電子票證應用安全強度準則
條文 說明
第一條 本準則依電子票證發行管理條例第 四條第二項訂定之。
明定法源依據。
第二條 發行機構應依本準則規定之安全需 求與設計,建立安全防護措施,以確保電 子票證應用之安全強度,保護消費者之權 益。
明定本準則之立法宗旨及訂定目的。
第三條 前條所稱之安全需求與設計說明如 下:
一、發行機構於交易面應依據應用範圍等 級,落實本準則對於交易訊息之隱密 性、完整性、來源辨識性及不可重覆 性之各項規定。
二、發行機構於管理面應防範發行機構、
特約機構及加值機構之交易系統,遭 受 未經 授權 之存 取、入侵 威脅及 破 壞,有效維護交易系統之整體性及其 隱密性,並保護交易系統作業安全及 維持其高度可使用性。
三、發行機構於端末設備與環境面應實施 安 全控 管, 強化 端末設備 之安全 防 護,以防範非法交易或遭受外力破壞。
四、發行機構於電子票證面應依據應用範 圍等級,選用適當型式之電子票證。
明定本準則所規定安全需求與設計之範圍。
第四條 本準則用詞定義如下:
一、加值機構:係指接受發行機構委託辦 理加值作業之特定機構。
二、線上即時交易:係指持卡人利用電子 設 備或 通訊 設備 ,透過各 種網路 型 態,經由特約機構、加值機構或直接 與發行機構即時連線進行交易者,包 含特約機構與發行機構間、加值機構 與發行機構間、加值機構或特約機構 與其所屬之端末設備間之即時訊息傳 輸。
三、前款所稱網路型態如下:
(一)專屬網路:利用電子設備或通訊 設 備 直 接 以 連 線 方 式 ( 撥 接 (Dial-Up)、專線(Leased-Line)或虛 擬 私 有 網 路 (Virtual Private
明定本準則相關用詞之定義。
Network,VPN)等)進行訊息傳輸。
(二)網際網路:利用電子設備或通訊 設備,透過網際網路服務業者進 行訊息傳輸。
(三)行動網路:利用電子設備或通訊 設備,透過電信服務業者進行訊 息傳輸。
四、非線上即時交易:係指持卡人持電子 票證,利用各種介面類型,於加值機 構或特約機構之端末設備進行交易,
而不與發行機構即時進行連線者。
五、前款所稱介面類型如下:
(一)接觸式介面:利用磁性、光學或 電子型式之電子票證,與特約機 構或加值機構之端末設備以實際 接觸方式進行訊息傳輸。
(二)非接觸式介面:利用無線射頻、
紅外線或其他無線通訊技術實作 之電子票證,與特約機構或加值 機構之端末設備以非實際接觸方 式進行訊息傳輸。
(三)網路及其他離線方式:利用電子 票證,透過網路、通訊設備及其 他方式,與遠端之特約機構或加 值機構進行訊息傳輸,而不與發 行機構即時連線進行授權者。
六、交易類型:
(一)線上即時消費交易:係指消費交 易發生時,其消費是否合法之驗 證,必須透過連線,將相關資訊 送回發行機構進行處理者。
(二)非線上即時消費交易:係指消費 交易發生時,其消費是否合法之 驗證,不需透過連線送回發行機 構進行處理者。
(三)線上即時加值交易:係指加值交 易發生時,其加值之授權,必須 透過連線,將相關資訊送回發行 機構進行處理者。
(四)非線上即時加值交易:係指加值 交易發生時,其加值之授權,不 需透過連線將相關訊息送回發行 機構進行處理者。
(五)帳務清結算交易:包含特約機構 或加值機構與其所屬端末設備間 之批次帳務訊息、特約機構或加 值機構與發行機構間之批次帳務 訊息、加值機構與發行機構間之 非線上即時加值額度授權請求訊 息等。
第五條 發行機構對於電子票證各項交易類 型,應依電子票證應用之範圍,考量商品 或服務之性質與交易金額等因素,區分應 用範圍等級(如下表),並依據本準則之規 定辦理。
一、商品或服務之性質 商品或服
務之性質 說明
第一類
繳納政府部門規費及支 付公用事業(依據民營公 用事業監督條例第二條 定義)服務費、學雜費、
醫藥費、公共運輸(依據 大眾運輸條例第二條定 義及纜車、計程車、公共 自行車)、停車等服務費 用,或配合政府政策且具 公共利益性質經主管機 關核准者屬之。
