一、經濟部中小企業處(以下簡稱本處)為辦理中小企業融資服務平台(以下
簡稱本平台)第二類至第四類使用單位之資格審查及認定事宜,依經濟部
中小企業處中小企業融資服務平台介接公務及非公務機關電子資料使用管
理規範(以下簡稱本規範)第三點第一款第一目規定,訂定本要點。
二、適用本規範之第二類使用單位,應符合下列要件:
(一)辦理本處委託中小企業發展條例所定輔導業務。
(二)全部核心資通系統導入 CNS27001 資訊安全管理系統國家標準,或其
他具有同等或以上效果之系統或標準,於二年內完成公正第三方驗證
,並持續維持其驗證有效性。
(三)近三年未發生資通安全事件通報及應變辦法所稱之資通安全事件。
(四)辦理中小企業融資服務平台介接業務之資訊系統及其備援系統,應設
置於我國境內。
(五)就使用電腦化資訊系統處理本平台作業部分,訂定相關內部控制制度
,並經董事會議或最高管理決策機關(構)決議通過。其內部控制制
度至少應包括下列控制作業:
1.系統開發及程式修改之控制。
2.程式及資料之存取控制。
3.資料輸出入之控制。
4.資料處理之控制。
5.檔案及設備之安全控制。
6.資通安全檢查之控制。
三、適用本規範之第三類使用單位,應符合下列要件:
(一)依法辦理公司登記。
(二)合法納稅且無積欠營利事業所得稅及罰鍰。
(三)非屬大陸地區人民來臺投資許可辦法所稱之陸資投資事業,亦非屬該
陸資投資事業之轉投資公司。
(四)全部核心資通系統導入 CNS27001 資訊安全管理系統國家標準,或其
他具有同等或以上效果之系統或標準,於二年內完成公正第三方驗證
,並持續維持其驗證有效性。
(五)近三年未發生資通安全事件通報及應變辦法所稱之資通安全事件。
(六)辦理中小企業融資服務平台介接業務之資訊系統及其備援系統,應設
置於我國境內。
(七)使用電腦化資訊系統處理本平台作業部分,應訂定相關內部控制制度
,並經董事會議或最高管理決策機關(構)決議通過,其內部控制制
度至少應包括下列控制作業:
1.系統開發及程式修改之控制。
2.程式及資料之存取控制。
3.資料輸出入之控制。
4.資料處理之控制。
5.檔案及設備之安全控制。
6.資通安全之檢查控制。
營業項目為金融租賃業、汽車租賃業或農業及其他工業用機械設備租賃業
之一者,除前項要件外,尚應符合下列要件:
(一)應加入依商業團體法設立之租賃商業同業公會成為會員。
(二)經財團法人金融聯合徵信中心實際查核輔導。
(三)實收資本額新臺幣二億元以上。
營業項目以整合資訊或科技為基礎,設計或發展數位化或創新金融服務相
關者,除第一項要件外,尚應符合實收資本額新臺幣三千萬元以上。
四、適用本規範之第四類使用單位,應符合下列要件:
(一)依法辦理公司、有限合夥及商業登記之營利事業,並取得經濟部核發
之工商憑證。
(二)前款營利事業負責人須取得內政部核發之自然人憑證。
五、申請認定為第二類使用單位,應檢具下列文件向本處提出申請:
(一)申請書(附件一)。
(二)承諾書(附件二)。
(三)履約保證函或資訊安全保險核保文件。
(四)本處委辦合約書影本。
(五)全部核心資通系統符合 CNS27001 國家標準,或其他具有同等或以上
效果之證明文件,或承諾於二年內取得公正第三方驗證之證明文件。
(六)近三年未發生資通安全事件通報及應變辦法所稱之資通安全事件之證
明文件。
(七)辦理介接業務之資訊系統及其備援系統設置於我國境內之證明文件。
(八)經董事會議或最高管理決策機關(構)決議通過之內部控制制度及會
議紀錄。
六、申請認定為第三類使用單位,應檢具下列文件,向本處提出申請:
(一)申請書(附件一)。
(二)承諾書(附件二)。
(三)履約保證函或資訊安全保險核保文件。
(四)公司設立或變更登記表影本。
(五)最近一年加蓋稅捐稽徵機關收件戳之損益及稅額計算表及資產負債表
,以及無積欠營利事業所得稅及罰鍰之證明文件。
(六)董監事名冊。
(七)全部核心資通系統符合 CNS27001 國家標準,或其他具有同等或以上
效果之證明文件,或承諾於二年內取得公正第三方驗證之證明文件。
(八)近三年未發生資通安全事件通報及應變辦法所稱之資通安全事件之證
明文件。
(九)辦理介接業務之資訊系統及其備援系統設置於我國境內之證明文件。
(十)經董事會議或最高管理決策機關(構)決議通過之內部控制制度及會
議紀錄。
營業項目為金融租賃業、汽車租賃業、農業及其他工業用機械設備租賃業
之一者,除前項文件外,尚應檢具下列文件:
(一)營業項目符合之證明文件,或以公開於財政部稅務入口網站之列印資
料代之。
(二)依商業團體法設立之租賃商業同業公會會員證或經核准入會之相關證
明文件。
(三)經財團法人金融聯合徵信中心查核輔導之相關證明文件。
營業項目以整合資訊或科技為基礎,設計或發展數位化或創新金融服務相
關者,除第一項文件外,尚應檢具營業項目符合之證明文件,或以公開於
財政部稅務入口網站之列印資料代之。
七、第四類使用單位經本平台驗證身分,並同意本平台之隱私權政策,得透過
本平台查調及下載其企業資料。
第四類使用單位對於透過本平台取得之資料應自負保管責任。
八、申請認定為第二類或第三類使用單位,經審查通過後,由本處核發核准函
,核准函應載明核准使用期間及資料使用等級,並副知介接機關。
前項資料使用等級分為二級:
(一)A 級:使用單位經取具授信企業及其負責人授權下,得介接原始資料
。
(二)B 級:使用單位經取具授信企業及其負責人授權下,僅得介接加值資
料。
九、第二類及第三類使用單位取得核准函後,核准使用期間以三年為原則,並
應於核准使用期間屆滿前六個月內,備齊第五點、第六點規定文件,向本
處申請重新審查。
經本處重新審查通過者,得自前次核准使用期間屆滿之次日起算三年內,
繼續擔任使用單位;未經審查通過者,自原核准使用期間屆滿之次日起,
不得繼續擔任使用單位。
十、第二類及第三類使用單位於核准使用期間內,發生下列情事之一,本處得
視個案具體情形為適當處置。情節重大者,經簽報本處處長或其授權人員
核定後,得終止其使用許可,並副知介接機關:
(一)資通安全事件通報及應變辦法所稱之資通安全事件。
(二)本規範第二十七點所定之情事。
(三)經本處派員查核發現重大異常。
第四類使用單位如有違反本規範第二十七點、本要點第七點或其他相關法
令規定情事,本處將立即終止該單位使用本平台之一切權利。