1.통제 목적
전자거래 및 핀테크 서비스 제공 시 정보유출이나 데이터 조작·사기 등의 침해사고 예방을 위해 인증·암호화 등의 보호대책을 수립하고, 결제시스템 등 외부 시스템과 연계 할 경우 안전성을 점검하여야 한다.
2.주요 확인사항
- 전자거래 및 핀테크 서비스를 제공하는 경우 거래의 안전성과 신뢰성 확보를 위한 보호대책을 수립·이행하고 있는가?
- 전자거래 및 핀테크 서비스 제공을 위하여 결제시스템 등 외부시스템과 연계하는 경우 송·수신 되는 관련 정보의 보호를 위한 대책을 수립·이행하고 안전성을 점검하고 있는가?
3.결함 사례
1)전자결제대행업체와 위탁 계약을 맺고 연계를 하였으나, 적절한 인증 및 접근제한 없이 특정 URL을 통해 결제관련 정보가 모두 평문으로 전송되는 경우
2)전자결제대행업체와 외부 연계 시스템이 전용망으로 연결되어 있으나 해당 연계 시스템에서 내부 업무 시스템으로의 접근이 침입차단시스템 등으로 적절히 통제되지 않고 있는 경우
3)내부 지침에는 외부 핀테크 서비스 연계 시 정보보호팀의 보안성 검토를 받도록 되어 있으나, 최근에 신규 핀테크 서비스를 연계하면서 일정 상의 이유로 보안성 검토를 수행하지 않은 경우
'정보보호 및 개인정보보호 관리체계 > 항목별 참조 자료 모음' 카테고리의 다른 글
| 2.10.6 업무용 단말기기 보안 (0) | 2021.03.04 |
|---|---|
| 2.10.5 정보전송 보안 (0) | 2021.03.04 |
| 2.10.3 공개서버 보안 (0) | 2021.03.04 |
| 2.10.2 클라우드 보안 (0) | 2021.03.04 |
| 2.10.1 보안 시스템 운영 (0) | 2021.03.03 |