(會員機構分支單位)金融聯合徵信中心信用資訊查核報告工作底稿(範本)-104年1月修訂(編號:聯徵1)
本單位查詢金融聯合徵信中心(以下簡稱聯徵中心)信用資訊之方式為:(請就實際作業環境勾選,可複選)
□晶片卡□伺服器連線(STS) □檔案傳輸(FTP) □特約
查核基準日: 查核範圍: 查核期間: 查核人:
查核項目 | 工作底稿編號 | 查核結果 | 處理意見 | 查核參考資料 | |
調閱文件/ 查核方法 | 會員易致之疏漏 | ||||
| 聯徵4 | 查核時可調閱下列資料: 簽章(參考查核項目四) | 1.單位主管未指定專責查詢人員 2.由未經指定者擅自查詢 | ||
| 聯徵4 | 查核時請調閱: 1).聯徵中心之「查詢紀錄資訊(含期間查詢)」(查詢代號Z50); 2).查詢人員登記簿(聯徵4); 3).會員自設之登記簿,如:「查詢設備保管登 記簿」、「查詢信用資訊申請登記簿」、「晶 片卡借用登記簿」等。 | 1.有設簿但未確實登記 | ||
| 聯徵3 | 為瞭解查詢人員異動及晶片卡查詢密碼申請及更換等情況。查核時請調閱: 1).查詢作業相關人員授權登記簿 2).會員留存之聯徵中心「晶片卡查詢晶片卡使用人員異動申請書」(影本) | 1. 查詢人員異動/離職未向聯徵中心申請變更密碼 2.密碼保密措施欠妥(如 貼於電腦邊) | ||
印出後不使用(含未承作案件)之信用資訊表,是否予以控管或銷毀,不使資料外流?產生之信用資訊表是否確實列有電子浮水印標識? | 聯徵2 | 1.查核時請調閱: 1).徵/授信檔卷內留存之聯徵中心信用資 訊查詢表單; 2).現場觀察信用資訊表之列印,及不使用 (含未承作案件)之信用資訊表之處理方 式。 2.查詢後印出之信用資訊表單下端有「電子 密章」,以防內容遭竄改。 | 1. 查詢人員未於列印之信用資訊表簽章。 2. 信用資訊表簽章者非為主管指定之查詢人員。 3.未核貸或作廢之信用資訊表任意丟棄,或由外部人員清理,易致資料外流。 | ||
五、晶片卡查詢設備(晶片卡、讀卡機) 之管理: 1).是否妥善保管,並限於營業或 辦公處所使用? 2).使用及保管人員之授權,是否 符合內部控制原則? 3).聯徵中心定期通知之晶片卡使用情形,單位主管是否派人切實核對? 4).對於異常使用或遭鎖卡者追蹤 原因,以防範弊端發生? | 聯徵3 | 查核時請調閱下列資料: 2).會員留存之聯徵中心「IC晶片卡、讀卡機 簽收單」、「晶片卡查詢讀卡機、晶片卡異動申請書」、「晶片卡查詢工作站移機、重新安裝申請書」(影本); 3).查詢人員登記簿(聯徵4) 4).會員自設之登記簿,如:「查詢設備保管登 記簿」、「查詢信用資訊申請登記簿」、「晶 片卡借用登記簿」等。 | 1.晶片卡相關設備未指定專 人保管,致生設備遺失或 非指定人員查詢等情事。 2.同一人保管多張晶片卡, 影響備用功能。 3.晶片卡(與密碼)之交付及 收回未依規定登記,影響 職責之認定。 4.未「每半年至少使用晶片 卡一次」,影響晶片卡之存 取權限。 5.查詢人員異動時,未變 更密碼。 6.晶片卡與密碼未妥善保 管,如密碼貼於桌邊、查 詢後晶片卡仍插於讀卡機 或全天候晶片卡插於讀卡 機上等。 | ||
六、使用FTP/STS系統查詢之會員,對於存放自聯徵中心查詢所得資訊之相關資料庫,是否建立資料庫存取軌跡紀錄,並建立資訊安全管理控制措施及規範,包含人力資源安全、實體及環境安全、資訊交換、通訊與作業管理、存取控制等? | 查核時請確認下列事項: 1.在被核准存取自聯徵中心查詢所得資訊或資訊系統前,是否正確地向其簡要說明資訊安全角色與責任。 2.FTP/STS系統設備是否設置於安全區域。 3.對於自聯徵中心查詢所得資訊存取是否有限制特定人員。 4.自聯徵中心查詢所得資訊不宜複製至非安全區域。 5.對於FTP/STS系統或相關程式變更是否有受控管。 | 1.相關人員未能充分認知資訊安全的威脅與關切事項、其基本責任與強制責任等。 2.自聯徵中心查詢所得資訊的存取權限管理未落實、稽核日誌未盡完備等。 3.將自聯徵中心查詢所得資訊複製至非安全區域如測試系統環境或個人電腦等。 | |||
