條文內容

名  稱:

證券期貨市場相關公會新興科技資通安全管控指引 

Directions on Information and Communication Security Management and Control of New Technologies for Associations of Securities and Futures Market

公發布日: 民國 111 年 05 月 11 日
主題分類: 資訊作業
第 36 條
(電子式交易身分驗證機制管理)
一、除「金融機構辦理快速身分識別機制安全控管作業規範」另有規範之
    作業方式外,組織提供電子式交易登入時,其安全設計應具有下列三
    項之任兩項以上技術:
(一)組織所約定之資訊,且無第三人知悉(如固定密碼、圖形鎖或手勢
      等)。
(二)客戶所持有之實體設備(如密碼產生器、密碼卡、晶片卡、電腦、
      行動裝置、憑證載具等),組織應確認該設備為客戶與組織所約定
      持有之設備。
(三)客戶提供給組織其所擁有之生物特徵(如指紋、臉部、虹膜、聲音
      、掌紋、靜脈、簽名等),組織應直接或間接驗證該生物特徵。間
      接驗證係指由客戶端設備(如行動裝置)驗證或委由第三方驗證,
      組織僅讀取驗證結果,必要時應加驗證來源辨識;採用間接驗證者
      ,應事先評估客戶身分驗證機制之有效性。
二、組織使用固定密碼為驗證機制,於資料如為固定密碼者,於儲存時應
    先進行不可逆運算(如雜湊演算法),另為防止透過預先產製雜湊值
    推測密碼,應進行加密保護或加入不可得知之資料運算。
三、組織直接驗證生物特徵且儲存生物特徵資料於組織內部系統時,應將
    原始生物特徵資料去識別化使其難以還原、將原始生物特徵資料及假
    名標識符進行加密儲存、將生物特徵資料分別儲存於不同之儲存媒體
    (如資料庫);儲存於組織提供之端末設備時,應儲存於符合 FIPS
    140-2 Level 3 標準含以上之設備。
四、組織直接驗證該生物特徵時應依據其風險承擔能力調整生物特徵之錯
    誤接受度,以能有效識別客戶身分;採用間接驗證者,應事先評估客
    戶身分驗證機制之有效性。
五、組織使用憑證作為驗證機制,應為經濟部核定之憑證機構所核發之憑
    證,並強化憑證換發之驗證機制,以確保為客戶本人登入。