴紛爭、銷售及服務品質監測、客戶多次贖回再申購或解約投資之頻率、教育訓練出勤狀況、證照取得之完整性等,並非僅以業績目標達成情形為考核之依據;且為避免業務人員為獲取獎酬而不當銷售,獲核配行銷獎金先發放80%,其餘20%於活動結束後2季期間內,業務人員未因不當銷售遭客訴始予發放。
  • 申訴保障原則:第一金控旗下各公司審慎處理消費者爭議事件,除訂定客訴處理作業要點及各項業務紛爭處理程序外,第一金控官網「利害關係人溝通」項下設有金控及各子公司之網路客服、0800免付費客服專線、業務諮詢服務專線及申訴信箱等。第一銀行亦設置24小時服務不打烊的客戶服務專線及網站電子信箱等管道與客戶即時溝通。申訴案件於規定期間7-30日內(依各子公司規範)完成客戶安撫與回覆作業,整體時效性達成率100%。
  • 業務人員專業性原則: 第一金控旗下各公司確實遵循各項業務相關法規由取得專業證照之人員提供相關服務,要求並獎勵員工取得各項專業證照或資格,並針對業務人員及副主管不定期舉辦各類商品業務行銷教育訓練,加強行銷規範之宣導,2016年集團各公司對各類商品業務行銷舉辦576場教育訓練,同仁亦積極取得金融業務相關證照,以提升服務之專業性。

2016年各項業務所需證照取得狀況

證照種類 取得張數
信託業業務員 6,213
銀行內部控制與內部稽核 5,269
投資型保險商品業務員 4,650
結構型商品銷售人員 4,029
人身保險業務員 6,966
初階外匯人員 1,742
初階授信人員 2,330
產物保險業務員 5,704
銷售外幣收付非投資型保險商品 4,705
投信投顧相關法規與投信投顧業務員 5,388
金融數位力知識檢定(2016/7新增) 712
證券商業務員、高級業務員 1,183
期貨商業務員 619
證券商辦理有價證券買賣融資融券人員 209
人壽保險管理學會核保人員及理賠人員證明 8
中華民國及美國精算師 3
合計 49,730