第 六 章 電子式交易身分驗證安全控管
|
第 32 條 | (電子式交易身分驗證定義)
指以組織同意之電子式委託買賣前對使用者身分驗證資訊進行確認。 |
|
第 33 條 | (電子式交易型態)
電子式交易型態指委託人以「臺灣證券交易所股份有限公司營業細則」第
七十五條、「臺灣期貨交易所股份有限公司業務規則」第四十八條、「中
華民國證券投資信託暨顧問商業同業公會國內證券投資信託基金電子交易
作業準則」第二條、「中華民國證券投資信託暨顧問商業同業公會境外基
金電子交易作業準則」第二條所訂之電子式委託買賣方式。 |
相關資訊 |
第 34 條 | (電子式交易身分驗證指引適用範圍)
本指引定義之電子式交易身分驗證,僅適用於透過網際網路交易之系統,
不包含電話語音、電子式專屬線路下單(Direct Market Access,簡稱
DMA)、主機共置(Co–Location)等服務型態。 |
|
第 35 條 | (電子式交易之訊息防護措施)
訊息防護措施應符合訊息隱密性、訊息完整性、訊息來源辨識性及訊息不
可重複性之安全設計,應符合下列要求:
一、訊息隱密性:應採用 AES 128bits、RSA 2048bits、ECC 256bits
以上或其他安全強度相同含以上之演算法進行加密運算,應採用 TLS
1.2 (含)以上之通訊協定並使用 Elliptic Curve Diffie-Hellman
Exchange 方式進行金鑰交換。
二、訊息完整性:應採用 SHA 256bits、AES 128bits、RSA 2048bits、
ECC 256bits 以上或其他安全強度相同含以上之演算法進行押碼或加
密運算。
三、訊息來源辨識性:應採用 SHA 256 bits、AES 128bits、RSA
2048bits、ECC 256bits 以上或其他安全強度相同含以上之演算法進
行押碼、加密運算或數位簽章。
四、訊息不可重複性:應採用序號、一次性亂數、時間戳記等機制產生。
五、訊息不可否認性:應採用 SHA256 以上或其他安全強度相同(含)以
上之演算法進行押碼,及採用 RSA 2048bits、ECC 256bits 以上或
其他安全強度相同含以上之演算法進行數位簽章。 |
|
第 36 條 | (電子式交易身分驗證機制管理)
一、除「金融機構辦理快速身分識別機制安全控管作業規範」另有規範之
作業方式外,組織提供電子式交易登入時,其安全設計應具有下列三
項之任兩項以上技術:
(一)組織所約定之資訊,且無第三人知悉(如固定密碼、圖形鎖或手勢
等)。
(二)客戶所持有之實體設備(如密碼產生器、密碼卡、晶片卡、電腦、
行動裝置、憑證載具等),組織應確認該設備為客戶與組織所約定
持有之設備。
(三)客戶提供給組織其所擁有之生物特徵(如指紋、臉部、虹膜、聲音
、掌紋、靜脈、簽名等),組織應直接或間接驗證該生物特徵。間
接驗證係指由客戶端設備(如行動裝置)驗證或委由第三方驗證,
組織僅讀取驗證結果,必要時應加驗證來源辨識;採用間接驗證者
,應事先評估客戶身分驗證機制之有效性。
二、組織使用固定密碼為驗證機制,於資料如為固定密碼者,於儲存時應
先進行不可逆運算(如雜湊演算法),另為防止透過預先產製雜湊值
推測密碼,應進行加密保護或加入不可得知之資料運算。
三、組織直接驗證生物特徵且儲存生物特徵資料於組織內部系統時,應將
原始生物特徵資料去識別化使其難以還原、將原始生物特徵資料及假
名標識符進行加密儲存、將生物特徵資料分別儲存於不同之儲存媒體
(如資料庫);儲存於組織提供之端末設備時,應儲存於符合 FIPS
140-2 Level 3 標準含以上之設備。
四、組織直接驗證該生物特徵時應依據其風險承擔能力調整生物特徵之錯
誤接受度,以能有效識別客戶身分;採用間接驗證者,應事先評估客
戶身分驗證機制之有效性。
五、組織使用憑證作為驗證機制,應為經濟部核定之憑證機構所核發之憑
證,並強化憑證換發之驗證機制,以確保為客戶本人登入。 |
|
第 37 條 | (電子式交易身分驗證控管)
一、組織對於電子式交易身分的申請、交付、使用、更新與驗證應訂有相
關規範。
二、組織對電子式交易身分的驗證資訊於網際網路傳輸時應全程加密。
三、組織對電子式交易身分的驗證資訊應進行雜湊或加密儲存。
四、組織應於伺服器端驗證其電子式交易身分,避免因設置於客戶端而被
繞過驗證機制之風險。
五、組織應使用優質密碼設定並進行管控,確實執行密碼輸入錯誤次數達
3 次者應予帳號鎖定。
六、組織應提供客戶定期更新密碼之機制並使用優質密碼(如:客戶逾三
個月未更改密碼時應提供客戶更改密碼機制,提醒客戶更新密碼)。
七、組織應每日針對核心系統之帳號登入失敗紀錄、非客戶帳號登入嘗試
紀錄等進行監控及分析。 |
|
第 38 條 | (電子式交易稽核軌跡)
一、組織應留存個人資料使用稽核軌跡(如登入帳號、系統功能、時間、
系統名稱、查詢指令或結果)或辨識機制,以利個人資料外洩時得以
追蹤個人資料使用狀況。
二、組織應就帳號登入及交易紀錄時通知帳號所有者,並留存相關紀錄。 |
|