-
-
一、透過網際網路傳輸個人或機敏資料,核心系統應採用加密傳輸機制,以防止未授權之資訊揭露或偵測資訊之變更。
-
二、第一類組織於內部網路傳輸個人或機敏資料,核心系統宜採加密傳輸機制。
-
三、上開兩項,傳輸過程中如有替代之實體保護措施者,則無需採加密傳輸機制。
-
四、如有國際傳輸機敏資料,組織應建立加密傳輸機制且應就受委託機構(外資組織因內部分工將資訊委外至總公司、國外分支機構境外處理者)對客戶資訊之蒐集、處理、利用、國際傳輸及控管情形確認符合我國個人資料保護法相關規定,傳輸前應取得當事人授權且不違反主管機關對國際傳輸之限制,並留存完整稽核紀錄。
-
五、加密機制應使用公開、國際機構驗證且未遭破解之演算法。
-
六、加密機制之金鑰或憑證應定期更換。
-
七、加密機制宜支援演算法最大長度金鑰。
-
八、加密機制於伺服器端之金鑰保管宜訂定管理規範及實施應有之安全防護措施。
-
九、第一類組織之核心系統重要組態設定檔案及其他具保護需求之資訊應加密或以其他適當方式儲存。
-
十、加解密程式或具變更權限之公用程式(如資料庫工具程式)應列管並限制使用,防止未經授權存取並保留稽核軌跡。