東南亞核心銀行系統的監管框架

以下是針對東南亞五個主要市場（新加坡、越南、泰國、馬來西亞、印尼）核心銀行系統供應商（如 Neo Core）在零售銀行、商業銀行、數位銀行和伊斯蘭銀行領域的監管要求總結。

🇸🇬 新加坡

• 監管機構：新加坡金融管理局（MAS）(Cloud4C)

• 主要法規：

• 《個人資料保護法》（PDPA）

• 《科技風險管理指引》（TRM Guidelines）

• 《雲端服務指引》(Baker McKenzie Resource Hub, Silverfort)

• 重點要求：

• 資料駐留：無強制要求，但需確保資料跨境傳輸的安全性和合規性。

• 個人識別資訊（PII）處理：需取得明確同意，並遵守PDPA規定。
• 資料儲存與稽核：需保留完整的稽核記錄，並接受MAS或其指定機構的稽核。
• 停機管理：重大事件需通報MAS，並制定業務持續計劃（BCP）。
• 伊斯蘭合規：適用於伊斯蘭銀行，需遵守相關的伊斯蘭金融指引。
• 資訊安全：鼓勵遵循ISO 27001、PCI DSS等國際標準。(Sangfor Technologies, Baker McKenzie Resource Hub)

🇻🇳 越南

• 監管機構：越南國家銀行（SBV）(Moody's)

• 主要法規：

• 《個人資料保護法》（PDPL，預計2026年生效）

• 《網絡安全法》及其實施細則（Decree 53）(Sangfor Technologies, DLA Piper)

• 重點要求：

• 資料駐留：需在越南境內儲存特定類型的資料，包括用戶個人資訊和交易資料。

• PII處理：需取得用戶同意，並遵守PDPL規定。
• 資料儲存與稽核：需保留至少24個月的資料，並接受相關部門的檢查。
• 停機管理：需通報用戶和主管機關，但具體時限和方式尚未明確。
• 資訊安全：需建立資訊安全管理體系，並定期進行風險評估。(Sangfor Technologies)

🇹🇭 泰國

• 監管機構：泰國銀行（BOT）

• 主要法規：

• 《個人資料保護法》（PDPA）

• 《支付系統法》

• BOT相關通知和指引(Baker McKenzie Resource Hub, Deloitte United States, Baker McKenzie Resource Hub)

• 重點要求：

• 資料駐留：無強制要求，但跨境傳輸需確保接收方具備足夠的資料保護措施。

• PII處理：需取得用戶同意，並遵守PDPA規定。
• 資料儲存與稽核：需保留完整的稽核記錄，並接受BOT的檢查。
• 停機管理：需制定業務持續計劃，並定期進行測試。
• 資訊安全：需建立資訊安全管理體系，並定期進行風險評估。(Sangfor Technologies)

🇲🇾 馬來西亞

• 監管機構：馬來西亞國家銀行（BNM）(Thales Cyber Security Solutions)

• 主要法規：

• 《個人資料保護法》（PDPA）

• 《科技風險管理政策》（RMiT）(Thales Cyber Security Solutions)

• 重點要求：

• 資料駐留：無強制要求，但跨境傳輸需確保接收方具備足夠的資料保護措施。

• PII處理：需取得用戶同意，並遵守PDPA規定。
• 資料儲存與稽核：需保留完整的稽核記錄，並接受BNM的檢查。
• 停機管理：需制定業務持續計劃，並定期進行測試。
• 伊斯蘭合規：適用於伊斯蘭銀行，需遵守相關的伊斯蘭金融指引。
• 資訊安全：需建立資訊安全管理體系，並定期進行風險評估。

🇮🇩 印尼

• 監管機構：印尼金融服務管理局（OJK）

• 主要法規：

• 《個人資料保護法》（PDP Law）

• OJK第11/POJK.03/2022號規定(OJK Portal)

• 重點要求：

• 資料駐留：金融機構需將資料儲存在印尼境內，除非獲得OJK批准。

• PII處理：需取得用戶同意，並遵守PDP Law規定。
• 資料儲存與稽核：需保留完整的稽核記錄，並接受OJK的檢查。
• 停機管理：需通報OJK，並制定業務持續計劃。
• 伊斯蘭合規：適用於伊斯蘭銀行，需遵守相關的伊斯蘭金融指引。
• 資訊安全：需建立資訊安全管理體系，並定期進行風險評估。

🌏 比較總結

整體而言，印尼和越南在資料駐留方面的要求較為嚴格，而新加坡、馬來西亞和泰國則在資訊安全和稽核方面有更高的標準。對於核心銀行系統供應商而言，需根據各國的監管要求，調整產品設計和合規策略。