[전자금융] 사전에 정한 조회기간 이상으로 거래내역 조회가능 여부

평가항목ID	WEB-FIN-007, MOB-FIN-007	위험도	5
통제구분	5.8.2 (전자금융) 거래 인증	평가항목	[전자금융] 사전에 정한 조회기간 이상으로 거래내역 조회가능 여부
상세설명	o 거래내역 조회 시 금융회사가 정한 기간 이상의 내역 조회 가능 여부를 점검 * (평가 예시)  - 3개월로 정한 거래내역 조회기능을 3개월 이상으로 변경 후 응답 여부 점검 - 거래가 종료된 계좌에 대해 거래내역을 임의 조회 가능 여부 점검 등

 

사전에 정한 조회기간 이상으로 거래내역 조회가능 여부

미리 정해진 조회 기간 이후에도 거래 내역을 볼 수 있는지 여부는 법적 및 규제 요구 사항, 데이터 보존 정책 및 기술적 제한과 같은 여러 요인에 따라 다릅니다.

경우에 따라 법률 및 규제 요구 사항에 따라 특정 기간 동안 거래 세부 정보를 보관해야 하며 이 정보는 법적 개시 또는 감사 프로세스의 대상이 될 수 있습니다. 예를 들어 금융 기관은 자금 세탁 방지(AML) 규정을 준수하기 위해 최소 5년 동안 거래 데이터를 보관해야 할 수 있습니다.

그러나 다른 경우에는 데이터 보존 정책에 따라 종종 데이터 개인 정보 보호 및 보안상의 이유로 특정 기간이 지나면 트랜잭션 데이터를 제거하도록 지시할 수 있습니다. 또한 기술적 한계로 인해 데이터를 덮어쓰거나 보관하는 경우와 같이 일정 기간이 지난 거래 데이터를 검색하는 것이 어렵거나 불가능할 수 있습니다.

전반적으로 미리 정해진 조회 기간 이후에도 거래 내역을 조회할 수 있는지 여부는 다양한 요인에 따라 달라집니다. 회사와 조직은 트랜잭션 데이터를 보존할 적절한 기간과 안전하게 제거할 수 있는 시기를 결정하기 위해 법적 요구 사항, 데이터 보존 정책 및 기술적 제한의 균형을 맞춰야 합니다.

 

해결방안

거래내역 조회 요청 시 제한적인 조회 기간을 설정합니다. (조회 기간은 서비스 제공자가 정한 자체 기준)

설정된 조회 기간을 검증하는 로직은 클라이언트(Javascript)가 아닌 서버측에서 수행합니다.
클라이언트에서 검증 시 스크립트 변조를 통해 정해진 기간 외 조회 요청이 가능합니다.