CONTENTS
- 1. Положение о надзоре в сфере электронных финансов | Сфера применения и цель
- 2. Положение о надзоре в сфере электронных финансов | Основное содержание
- - Введение обязанности CISO отчитываться перед советом директоров
- - Расширение обязанности по созданию центров аварийного восстановления
- - Повышение лимита страхования ответственности за инциденты в электронных финансах
- - Смягчение регулирования и саморегулируемая ответственность
- 3. Положение о надзоре за электронными финансовыми операциями | Контрольные пункты
- - Ключевые вопросы для проверки финансовых компаний
- - Основные пункты проверки для электронных финансовых организаций
- 4. Положение о надзоре в сфере электронных финансов | Необходимость юридической консультации
- - Система юридического реагирования «Дэрюн»
1. Положение о надзоре в сфере электронных финансов | Сфера применения и цель
Положения об электронном финансовом надзоре представляют собой нормативные акты, устанавливающие систему безопасности и операционные стандарты, которыми должны обладать финансовые компании и операторы электронного финансового бизнеса для обеспечения безопасности электронных финансовых транзакций и защиты пользователей.
Традиционные финансовые компании, такие как банки, страховые компании и компании по ценным бумагам, а также различные предприятия, участвующие в электронных финансовых операциях, также подлежат регулированию.
▷ Финансовые компании, специализирующиеся на кредитах, таких как финансирование в рассрочку и аренда помещений.
▷ Взаимные сберегательные банки, создавшие собственные компьютерные системы и т. д.
Пересмотренные правила, вступившие в силу в феврале 2025 года, расширили объем требований, необходимых для создания центров аварийного восстановления, и включили в сферу действия новых правил операторов электронного финансового бизнеса и кредитно-специализированные финансовые компании определенного размера.
Если вы впервые попадаете под обязательство в связи с ростом размера транзакции или размера активов, необходимо заранее проверить, не соответствует ли существующая операционная система нормативным стандартам.
2. Положение о надзоре в сфере электронных финансов | Основное содержание
Положения об электронном финансовом надзоре были пересмотрены 5 февраля 2025 года, и в целях реагирования на технологические разработки и изменения в цифровой финансовой среде существующие 293 подробных регламента, связанных с безопасностью, были сокращены до 166, а также была заложена основа для финансовых компаний для самостоятельного проектирования и эксплуатации своих систем безопасности.
Однако пересмотренные правила также включают положения об ужесточении правил, а для некоторых положений предусмотрен отдельный льготный период, поэтому подготовку необходимо завершить до этого момента.
Введение обязанности CISO отчитываться перед советом директоров
Раньше от директора по информационной безопасности требовалось только сообщать генеральному директору о вопросах, рассмотренных и решенных Комитетом по информационной безопасности, но пересмотренные правила предписывали директору по информационной безопасности сообщать о важных вопросах непосредственно совету директоров.
Должны быть установлены внутренние стандарты по вопросам, подлежащим доведению до сведения Совета директоров, и, при необходимости, соответствующие внутренние положения должны быть пересмотрены.
Расширение обязанности по созданию центров аварийного восстановления
Помимо обеспечения физического пространства, создание центра аварийного восстановления включает в себя дополнительные процедуры, такие как построение системы, проектирование резервирования и тестирование восстановления, поэтому график подготовки должен быть установлен заранее с учетом даты внедрения.
Новые обязательные цели | стандартный |
электронный финансовый оператор | Общий годовой объем электронных финансовых транзакций превышает 2 триллиона вон |
Специализированная кредитно-финансовая компания | Общие активы более 2 триллионов вон + более 300 штатных сотрудников |
взаимный сберегательный банк | При создании и эксплуатации собственной компьютерной системы |
Повышение лимита страхования ответственности за инциденты в электронных финансах
Чтобы усилить защиту пользователей в случае электронной финансовой катастрофы, был увеличен общий лимит подписки на страхование ответственности для каждой отрасли.
разделение | До пересмотра | После доработки |
Поставщик авансовых услуг / Агентство электронных платежей | 100 миллионов вон | 200 миллионов вон |
Женщина-воин / Страховая компания / Взаимная сберегательная касса | 100 миллионов вон | 200 миллионов вон |
Финансово-инвестиционный бизнес с активами в 2 триллиона вон и более и т.д. | 500 миллионов вон | 1 миллиард вон |
Смягчение регулирования и саморегулируемая ответственность
Существующие микрорегуляторы, такие как стандарты зданий, объектов и компьютерных залов, подробности мер по предотвращению вредоносного кода, методы установки паролей и подробные правила разделения обязанностей, в значительной степени были удалены или интегрированы в основные правила.
Однако переход к принципам означает, что возможности финансовых компаний самостоятельно разрабатывать свои системы безопасности расширились, и в то же время финансовые компании будут нести прямую ответственность.
