法規資訊

1. 第1條 (規範目的)

1. 為強化證券商管理及應用新興科技，特訂定本自律規範。

1. 第2條 (用詞定義)

1. 一、雲端運算服務：透過網路技術達成共享運算資源之前提下，提供使用者具備彈性、可擴展及可自助之服務(如：IaaS(基礎架構即服務)、PaaS(平台即服務)、SaaS(軟體即服務))。惟本自律規範定義之雲端運算服務不包含建置組織內部且僅對內提供服務之私有雲。
2. 二、社群媒體：一種結合科技、社交互動與內容創造之網路應用，允許創造或交換使用者產出內容；且透過此高度互動的平台，個人及群體可以分享、共創、討論並修改使用者產出內容，惟本自律規範定義之社群媒體不含組織內部溝通使用之社群媒體或平台。
3. 三、行動裝置：一種具有資料運算處理、儲存與網路連線功能之可攜式設備，包括但不限於智慧型手機、筆記型電腦、平板電腦與PDA等裝置，惟本自律規範定義之行動裝置僅限可用於處理組織內部定義之敏感性事務且可直接連接組織網路設備、服務之行動裝置。
4. 四、員工自攜行動裝置(BYOD)：非屬組織行動裝置用於處理組織事務、直接連接組織網路設備或服務。
5. 五、物聯網設備：指具網路連線功能之嵌入式系統設備及其周邊連網之裝置(如：感測器)。
6. 六、電子式交易驗證：指以組織同意之電子式委託買賣前對使用者身分驗證資訊進行確認。惟本自律規範定義之電子式交易驗證僅適用透過網際網路交易之系統，不包含電話語音、電子式專屬線路下單(Direct Market Access，簡稱DMA)、主機共置(Co–Location)等服務型態。
7. 七、深度偽造(Deepfake)：指使用電腦合成或其他科技方法製作或散布涉及真實人物實際未發生的行為舉止影像紀錄、動態圖像、錄音、電子圖像、照片及任何言語或行為等技術表現形式。

1. 第3條 (資通安全法令遵循)

1. 證券商管理及應用新興科技除應遵循主管機關金融監督管理委員會「指定非公務機關個人資料檔案安全維護辦法」、臺灣證券交易所「建立證券商資通安全檢查機制」等相關規範外，並應依本自律規範辦理。
2. 外資集團在台子公司或分公司如有標準較佳之規範則從其規範；若無，則應遵守本國的規範。

1. 第4條 (雲端運算服務運作安全)

1. 證券商應事先評估使用雲端運算服務之風險，若雲端運算服務涉及關鍵性系統、資料或服務者，應訂定雲端運算服務相關運作安全規範，其內容包含下列項目：
1. 一、證券商為使用者時應訂定雲端運算服務提供者之遴選機制及查核措施。
2. 二、證券商為提供者時應訂定雲端運算服務安全控管措施。
3. 三、就雲端服務中斷及終止應訂立管理措施。

1. 第9條 (電子式交易相關控管)

1. 證券商提供電子式交易登入時，其安全設計應具有下列三項之任兩項以上技術：

   1. 一、證券商所約定之資訊，且無第三人知悉(如固定密碼、圖形鎖或手勢等)。
   2. 二、客戶所持有之實體設備(如密碼產生器、密碼卡、晶片卡、電腦、行動裝置、憑證載具等)，證券商應確認該設備為客戶與證券商所約定持有之設備。
   3. 三、客戶提供給證券商其所擁有之生物特徵(如指紋、臉部、虹膜、聲音、掌紋、靜脈、簽名等)，證券商應直接或間接驗證該生物特徵。間接驗證係指由客戶端設備(如行動裝置)驗證或委由第三方驗證，證券商僅讀取驗證結果，必要時應驗證來源辨識；採用間接驗證者，應事先評估客戶身分驗證機制之有效性。
2. 證券商對於電子式交易身分的申請、交付、使用、更新與驗證應訂有相關控管措施。
3. 證券商應就帳號登入失敗、非客戶帳號登入嘗試紀錄留存相關監控及分析紀錄。
4. 證券商對電子式交易身分的驗證資訊於網際網路傳輸時應全程加密。
5. 證券商對電子式交易身分的驗證資訊應進行雜湊或加密儲存。
6. 證券商應於伺服器端驗證客戶電子式交易身分。
7. 證券商應使用優質密碼設定並進行管控，確實執行密碼輸入錯誤次數達3次者應予帳號鎖定。
8. 證券商應提供客戶定期更新密碼之機制並使用優質密碼。
9. 證券商應留存個人資料使用稽核軌跡(如登入帳號、系統功能、時間、系統名稱、查詢指令或結果)或辨識機制，以利個人資料外洩時得以追蹤個人資料使用狀況。

1. 第10條 (深度偽造之防範)

1. 證券商使用影像視訊方式進行身分驗證應強化驗證。
2. 證券商宜定期辦理涵蓋深度偽造認知及防範議題資訊安全教育訓練。

1. 第11條 (違規處理程序)

1. 證券商違反本自律規範，依本公會會員自律公約及其他有關之規定辦理。

1. 第12條 (本法施行程序)

1. 本自律規範經本公會理事會會議通過，並報奉主管機關核備後實施，修正時亦同。