法規資訊
| 法規名稱 | 中華民國證券商業同業公會新興科技資通安全自律規範 |
| 發佈日期 | 民國111年9月21日 |
| 沿革資訊 | 中華民國111年9月21日中華民國證券商業同業公會中證商業一字第1110005180號函修正發布名稱及第1條至第4條;增訂第9條、第10條條文,原第9條、第10條遞移至第11條、第12條,並自即日起實施(原名稱:中華民國證券商業同業公會新興科技資訊安全自律規範)(中華民國111年9月15日金融監督管理委員會金管證券字第1110355166號函辦理) |
所有條文
-
第9條 (電子式交易相關控管)
-
證券商提供電子式交易登入時,其安全設計應具有下列三項之任兩項以上技術:
-
一、證券商所約定之資訊,且無第三人知悉(如固定密碼、圖形鎖或手勢等)。
-
二、客戶所持有之實體設備(如密碼產生器、密碼卡、晶片卡、電腦、行動裝置、憑證載具等),證券商應確認該設備為客戶與證券商所約定持有之設備。
-
三、客戶提供給證券商其所擁有之生物特徵(如指紋、臉部、虹膜、聲音、掌紋、靜脈、簽名等),證券商應直接或間接驗證該生物特徵。間接驗證係指由客戶端設備(如行動裝置)驗證或委由第三方驗證,證券商僅讀取驗證結果,必要時應驗證來源辨識;採用間接驗證者,應事先評估客戶身分驗證機制之有效性。
-
-
證券商對於電子式交易身分的申請、交付、使用、更新與驗證應訂有相關控管措施。
-
證券商應就帳號登入失敗、非客戶帳號登入嘗試紀錄留存相關監控及分析紀錄。
-
證券商對電子式交易身分的驗證資訊於網際網路傳輸時應全程加密。
-
證券商對電子式交易身分的驗證資訊應進行雜湊或加密儲存。
-
證券商應於伺服器端驗證客戶電子式交易身分。
-
證券商應使用優質密碼設定並進行管控,確實執行密碼輸入錯誤次數達3次者應予帳號鎖定。
-
證券商應提供客戶定期更新密碼之機制並使用優質密碼。
-
證券商應留存個人資料使用稽核軌跡(如登入帳號、系統功能、時間、系統名稱、查詢指令或結果)或辨識機制,以利個人資料外洩時得以追蹤個人資料使用狀況。