-
一、資通系統應具備唯一識別及鑑別公司內部、外部使用者(或代表公司使用者行為之程序)之功能,禁止使用共用帳號。
-
二、透過網際網路使用管理者帳號登入系統時,應採用多因子認證機制。
-
三、使用者使用預設密碼登入資通系統時,應於登入後要求立即變更預設密碼後方可繼續作業。
-
四、資通系統不以明文傳輸身分驗證相關資訊。
-
五、資通系統具備帳戶鎖定機制,帳號登入進行身分驗證失敗達五次後,至少十五分鐘內不允許該帳號繼續嘗試登入。外國期貨商如有標準較佳之規範則從其規範;若無,則應遵守本國的規範。
-
六、屬電子式交易資通系統,使用者密碼輸入錯誤次數達三次者,應記錄登入失敗事件、鎖定該登入帳號並中斷連線;受理解除鎖定之申請時,應確實辨認身分,並留存相關紀錄後,始得解除鎖定。
-
七、資通系統如使用密碼進行驗證時,應採用優質密碼設定,設定密碼最長使用期限為三個月,檢核密碼最短使用期限及密碼歷程記錄為三代,如為客戶帳號者,除優質密碼設定外,其餘密碼設定可依公司自行規範辦理。外國期貨商如有標準較佳之規範則從其規範;若無,則應遵守本國的規範。
-
八、核心系統身分驗證機制應防範自動化程式之登入或密碼更換嘗試,非核心系統宜防範自動化程式之登入或密碼更換嘗試。
-
九、提供對外服務之核心系統密碼重設機制對使用者重新身分確認後,發送一次性及具有時效性符記(如:網站連結或一次性密碼One-time password(OTP)至使用者登記之電子信箱或手機)或其他驗證身分方式,非核心系統密碼重設後宜有驗證身分方式。
-
十、應遮蔽資通系統鑑別過程中之資訊。
-
十一、資通系統如以密碼進行資通系統鑑別時,該密碼應加密或經雜湊處理後儲存。