第二類 支付各項商品或服務之 費用
二、交易金額
交易金額 說明
小額交易
電子票證僅支付於單筆 消費金額新臺幣一千元 以下之交易。
不 限 金 額 交易
電子票證非僅支付於小 額交易。
三、應用範圍等級 商品或服
務之性質 第一類 第二類
交易 金額
小額交易 第一級 第一級 不限金額
交易 第一級 第二級
一、明定電子票證各項交易類型,應依電子 票證應用之範圍,考量商品或服務之性 質與交易金額等因素,區分應用範圍等 級。
二、對於電子票證之應用範圍非僅限於繳 納政府部門規費及支付公用事業服務 費、學雜費、醫藥費、公共運輸、停車 等服務費用且單筆消費金額超過 1,000 元之交易,其性質已類屬貨幣,為保障 消費者權益及健全電子票證之經營,則 應採取較嚴格之防護措施。
第六條 發行機構於交易面應確保電子票證 交易符合下列安全規定:
一、線上即時消費交易
連線類型 專屬網路 網際/行動網路 應用範圍等級
防護措施 第一級 第二級 第一級 第二級 訊息隱密性 非必要 非必要 A A 訊息完整性 B1 B1 B2 B2
來源 辨識 性
訊息認 證或持 卡人認 證
C1 C2 C1 C2
不可重覆性 F F F F
二、非線上即時消費交易
介面類型 接觸式/非接觸式 網路及 其他離線方式 應用範圍
等級 防護措施
第一級 第二級 第一級 第二級
訊息隱密性 非必要 非必要 A A 訊息完整性 B1 B2 B2 B2
來源 辨識 性
電子票
證認證 D1 D2 D2 D2 端末認
證
E1 E2 E2 E2
不可重覆性 F F F F
三、線上即時加值交易
連線類型 專屬網路 網際/行動網路 應用範圍等級
防護措施 第一級 第二級 第一級 第二級 訊息隱密性 非必要 非必要 A A 訊息完整性 B1 B1 B2 B2 來源
辨識 性
發卡端
認證* E1 E2 E2 E2
不可重覆性 F F F F
(*:僅適用於具認證與儲值功能之電子票 證)
一、 為確保電子票證交易之合法性以維護 交易安全,於交易面應考量交易之訊 息隱密性(Confidentiality)、訊息完整性 (Integrity) 、 來 源 辨 識 性 或 認 證 (Authentication) 與 不 可 重 複 性 (Non-Repeatable)等四項要素,並明定 其安全需求。
二、 線上即時消費交易因透過不同型態之 網路進行,因此對於上述四項要素之 安全需求著重於不同網連線類型而應 具有不同之安全需求,爰於第一款明 定。
三、 非線上即時之消費交易,無法與發行 機構之主機端即時連線確保交易之合 法性與完整性,爰電子票證與端末設 備應進行雙向認證。因此介面類型為 考量風險之主要因素,爰於第二款將 介面類型區分為接觸式、非接觸式及 網路及其他離線方式。
四、 加值交易方面亦可依前述消費交易之 考量,將即時加值交易區分其不同網 路型態之規定,並將非線上即時加值 交易區分其介面類型。此外,若:(1) 電子票證之類型屬於具認證與儲值功 能,則在防護措施方面須進行發卡端
(線上即時)或端末設備(非線上即 時)之認證,以確保加值額度儲存於 電子票證時之訊息來源之合法性與完 整性;(2)若加值之額度係儲存於發行 機構伺服器端,則無涉發卡端認證議 題,爰於第三款及第四款明定。
五、 帳務清算及結算交易應考量連線類型 之不同而具有不同之安全需求,爰於 第五款明訂。
六、 第六款明定交易訊息中若包含個人資 料者之保護機制。
四、非線上即時加值交易
介面類型 接觸式/非接觸式 網路及 其他離線方式 應用範圍等級
防護措施 第一級 第二級 第一級 第二級 訊息隱密性 非必要 非必要 A A 訊息完整性 B1 B3 B3 B3 來源
辨識 性
端末
認證 E1 E2 E2 E2
不可重覆性 F F F F
五、帳務清算及結算交易
連線類型 專屬網路 網際/行動網路 應用範圍等級
