（電子式交易身分驗證機制管理）
一、除「金融機構辦理快速身分識別機制安全控管作業規範」另有規範之
    作業方式外，組織提供電子式交易登入時，其安全設計應具有下列三
    項之任兩項以上技術：
（一）組織所約定之資訊，且無第三人知悉（如固定密碼、圖形鎖或手勢
      等）。
（二）客戶所持有之實體設備（如密碼產生器、密碼卡、晶片卡、電腦、
      行動裝置、憑證載具等），組織應確認該設備為客戶與組織所約定
      持有之設備。
（三）客戶提供給組織其所擁有之生物特徵（如指紋、臉部、虹膜、聲音
      、掌紋、靜脈、簽名等），組織應直接或間接驗證該生物特徵。間
      接驗證係指由客戶端設備（如行動裝置）驗證或委由第三方驗證，
      組織僅讀取驗證結果，必要時應加驗證來源辨識；採用間接驗證者
      ，應事先評估客戶身分驗證機制之有效性。
二、組織使用固定密碼為驗證機制，於資料如為固定密碼者，於儲存時應
    先進行不可逆運算（如雜湊演算法），另為防止透過預先產製雜湊值
    推測密碼，應進行加密保護或加入不可得知之資料運算；採用加密演
    算法者，其金鑰應儲存於經第三方認證（如 FIPS 140-2 Level 3 以
    上）之硬體安全模組內並限制明文匯出功能。
三、組織直接驗證生物特徵且儲存生物特徵資料於組織內部系統時，應將
    原始生物特徵資料去識別化使其難以還原、將原始生物特徵資料及假
    名標識符進行加密儲存、將生物特徵資料分別儲存於不同之儲存媒體
    （如資料庫）；加密金鑰應儲存於符合 FIPS 140-2 Level 3 以上或
    其他相同安全強度認證之設備，以防止該私鑰被匯出或複製。
四、組織直接驗證該生物特徵時應依據其風險承擔能力，建立其錯誤接受
    率及錯誤拒絕率之標準，並於上線前與每年定期檢視。若不符合組織
    要求時，應建立補償措施；針對間接驗證生物特徵技術，應每年定期
    檢視並蒐集資安威脅情資，建立補償措施；採用間接驗證者，應事先
    評估客戶身分驗證機制之有效性。
五、組織使用憑證作為驗證機制，應為經濟部核定或許可之憑證機構所核
    發之憑證，並強化憑證換發之驗證機制（如採用 OTP  機制），以確
    保為客戶本人登入。