七、查詢信用資訊前,是否已取得當 事人之書面同意或與當事人有契 約或類似契約關係?(但法令另 有規定者,從其規定) | 聯徵2 | 1.此項為「查詢條件限制」規定之查核,非 常重要。無論查詢對象為個人或法人,進行查詢前請確認是否有合法之依據,即: 2. 請調閱聯徵中心之「查詢紀錄資訊(含期間查詢)」(查詢代號Z50),該產品提供查詢日起算最近十二個月內各會員機構查詢對象。並由該表進一步瞭解查詢之依據。 3. 請參閱「個人資料保護法」及相關規定,如:銀行法第48條第2項、信用合作社法第37條、信用卡業務機構管理辦法第37條、票券金融管理法第25條、金融控股公司及其子公司自律規範第5條。 | 1. 本項查詢資格要件常為 查詢人及查核人忽略, 請特別注意。 依據聯徵中心會員規約 第12條規定,查詢企業 法人時,亦應具備本要 件。 查詢人員應先確定查詢 之合法性,以免違反 「個人資料保護法」相 關規定。 | ||
八、查詢信用資訊前取得當事人之書面同意如以電子文件為之,則客戶意思表示同意查詢聯徵資料,系統是否留存記錄(如日期、來源IP、同意書內容或版本、身分驗證結果等)?前揭紀錄留存於何處?(統一留存於資訊部門或各營業單位) 【已辦理電子網路銀行業務及實務上有使用電子文件之會員機構適用】 | 聯徵2 | 1.機構訂定之信用資訊查詢作業控管要點。 2.機構內部之相關作業程序手冊。為利日後當事人與查詢單位或聯徵中心間發生爭議或提起訴訟時足資舉證,機構內部系統應留存符合銀行公會「金融機構辦理電子銀行業務安全控管作業基準」伍、一、(三)、4、(7)之相關軌跡。 | 1.未配合修訂機構內部之控管要點。 2.僅修訂機構內部之控管要點卻未配合訂定相關之作業程序手冊送本中心備查。 3.網站上當事人同意查詢聯徵資訊之相關條款未包含符合授信目的致不符合查詢資格要件之規定。 | ||
九、查詢後,當事人同意書、契約書或其他足以證明與其當事人之間存有類似契約關係之往來資料,無論核貸與否,是否妥善保存(保存年限五年)? | 聯徵2 | 1.為利日後當事人與查詢單位或聯徵中心間 發生爭議或提起訴訟時足資舉證,請取得 足資證明當事人已提出授信申請之相關文 件或同意書後始得查詢。 2.欲查詢之當事人為將來可能締約之潛在客 戶,亦請遵循前揭規定。 | 未送審即撤、退件之案件,如客戶領回申請書,應另訂定領回手續。 | ||
十、查詢所得信用資訊是否嚴限內部 業務參考使用,不得對外公開或 移轉他人? | 聯徵2 | (會員規約第十五條-資訊之利用) 為維護信用資訊當事人及會員機構之利益,查詢所得資訊須予保密使用。本項用以加強信用資訊查詢之事後管理。 | |||
十一、除當事人外,非經聯徵中心同意,不得洩漏信用資訊來源,是否依規辦理?(會員規約第十五條-資訊之保密) | 聯徵2 | 1.現場訪查 2.檢視會員機構相關文件與作業流程 | 資訊保密等信用資訊使用要項未納入查核 | ||
