(電子式交易身分驗證控管)
一、組織對於電子式交易身分的申請、交付、使用、更新與驗證應訂有相
關規範。
二、組織對電子式交易身分的驗證資訊於網際網路傳輸時應全程加密。
三、組織對電子式交易身分的驗證資訊應進行雜湊或加密儲存。
四、組織應於伺服器端驗證其電子式交易身分,避免因設置於客戶端而被
繞過驗證機制之風險。
五、組織應使用優質密碼設定並進行管控,確實執行密碼輸入錯誤次數達
3 次者應予帳號鎖定。
六、組織應提供客戶定期更新密碼之機制並使用優質密碼(如:客戶逾三
個月未更改密碼時應提供客戶更改密碼機制,提醒客戶更新密碼)。
七、組織應每日針對核心系統之帳號登入失敗紀錄、非客戶帳號登入嘗試
紀錄等進行監控及分析。
|