防護措施 第一級 第二級 第一級 第二級 訊息隱密性 非必要 非必要 A A 訊息完整性 B1 B1 B2 B2 來源
辨識 性
訊息
認證 非必要 非必要 C2 C2
不可重覆性 F F F F
六、第一款至第五款之交易訊息中若包含 電腦處理個人資料保護法所定義之個 人資料,為確保其隱密性,應採對稱 性加解密系統或非對稱性加解密系統 進行個人資料之加密,以防止未經授 權者取得個人資料,其安全強度應不 得 低於 第七 條對 訊息隱密 性之規 定 (A)。
第七條 前 條 各 項 交 易 安 全 所 稱 訊 息 隱 密 性、訊息完整性、來源辨識性及不可重覆性 之安全設計應符合下列要求:
防護措施 安全設計之基本原則
訊 息 隱 密 性
A
應採對稱性加解密系統或非對稱性 加解密系統,針對訊息進行全文加 密,以防止未經授權者取得訊息之明 文。
一、 對稱性加解密系統應採用下列 演算法之一:
(一) 美國國家標準與技術中心
( National Institute of Standards and Technology ; 以 下 簡 稱 NIST)之三重資料加密演 算 法 ( Triple Data Encryption Algorithm; 以 下簡稱 TDEA 演算法),
金鑰有效長度為 112 位元 雙金鑰之三重資料加密演 算法(Two Key Triple Data Encryption Algorithm;以下 簡稱 2TDEA)或 168 位元 三金鑰之三重資料加密演 算 法 (Three Key Triple Data Encryption Algorithm; 以 下 簡 稱 3TDEA)。
(二) NIST 之 進 階 加 密 標 準
( Advanced Encryption Standard;以下簡稱 AES 演 算 法 ), 金 鑰 長 度 為 128、192 或 256 位元。
二、 非對稱性加解密系統應採用下 列演算法之一:
(一) RSA 加密標準(Rivest、
Shamir 、 Adleman Encryption Standard;以下 簡稱 RSA 演算法),金鑰 長度 1024 或 2048 位元。
(二) 橢圓曲線數位簽章演算法
( Elliptic Curve Digital Signature Algorithm;以下 簡稱 ECDSA 演算法),質 數 模 數 為 256 位 元 (P-256) 。
訊 息 完 整 性
B 1
應採用下列防止非惡意篡改訊息之 檢核碼技術之一:
一、 縱 向 冗 餘 校 驗 (Longitudinal Redundancy Check,LRC) 二、 循 環 冗 餘 校 驗 (Cyclic
Redundancy Check,CRC) 三、 使用雜湊(Hash)演算法產生訊
息摘要(Message Digest)
一、訊息隱密性、訊息完整性、來源辨識 性等安全性之確保,其強度取決於所 使用之加解密演算法,而演算法之強 度會隨著資訊設備之處理能力與速度 演進而逐漸減弱,因此必須隨著時間 之演進,予以評估並視需要更新電子 票證與其基礎設施以支援合乎當時水 準之演算法,維持電子票證應用之安 全強度,爰訂定適當之演算法標準。
二、本條對於密碼學演算法之選定,係考 量業界實務,並參考美國國家標準和 技術中心(NIST)所訂定個人識別確認 之 密 碼 學 標 準 ( NIST Special Publication 800-78-1,Cryptographic Algorithms and Key Sizes for Personal Identity Verification,該標準係為美國 聯邦政府所制定,提供聯邦政府機構 據以遵循)。
三、本條所稱之訊息隱密性係指訊息傳遞 過程中針對交易資料之加密處理,若 於本準則第六條所規定為必要者,一 律以公開公開且經驗證為安全之加解 密演算法進行加密處理。
