주요사항
송·수신정보 보호대책을 수립·이행, 안전성 점검
인증기준
전자거래 및 핀테크 서비스 제공 시 정보유출이나 데이터 조작·사기 등의 침해사고 예방을 위해 인증·암호화 등의 보호대책을 수립하고, 결제시스템 등 외부 시스템과 연계할 경우 안전성을 점검하여야 한다.
확인사항
- 전자거래 및 핀테크 서비스를 제공하는 경우 거래의 안전성과 신뢰성 확보를 위한 보호대책을 수립·이행하고 있는가?
- 전자거래 및 핀테크 서비스 제공을 위하여 결제시스템 등 외부 시스템과 연계하는 경우 송·수신되는 관련 정보의 보호를 위한 대책을 수립·이행하고 안전성을 점검하고 있는가?
가상자산 사업자 확인사항
- 이용자가 취급업소의 로그인/출금/사용자 정보 변경 등의 서비스를 이용할 경우, 추가 인증수단 또는, 멀티시그를 적용하고 있는가?
* 예. OTP, 인증서, 기기인증 등
- 가상자산거래 기록의 보존(5년) 및 관리를 하고 있는가?
결함사례
- 전자결제대행업체와 위탁 계약을 맺고 연계를 하였으나, 적절한 인증 및 접근제한 없이 특정 URL을 통해 결제 관련 정보가 모두 평문으로 전송되는 경우
- 전자결제대행업체와 외부 연계 시스템이 전용망으로 연결되어 있으나 해당 연계 시스템에서 내부 업무 시스템으로의 접근이 침입차단시스템 등으로 적절히 통제되지 않고 있는 경우
- 내부 지침에는 외부 핀테크 서비스 연계 시 정보보호팀의 보안성 검토를 받도록 되어 있으나, 최근에 신규 핀테크 서비스를 연계하면서 일정 상의 이유로 보안성 검토를 수행하지 않은 경우
스와이프(Swipe)로 이전/다음 항목으로 이동