Органы финансового надзора уже заявили, что планируют пересмотреть законодательство о цифровой финансовой безопасности таким образом, чтобы усилить ответственность за результаты после событий в случаях, когда не установлена автономная система безопасности или происходит инцидент безопасности.
Таким образом, вместо того, чтобы понимать удаление подробных правил как погашение обязательств, финансовым компаниям необходимо эффективно разработать и использовать систему внутреннего контроля для добровольного поддержания соответствующего уровня безопасности.
3. Положение о надзоре за электронными финансовыми операциями | Контрольные пункты
Положения об электронном финансовом надзоре налагают юридические обязательства на финансовые компании по всей системе безопасности по обеспечению безопасности электронных финансовых транзакций и защите пользователей, а с внедрением пересмотренных правил требуется проверка системы внутреннего контроля и связанных с ней внутренних правил.
Ключевые вопросы для проверки финансовых компаний
· Если вы обязаны создать центр аварийного восстановления, имеется ли график строительства и план подготовки
· Соответствует ли страхование ответственности пересмотренным стандартам или необходимо продление
· Существующие внутренние правила, такие как меры по предотвращению вредоносного ПО и меры по управлению веб-сервером Была ли система организована в соответствии с пересмотренным регламентом системы
· При реорганизации системы ИТ-подразделения заранее рассмотрен вопрос о распределении ответственности в случае происшествия.
· Поддерживается ли реальный уровень безопасности в автономно функционирующей зоне безопасности.
· Прописаны ли во внутренних регламентах электронные процедуры обработки финансовых инцидентов (классификация типов, этапы обработки, оценка серьезности и т. д.).
В частности, недостатки в процедурах внутреннего контроля могут привести к проблемам индивидуальной ответственности руководителей в случае несчастного случая, поэтому важно провести общий пересмотр внутренних рабочих процессов в соответствии с внедрением пересмотренных правил.
Основные пункты проверки для электронных финансовых организаций
Электронные финансовые компании, которые предоставляют электронные финансовые услуги, такие как простые платежи, PG и предоплаченные пополнения, несут обязательства по обеспечению безопасности, аналогичные обязательствам финансовых компаний, а стандарты применения различаются в зависимости от размера и характеристик услуг.
· Соответствует ли минимальный лимит компенсации при страховании ответственности за электронные финансовые происшествия пересмотренным стандартам и необходимо ли продление
· Точно ли вы осведомлены о стандартах обязательств по отчетности (время задержки/прерывания, количество подписчиков и т. д.) в случае возникновения электронной финансовой аварии
· Внутренние правила, связанные с сообщением о несчастных случаях, пересмотрены Принимаются ли меры соответствуют нормативным актам
· Были ли меры по предотвращению заражения вредоносным кодом и меры по управлению общедоступным веб-сервером обновлены в соответствии с пересмотренными правилами
· Поддерживается ли безопасность на уровне или выше уровня предварительных правил в автономно управляемой зоне безопасности
Поскольку электронные финансовые компании находятся в прямом контакте с пользователями, когда происходит инцидент безопасности, это часто приводит к ущербу и спорам пользователей.
Кроме того, если по мере роста масштаба будут включены новые обязательства, всю существующую операционную систему необходимо будет реорганизовать, чтобы она соответствовала нормативным стандартам.
4. Положение о надзоре в сфере электронных финансов | Необходимость юридической консультации
Нарушение правил электронного финансового надзора не только влечет за собой административные санкции (приостановление деятельности, штрафы, аннулирование регистрации), но также может привести к спорам о возмещении ущерба пользователям или вопросам исполнительной ответственности.
В частности, после внедрения пересмотренных правил адекватность самой автономной системы безопасности, вероятно, будет служить важным фактором принятия решения, поэтому важно заранее проверить, разработана ли система внутреннего контроля для соответствия целям правил.
Система юридического реагирования «Дэрюн»
«Дэрюн» систематически отвечает на вопросы, связанные с правилами электронного финансового надзора, основываясь на своем опыте реагирования на финансовые правила и корпоративные юридические вопросы.
· Проверка Службой финансового надзора на месте и письменный ответ на проверку и представление заключения
· Юридический анализ рисков, связанных с обязанностями внутреннего контроля директоров по информационной безопасности и руководителей
· Юридическая проверка подготовки к внедрению, такой как создание центра аварийного восстановления и продление страховки
· Споры пользователей и компенсация ущерба в случае электронного финансового несчастного случая Ответ
· Юридическая экспертиза внутренних регламентов и рабочих процессов для создания автономной системы безопасности
Поскольку споры, связанные с электронными финансами, часто связаны со сложными техническими фактами и нормативными интерпретациями, систематическая юридическая экспертиза важна на ранней стадии дела.
Если вам нужна юридическая консультация относительно правил электронного финансового надзора, обратитесь к юристу по цифровым финансам в «Дэрюн», девятой по величине юридической фирме в Корее (на основе 25-летней отчетности по налогу на добавленную стоимость в Национальную налоговую службу).