十二、辦理國際傳輸資料時,如所傳輸之資料範圍或資料蒐集方法包括經由本中心查詢或蒐集之資料時,是否符合總機構所在地國家監理或總行授信管理目的之必要性?是否僅引述部分自聯徵中心查得之資料內容傳輸,而非將原始資料全部傳輸?國際傳輸資料是否符合本中心「部分內容」定義?傳輸資料人員是否經單位主管指定?是否設簿登記所傳輸資料之直接收受者、傳輸時間、傳輸內容、傳輸目的、傳輸方式及傳輸地點(目的地)? | 聯徵2 | 為瞭解國際傳輸之適當性及合法性,查核時請調閱: 1.信用資訊查詢作業控管要點,勾稽傳輸資料至國外總(分)行(或海外分行)之必要情形。 2.辦理國際傳輸之登記簿,勾稽所傳輸資料之直接收受者、傳輸內容、傳輸目的、傳輸方式及傳輸地點(目的地),以瞭解是否符合總機構所在地國家監理或總行授信管理目的之必要性。 3.勾稽國際傳輸資料僅引述部分自聯徵中心查得之資料內容傳輸,而非將原始資料全部傳輸;且該傳輸資料內容需符合本中心「部分內容」定義。 | |||
十三、單位主管有否指定專人抽核聯徵中心之查詢紀錄資訊(含期間查詢)(查詢代號Z50等),以確定查詢對象是否符合本機構控管要點有關「信用資訊查詢資格」、「資訊之利用及保密」等規定(或聯徵中心會員規約之相關規定)? | 聯徵2 | 1.請於查詢次日(或一定期間)列印「會員 查詢紀錄資訊」,並指定專人就該項資訊抽 核。 2.本項事後查核,用以確定查詢是否符合聯 徵中心會員規約第十二條「查詢資格」要件 及第十五條「資訊之利用及保密」之規定。 | |||
十四、單位主管對於執行查詢、覆核 查詢紀錄,及保管識別卡與密碼等人員之指定,是否符合內部控制原則? | 1.晶片卡與密碼應由專人妥善保管。 2.覆核作業應請專人(非執行查詢人員)執行。 3.請評估查詢作業流程及人員授權內部牽制 是否足夠及有效。 | 1.平時未依規指定專人進 行事後勾稽,僅於稽核 時才由查核人員抽核, 內控不足。 2.由查詢人員自行勾稽, 不符內控原則。 | |||
、十五、對於聯徵中心信用資訊查詢作
業控管規定之執行情形: 查核乙次? 年度查核發現缺失之追蹤? 去年度之缺失是否已改進? 3)查核報告(副本)於規定時 間前由總機構指定單位, (本查核項目內請註明此單位名稱)彙總送聯徵中心? | 請敘名查核方式(如總機構一般、專案或指定查核/分支機構自行查核等)及每年查核次數 | 1.查核時請調閱: 業控管規定; 徵中心之函文日期。 2.參考依據: 「會員內部對資訊使用及保密相關作業應 定期查核,並將查核報告副本送本中心」 可及管理辦法」第二十九條規定:「聯徵 中心對於會員機構執行安全控管機制, 遵行查詢作業程序及資訊保密條款,必 要時得辦理查核」。 | 1.未依規執行查核 2.報送延遲 3.查核流於形式 4.經由分支單位查核,總 行未將查核情形予以彙 總,查核發現缺失未改 善。 | ||
十六、其他查核事項 查詢聯徵中心信用資訊作業控管要點,是否配合法令規定及作業環境之更動而檢討修正? | 信用資訊作業控管要點須送聯徵中心,修正時亦同。 | ||||
本範本提供參考,各會員機構請依各自作業環境及內控制度訂定合宜之工作底稿。
金融聯合徵信中心信用資訊查核報告工作底稿(範本)-104年1月修訂(編號:聯徵2 )
查核基準日: 查核範圍: 查核期間: 查核人:
查 | 被查詢當事人 | 查詢人員 | 使 用 者 代 碼 | 授 權 辦 理 事 項 | 查詢資格依據 | 查詢結果 | 國際傳輸之 適當性及合法性 | 查 | 處 | |||||||||
統一編號/身分證號 | 姓名 | 有否被授權辦理查詢 1 | 當事人書面同意(含電子文件) | 與當事人有契約或類似契約關係 | 依法令規定辦理查詢 | 無合 法查 詢依據2 | 信用資訊表查詢人有無簽章 | 是否僅供內部使用不得對外公開或移轉他人使用 | 是否不洩漏信用資訊來源 | 不使用(含未承作案件)之信用資訊表是否妥善處理 | 信用資訊表是否列有電子浮水印標識 | 是否符合總機構所在地國家監理或總行授信管理目的之必要性3 | 所傳輸資料是否符合本中心「部分內容」定義 | |||||
