電子支付機構資訊系統標準及安全控管作業基準辦法 第 20 條

電子支付作業環境之委外管理應符合下列要求： 一、委外處理前應先對受託廠商進行適當之安全評估，並依據最小權限及資訊最小揭露原則進行安全管控設計。 二、委託契約或相關文件中，應明確約定下列內容： （一）受託廠商應遵守本辦法及其他適當資訊安全國際標準要求，確保委託人資料之安全。 （二）對受託廠商應依本辦法內容進行適當監督。 （三）當委外業務安全遭到破壞時，受託廠商應主動、即時通知委託人。 （四）交付之系統或程式應確保無惡意程式及後門程式，其放置於網際網路之程式應通過程式碼掃描或黑箱測試。 三、應對委外廠商進行資訊安全稽核或由委外廠商提出資訊安全稽核報告，至少每年一次。