-
-
一、組織發布行動應用程式前應檢視行動應用程式所需權限應與提供服務相當,首次發布或權限變動應經資安、法遵單位同意,並留有紀錄,以利綜合評估是否符合個人資料保護法之告知義務。
-
二、組織應於可信任來源之行動應用程式商店或網站發布行動應用程式,且應於發布時說明欲存取之敏感性資料、行動裝置資源及宣告之權限用途。
-
三、涉及客戶使用之行動應用程式於初次上架前及每年,組織應委由經財團法人全國認證基金會(TAF)認證合格之第三方檢測實驗室進行並完成通過資安檢測,檢測範圍以經濟部工業局委託執行單位「行動應用資安聯盟」公布之行動應用程式基本資安檢測基準項目進行檢測。未涉及客戶使用之行動應用程式,組織應於開發設計時,參考前述資安檢測基準。
-
四、如通過實驗室檢測後一年內有更新上架之需要,組織應於每次上架前就重大更新項目進行委外或自行檢測;所謂重大更新項目為與「下單交易」、「帳務查詢」、「身份辨識」及「客戶權益有重大相關項目」有關之功能異動。檢測範圍以最新OWASPMOBILETOP10之標準為依據,並留存相關檢測紀錄,且由資安專責單位(或資安專責人員)確認完成改善,如因故需緊急上線者(經適當層級核准)仍應於1個月內完成。
-
五、組織對第三方檢測實驗室所提交之檢測報告,應依經濟部工業局委託執行單位「行動應用資安聯盟」公布之行動應用程式基本資安檢測基準項目建立覆核機制,以確保檢測項目及內容一致,並留存覆核紀錄,覆核紀錄應送資安專責單位(或資安專責人員)監控,並由資安專責單位(或資安專責人員)確認完成改善。