是否保 存5年 | 是否保存5年 | |||||||||||||||||
1、查詢人員有否被授權辦理查詢請調閱查詢人員登記簿(聯徵4)
2、「合法查詢」係指符合法定特定目的並取得當事人書面同意或與當事人有契約或類似契約關係者使得向聯徵中心查詢當事人之信用資訊。有關規定請參閱聯徵中心「會員規約」第十、十二條及「個人資料保護法」相關條文。
3、所傳輸資料之直接收受者、傳輸內容、傳輸目的、傳輸方式及傳輸地點是否符合總機構所在地國家監理或總行授信管理目的之必要性。
金融聯合徵信中心晶片卡查詢設備使用情形查核報告工作底稿(範本)- 104年1月修訂(編號:聯徵3) 查核基準日:查核範圍:查核期間:查核人: | ||||||||||||||
4 | 保管人員 | 設備使用及管理情形 | 查詢密碼 | 查 結 | 處 意 | 備 註 | ||||||||
名稱 | 序號 | 姓名 | 是否經主管授權辦理 | 保管是否妥善 | 毀損、停用、遺失時,是否具函聯徵中心辦理 | 讀卡機是否限置於營業或辦公處所使用,未任意攜離 | 晶片卡使用情形 | 啟用 | 是否由單位主管親收後密交查詢人員使用? | 查詢人員異動或業務需要時,是否即向聯徵中心申請更換? | ||||
是否派人切實核對 | 對於使用異常或遭鎖卡者是否追蹤原因,以防範弊端發生 | |||||||||||||
讀卡機 | ||||||||||||||
晶片卡 | ||||||||||||||
晶片卡 | ||||||||||||||
讀卡機 | ||||||||||||||
晶片卡 | ||||||||||||||
晶片卡 | ||||||||||||||
○○銀行(信用合作社、農會、公司) ------------------------------------------------- | 使用金融聯合徵信中心信用資訊查詢作業相關人員授權登記簿(範本)-104年1月修訂 (編號:聯徵4 ) | |||||||||||
中文姓名 | 職稱 | 授權查詢方式 | 授權辦理事項 | 使用者代碼 | 授權起日1 | 主管簽章 | 授權迄日2 | 主管簽章 | 備註 | |||
晶片卡查詢使用之設備有:晶片卡及讀卡機,均由聯徵中心提供,一部讀卡機通常配發兩張晶片卡,本設備保管人員通常為查詢人員。
設備保管人員有否被授權辦理查詢請調閱查詢人員登記簿(聯徵4)。
晶片卡使用情形可參閱由聯徵中心提供之「查詢紀錄資訊(含期間查詢)」(查詢代號Z50)或聯徵中心定期通知(或各單位自設之登記資料)。
4.會員透過專屬網路進行信用資訊查詢須使用晶片卡及兩道密碼:第一道為使用者帳號密碼(8位數),第二道為晶片卡密碼(4位數),前者為使用者由專屬網路進入聯徵中心會員查詢專區之密碼;後者供認證晶片卡之合法性;均由聯徵中心製作提供,以掛號密件寄交單位主管親收,如查詢人員異動或業務需要,可隨時向聯徵中心申請更換密碼。
凡與查詢作業有關之授權事宜,如:主管指定之辦理查詢、覆核查詢紀錄等作業人員,均應設簿登記,以利事後管理。本登記簿應保存五年,備供查核。授權內容若為設備保管人員或辦理國際傳輸人員請於備註欄記載;又若有辦理國際傳輸之會員機構,請針對所傳輸資料之直接收受者、傳輸時間、傳輸內容、傳輸目的、傳輸方式及傳輸地點(目的地)另設簿登記。
填報金融聯合徵信中心信用資訊查詢方式,可以「N」代表晶片卡、「Q」代表伺服器連線(STS/MQ)、「B」代表檔案傳輸(FTP/ADT)查詢。
授權辦理事項如:查詢信用資訊,保管晶片卡(卡號)、查核讀卡機、覆核查詢紀錄、辦理國際傳輸….等。
足資辨別受指定辦理查詢人員之使用者帳號。
1 YYYMMDD(民國),填報查詢人員被授權查詢權限起日。
2 YYYMMDD(民國),填報查詢人員被授權查詢權限截止迄日。