-
-
一、除「金融機構辦理快速身分識別機制安全控管作業規範」另有規範之作業方式外,組織提供電子式交易登入時,其安全設計應具有下列三項之任兩項以上技術:
-
(一)組織所約定之資訊,且無第三人知悉(如固定密碼、圖形鎖或手勢等)。
-
(二)客戶所持有之實體設備(如密碼產生器、密碼卡、晶片卡、電腦、行動裝置、憑證載具等),組織應確認該設備為客戶與組織所約定持有之設備。
-
(三)客戶提供給組織其所擁有之生物特徵(如指紋、臉部、虹膜、聲音、掌紋、靜脈、簽名等),組織應直接或間接驗證該生物特徵。間接驗證係指由客戶端設備(如行動裝置)驗證或委由第三方驗證,組織僅讀取驗證結果,必要時應加驗證來源辨識;採用間接驗證者,應事先評估客戶身分驗證機制之有效性。
-
二、組織使用固定密碼為驗證機制,於資料如為固定密碼者,於儲存時應先進行不可逆運算(如雜湊演算法),另為防止透過預先產製雜湊值推測密碼,應進行加密保護或加入不可得知之資料運算;採用加密演算法者,其金鑰應儲存於經第三方認證(如FIPS 140-2 Level 3以上)之硬體安全模組內並限制明文匯出功能。
-
三、組織直接驗證生物特徵且儲存生物特徵資料於組織內部系統時,應將原始生物特徵資料去識別化使其難以還原、將原始生物特徵資料及假名標識符進行加密儲存、將生物特徵資料分別儲存於不同之儲存媒體(如資料庫);加密金鑰應儲存於符合FIPS 140-2 Level 3以上或其他相同安全強度認證之設備,以防止該私鑰被匯出或複製。
-
四、組織直接驗證該生物特徵時應依據其風險承擔能力,建立其錯誤接受率及錯誤拒絕率之標準,並於上線前與每年定期檢視。若不符合組織要求時,應建立補償措施;針對間接驗證生物特徵技術,應每年定期檢視並蒐集資安威脅情資,建立補償措施;採用間接驗證者,應事先評估客戶身分驗證機制之有效性。
-
五、組織使用憑證作為驗證機制,應為經濟部核定或許可之憑證機構所核發之憑證,並強化憑證換發之驗證機制(如採用OTP機制),以確保為客戶本人登入。