三、行動應用程式安全管理(適用具開辦電子交易投信投顧公司):
-
(一)行動應用程式發布:
-
1.行動應用程式應於可信任來源之行動應用程式商店或網站發布,且應於發布時說明欲存取之敏感性資料、行動裝置資源及宣告之權限用途。
-
2.應於官網上提供行動應用程式之名稱、版本與下載位置。
-
3.應建立偽冒行動應用程式定期偵測機制,以維護客戶權益。
-
4.應於發布前檢視行動應用程式所需權限應與提供服務相當,首次發布或權限變動應經資安、法遵單位同意,並留有紀錄,以利綜合評估是否符合個人資料保護法之告知義務。
-
(二)敏感性資料保護:
-
1.行動應用程式傳送及儲存敏感性資料時應透過有效憑證、雜湊(Hash)或加密等機制以確保資料傳送及儲存安全,並於使用時應進行適當去識別化,相關存取日誌應予以保護以防止未經授權存取。
-
2.啟動行動應用程式時,如偵測行動裝置疑似遭破解(如root、jailbreak、USB debugging等),應提示使用者注意風險。
-
(三)行動應用程式檢測:
-
1.涉及投資人使用之行動應用程式於初次上架前及有重大更新項目時應委由經財團法人全國認證基金會(TAF)認證合格之第三方檢測實驗室進行並完成通過資安檢測,檢測範圍以經濟部工業局委託執行單位「行動應用資安聯盟」公布之行動應用程式基本資安檢測基準項目進行檢測。
-
2.如通過實驗室檢測後一年內有更新上架之需要,應於每次上架前就重大更新項目進行委外或自行檢測;上架一年後若無重大更新項目時,應委外或自行檢測;所謂重大更新項目為與「下單交易」、「帳務查詢」、「身份辨識」及「客戶權益有重大相關項目」有關之功能異動。檢測範圍以OWASP MOBILE TOP 10之標準為依據,並留存相關檢測紀錄。
-
3.公司對第三方檢測實驗室所提交之檢測報告,應依附錄所列檢測項目建立覆核機制,以確保檢測項目及內容一致,並留存覆核紀錄。