전자금융감독규정 제60조

IT위키

내용

제60조(외부주문등에 대한 기준)
  • ① 금융회사 또는 전자금융업자는 전자금융거래를 위한 외부주문등의 경우에는 다음 각 호의 사항을 준수하여야 한다.<개정 2013. 12. 3.>
    • 1. 외부주문등에 의한 정보처리시스템의 개발업무에 사용되는 업무장소 및 전산설비는 내부 업무용과 분리하여 설치ㆍ운영<개정 2015. 2. 3.>
    • 2. 금융회사와 이용자 간 암호화정보 해독 및 원장 등 중요 데이터 변경 금지<개정 2013. 12. 3.>
    • 3. 계좌번호, 비밀번호 등 이용자 금융정보 무단보관 및 유출 금지
    • 4. 접근매체 위ㆍ변조, 해킹, 개인정보유출 등에 대비한 보안대책 수립
    • 5. 금융회사와 전자금융보조업자 간의 접속은 전용회선(전용회선과 동등한 보안수준을 갖춘 가상의 전용회선을 포함한다)을 사용<개정 2013. 12. 3., 2016. 10. 5.>
    • 6. 정보처리시스템 장애 등 서비스 중단에 대비한 비상대책 수립
    • 7. 외부주문등의 입찰ㆍ계약ㆍ수행ㆍ완료 등 각 단계별로 금융감독원장이 정하는 보안관리방안을 따를 것<개정 2015. 2. 3.>
    • 8. 업무지속성을 위한 중요 전산자료의 백업(backup)자료 보존 및 백업설비 확보 등 백업대책 수립
    • 9. 정보관리의 취약점을 최소화하고 보안유지를 위한 내부통제방안을 수립ㆍ운용하고, 통제는 제8조제1항제2호의 조직에서 수행<개정 2015. 2. 3.>
    • 10. 전자금융보조업자에 대한 재무건전성을 연1회 이상 평가하여 재무상태 악화에 따른 도산에 대비하고 전자금융보조업자의 주요 경영활동에 대해 상시 모니터링을 실시
    • 11. 전자금융보조업자가 제공하는 서비스의 품질수준을 연1회 이상 평가할 것
    • 12. 전자금융보조업자가 사전 동의 없이 다시 외부주문등 계약을 체결하거나 계약업체를 변경하지 못하도록 하고, 사전 동의시 해당 계약서에 제7호의 사항을 기재하도록 통제<개정 2016. 6. 30.>
    • 13. 업무수행인력에 대하여 사전 신원조회 실시(이 경우 신원보증보험 증권 징구로 갈음할 수 있다) 또는 대표자의 신원보증서 징구, 인력변경시 인수인계에 관한 사항 등을 포함한 업무수행인력 관리방안 수립<개정 2018. 12. 21.>
    • 14. 외부주문등은 자체 보안성검토 및 정기(금융감독원장이 정하는 중요 점검사항에 대해서는 매일) 보안점검 실시<개정 2015. 2. 3.>
  • ② 금융회사 또는 전자금융업자는 제1항제10호 및 제11호의 평가결과를 금융감독원장에게 보고하여야 한다.<개정 2013. 12. 3.>
  • ③ 금융감독원장은 제2항의 규정에 따른 평가결과 보고를 접수하고, 그 평가실시 여부를 제58조제2항의 규정에 따른 정보기술부문 실태평가에 반영할 수 있다.
  • 법 제40조제6항 단서에서 "금융위원회가 인정하는 경우"란 전자금융거래정보의 보호와 관련된 전산장비ㆍ소프트웨어에 대한 개발ㆍ운영 및 유지관리 업무를 재위탁하는 경우로서 다음 각 호의 사항을 준수하는 경우를 말한다.
    • 1. 재수탁업자가 재위탁된 업무를 처리함에 있어 금융거래 정보의 변경이 필요한 경우에는 위탁회사 또는 원수탁업자의 개별적 지시에 따라야 하며, 위탁회사 또는 원수탁업자는 변경된 정보가 지시 내용에 부합하는지 여부를 확인하여야 함
    • 2. 위탁업무와 관련된 이용자의 금융거래정보는 위탁회사의 전산실 내에 두어야 함. 다만, 재수탁업자가 이용자의 이용자 정보를 어떠한 경우에도 알지 못하도록 위탁회사 또는 원수탁업자가 금융거래정보를 처리하여 제공한 경우에는 위탁회사의 관리ㆍ통제 하에 재수탁회사 등 제3의 장소로 이전 가능함
  • ⑤ 금융회사 또는 전자금융업자는 제14조의2제1항제2호에 따른 평가를 위하여 제37조의4제1항 각 호의 어느 하나에 해당하는 기관에 지원을 요청할 수 있다.

해설