四、本條所稱之訊息完整性係指確保資料 傳遞過程中未經篡改,篡改之發生可 能為非惡意如資料傳輸過程如線路品 質不佳而產生資料錯誤者,常見之防 範技術為冗餘校驗與雜湊等;亦可能 為惡意者如駭客攻擊修改訊息內容 者,此類之攻擊則必須以金鑰為基礎 之密碼學運算加以防護。此外為確保 非線上即時加值時資料之完整性,特 別要求若為高風險交易者,應將加值 金額一併加入參與密碼學運算,以防 止針對加值金額之惡意篡改並確保加 值之授權確以逐筆之方式進行。
五、本條所稱之來源辨識性,包含訊息認 證或使用者認證、電子票證之認證、
端末與發卡端之認證等:
(一) 使用者認證係指發行機構於線上 即時消費交易,須確認使者用之 合法性以遂行交易,其型式可能 為 C1 中所述,若使用者使用實體
B 2
應採用可防止蓄意篡改訊息之加解 密技術,可採對稱性加解密系統進行 押 碼 (Message Authentication Code, MAC)或非對稱性加解密系統產生數 位簽章(Digital Signature)等機制。
一、 對稱性加解密系統應採用下列 演算法之一:
(一) TDEA 演算法,金鑰有 效 長 度 為 112 位 元 (2TDEA) 或 168 位 元 (3TDEA)。
(二) AES 演算法,金鑰長度 為 128、192 或 256 位 元。
二、 非對稱性加解密系統應採用下 列演算法之一:
(一)RSA 演算法,金鑰長度 1024 或 2048 位元。
(二)ECDSA 演算法,質數模 數為 256 位元(P-256) 。 B
3
除須符合 B2 之所要求之強度外,加 值交易訊息之金額須參與訊息完整 性之運算
來 源 辨 識 性
訊 息 認 證 或 持 卡 人 認 證
C 1
應確保持卡人之正確性,可採用下列 任一種持卡人認證方式:
一、 用戶代號與固定密碼。
二、 磁條卡與磁條卡密碼。
三、 用戶代號與動態密碼:動態密碼 係運用動態密碼產生器、簡訊、
或以其他方式運用一次性密碼
(One Time Password;以下簡 稱 OTP)原理,隨機產生限定 一次使用之密碼者。
四、 以密碼學運算為基礎,提供認證 功能之晶片型電子票證。
C 2
應採用具訊息認證功能之晶片型電 子票證或端末安全模組,確保訊息來 源之正確性,可採對稱性加解密系統 進行押碼或非對稱性加解密系統產 生數位簽章等機制。
一、 對稱性加解密系統應採用下列 演算法之一:
(一) TDEA 演算法,金鑰有 效 長 度 為 112 位 元 (2TDEA) 或 168 位 元 (3TDEA)。
(二) AES 演算法,金鑰長度 為 128、192 或 256 位 元。
二、 非對稱性加解密系統應採用下 列演算法之一:
(一) RSA 演算法,金鑰長度 1024 或 2048 位元。
(二) ECDSA 演算法,質數 模 數 為 256 位 元 (P-256) 。
D 1
應採用對稱性加解密系統或非對稱 性加解密系統,由端末設備確認電子 票證之合法性,以防範非法之電子票 證。
之電子票證、內建公開安全之加 解密演算法、且於進行認證時將 交易訊息參與加解密運算而產生 認證訊息,則稱為訊息認證,因 此訊息認證除可確保使用者身份 之合法性,亦可確保交易訊息未 遭篡改(訊息完整性)。此外特約 機構、加值機構與發行機構間之 帳務清結算交易,訊息接收方確 保發送方之身份,在本準則中亦 屬訊息認證之範圍。
(二) 電子票證認證係指非線上即時消 費交易中,端末設備確保使幅者 所使用實體電子票證之合法性。
(三) 端末認證係指非線上即時消費與 加值交易中,實體電子票證確保 端末設備合法性。
(四) 發卡端認證係指線上即時加值交 易中,若使用者使用具認證與儲 值功能之實體電子票證,來接收 發卡端傳送之加值訊息,使用者 須確保發卡端之合法性。
六、為確保交易之不可重複性,常用之方 式為每筆交易中加入序號、日期時間 或時序或密碼學挑戰-回應至交易訊 息中,以確保其唯一性與可追蹤性。
電 子 票 證 認 證
D 2
