Page 40 - 銀行家雜誌第101期

P. 40

封面故事
Cover Story

3. 隨著FinTech的多元發展，或是惡意網路 Part 504的制定，就是為了彌補合規性落差，並
攻擊等，都讓法令遵循及資料安全的維護變得更督促銀行改善管理和監督的流程。客戶審查
加複雜且具有挑戰性，銀行應隨時關注相關發（Customer Due Diligence, CDD）的執行、實質受
展，並升級內部系統，以因應金融環境變革。益權（beneficial ownership）的資訊掌握、交易
監控（transaction monitoring）與過濾機制（watch

防制洗錢為重要國際法遵趨勢 list filtering）的落實、聲明書的要求、遵循稅
法和海外股權資產的透明度要求、資料隱私性
洗錢防制政策與流程步驟被強制規範與要（data privacy），以及網路安全（cyber security）
求，包括提升客戶審查的品質與確實、未能落實等面向，都是近年來備受關注的防制洗錢措施與
執行的巨額制裁、以及反洗錢的控制措施等，每趨勢。落實AML（Anti-Money Laundering）及遵守
一項規定的異動或新頒布，都象徵著銀行的法遵銀行保密法（Bank Secrecy Act, BSA）的重點，其
執行與合規有所落差，因此要提醒銀行更加重視實就是釐清什麼應該做，什麼不應該做，然後
並予以調整，法遵是任重而道遠的枷鎖。NYDFS 應用風險基礎方法，識別風險等級，為迴避風

23 NYCRR Part 500 的規範期限

2017年
3月1日 23 NYCRR 500生效

第一個轉換緩衝期限。
2017年必須符合500.02（網路安全計劃）、500.03（網路安全政策）、500.04（a）（任命 CISO）、500.07（存取權
8月28日
限）、500.10（網路安全人事）、500.16（事件應變計劃）、500.17（a）（通報條款）等條款規定。

2018年依據500.17（b）條款，必須提交第一份年度法令遵循聲明證書。
2月15日

1年轉換期結束。
2018年必須符合500.04（b）（CISO 提交報告）、500.05（滲透測試與弱點掃描）、500.09 （風險評
3月1日
估）、500.12（多重因子驗證）、500.14（b）（人員訓練）等條款規定。

18個月轉換期結束。
2018年
9月3日必須符合500.06（稽核軌跡）、500.08（應用系統安全）、500.13（資料保存限制）、500.14（a）（存
取監控）、500.15（非公開資訊加密）等條款規定。

2年轉換期結束。
2019年
3月1日必須符合所有的條款規定以及500.11（第三方服務供應商安全性政策要求）條款規定。

資料來源：https://www.dfs.ny.gov/about/cybersecurity.htm，編輯部整理。

40 台灣銀行家2018.5月號

P024-041-18TD1399.indd 40 2018/4/25 下午10:13

35 36 37 38 39 40 41 42 43 44 45