應採用對稱性加解密系統或非對稱 性加解密系統,由端末設備確認電子 票證之合法性,以防範非法之電子票 證。
一、 對稱性加解密系統應採用下列 演算法之一:
(一) TDEA 演算法,金鑰有 效 長 度 為 112 位 元 (2TDEA) 或 168 位 元 (3TDEA)。
(二) AES 演算法,金鑰長度 為 128、192 或 256 位 元。
二、 非對稱性加解密系統應採用下 列演算法之一:
(一) RSA 演算法,金鑰長度 1024 或 2048 位元。
(二) ECDSA 演算法,質數 模 數 為 256 位 元 (P-256) 。
端 末 / 發 卡 端 認 證
E 1
應採用對稱性加解密系統或非對稱 性加解密系統,由電子票證確認端末 設備或發行機構之合法性,以防止未 經授權之端末設備逕行交易。
E 2
應採用對稱性加解密系統或非對稱 性加解密系統,由電子票證確認端末 設備或發行機構之合法性,以防止未 經授權之端末設備逕行交易。
一、 對稱性加解密系統應採用下列 演算法之一:
(一) NIST 之 TDEA 演 算 法 , 金 鑰 有 效 長 度 為 112 位 元 (2TDEA) 或 168 位元(3TDEA)。
(二) NIST 之 AES 演算法,
金鑰長度為 128、192 或 256 位元。
二、 非對稱性加解密系統應採用下 列演算法之一:
(一) RSA 演算法,金鑰長度 1024 或 2048 位元。
(二) ECDSA 演算法,質數 模 數 為 256 位 元 (P-256) 。
不可重 覆性 F
應防止以先前成功之交易訊息完成 另一筆交易,可採用序號、日期時間 或 時 序 或 密 碼 學 挑 戰 - 回 應 (Challenge-Response)等機制。
第八條 發行機構於管理面應採取下列防護 措施:
為避免發行機構、特約機構與加值機構之 交易系統遭受未經授權之存取、入侵威脅 及破壞,及系統上線前應具備相關測試檢 核措施,爰明定發行機構於管理面應採取 之防護措施。
防護措施 安全需求
建 立 安 全 防 護策略
一、建立電腦資源存取控 制機制與安全防護措 施。
二、交易必須可被追蹤。
三、監控非法交易。
四、須防止小規模之特約 機構不當扣款。
五、完善之金鑰管理。
提 高 系 統 安 全之措施
提昇電腦系統之安全及可 用性
制 定 作 業 管 理規範
制定作業管理規範
第九條 前條發行機構管理面安全需求之安 全設計應符合下列要求:
安全需求 安全設計 建 立 電 腦
資 源 存 取 控 制 機 制 與 安 全 防 護措施
應 防 範 未 經 授 權 存 取 系 統 資 源 , 並 降 低 非 法 入 侵 之 可 能 性。應以下列方式處理及管控:
一、建置安全防護軟硬體,如 防火牆(Firewall)、安控軟 體、偵測軟體等。
二、控制密碼錯誤次數。
三、電腦系統密碼檔加密。
四、留 存 交 易 紀 錄 (Transaction Log) 及 稽 核 追蹤紀錄(Audit Trail)。
五、設 計 存 取 權 控 制 (Access Control)如使用密碼、晶片 卡等。
六、簽入(Login)時間控制。
七、遠端存取應使用虛擬私有 網路(VPN)。
八、系統資源應依其重要性與 敏感性分級管理。
九、強制更換應用軟體及網路 作業系統之預設密碼。
十、系 統 提 供 各 項 服 務 功 能 時,應確保個人資料保護 措施。
交 易 必 須 可被追蹤
交易紀錄明細應包含下列資 訊,並留存於發行機構主機備 查:
為達成前條之防護措施,明定發行機構具 體之安全設計要求。
一、用戶代號或卡號。
二、交易金額。
三、端末設備代號。
四、交易序號或交易日期、時 間。
監 控 非 法 交易
發行機構應監控非法交易
須 防 止 小 規 模 之 特 約 機 構 不 當扣款
實收資本額低於新臺幣八千萬 元且年營業額低於新臺幣六千 萬元之特約機構應以下列任一 方式進行持卡人交易確認,但 提供第一類商品或服務者,不 在此限:
一、刷卡或插卡。
二、輸入密碼。
三、任何由系統所提供予持卡 人進行確認之設計。
完 善 之 金 鑰管理
金鑰管理應有下列之安全考 量:
一、應確保金鑰品質(避免產 生弱金鑰)。
二、金鑰之使用、儲存、傳送 與銷毀,應確保金鑰之內 容無洩露之虞。
三、金鑰應備份以確保其可用 性。
四、保存金鑰之設備或媒體,
於更新或報廢時,應具適 當之存取控管程序,以確 保金鑰無洩露之虞。
提 昇 電 腦 系 統 之 安 全 及 可 用 性
應建立異地備援及故障預防措 施,包含:
一、預備主機、伺服器、通訊 設備、線路、週邊設備等 備援裝置。
二、建置病毒偵測軟體(Virus Detection Software),定期 對網路節點及伺服器進行 掃毒。
三、定 期 更 新 系 統 修 補 程 式
(Patch, Hotfix)。
四、確保伺服器、網路設備之 實體安全。
制 定 作 業 應確定發行機構、特約機構與
管理規範 加值機構內部之責任制度、核 可程序及與持卡人之間之責任 歸屬,應包含:
一、制定安全控管規章含設備 規格。
二、安控機制說明、安控程序 說明。
三、金鑰管理措施或辦法。
四、制定持卡人使用安全須知 及完整合約。
第十條 發行機構於端末設備與環境面應採 取下列防護措施:
防護措施 安全需求 建 立 安 全 防 護
策略
一、保持端末設備與環 境之實體完整性。
二、確保端末設備交易 之安全性。
三、建置有效或即時之 管 控 名 單 管 理 機 制。
四、非接觸式電子票證 應降低交易被意外 觸發之機率。
五、非線上即時加值應 具有端末安全模組 之設計。
六、非線上即時交易,
若採用應用範圍等 級第一級之電子票 證,且使用於提供 第二類商品或服務 之特約機構,應設 置監視設備。
七、網際網路應用系統 開發注意事項。
提 高 系 統 可 用 性之措施
提高系統可用性之措施
制 定 作 業 管 理 規範
制定作業管理規範:內 部環境管理部分應落實 管理規則之規範。
為確保發行機構、特約機構與加值機構實 施環境及端末設備面之安全控管,明定發 行機構於端末設備與環境面應採取之防護 措施。
第十一條 前條發行機構端末設備與環境面 安全需求之安全設計應符合下列要求:
安全需求 安全設計 保持端末設備與
環境之實體完整
應採用下列各項安全設 計:
為達成前條之防護措施,明定發行機構端 末設備與環境面安全需求之安全設計。
性 一、定 期 檢 視 是 否 有 增減相關裝置
(一)原 始 設 施 確 實 逐 項 編號。
(二)比 對 現 場 相 關 設 施 及 裝 置 是 否 與 原 始 狀態一致。
(三)建 立 檢 視
清 單
(Checklist)
,並應定期 覆 核 並 追 蹤考核。
二、應 確 定 與 端 末 設 備 合 作 廠 商 簽 訂 資料保密契約,並 應 將 參 與 端 末 設 備安裝、維護作業 之 人 員 名 單 交 付 造冊列管,如有異 動,應隨時主動通 知 發 行 機 構 更 新 之。
三、端 末 設 備 合 作 廠 商 人 員 至 現 場 作 業時,均應出示經 認 可 之 識 別 證 件。除安裝、維護 作業外,並應配合 隨 時 檢 視 端 末 設 備 硬 體 是 否 遭 到 不 當 外 力 入 侵 或 遭裝置側錄設備。
四、發 行 機 構 應 不 定 時 派 員 抽 檢 安 裝 於 特 約 機 構 或 加 值 機 構 之 端 末 設 備,檢視該硬體是 否 遭 到 不 當 外 力 入侵,並檢視其軟 體 是 否 遭 到 不 法
竄改。
確保端末設備交 易之安全性
運 用 端 末 設 備 處 理 交 易 時 , 應 符 合 下 述 規 範:
一、電 子 票 證 內 含 錄 碼 及 資 料 , 除 帳 號、卡號、有效期 限、交易序號及查 證 交 易 是 否 發 生 之 相 關 必 要 資 料 外,其他資料一律 不 得 儲 存 於 端 末 設備。
二、應 確 保 端 末 設 備 之合法性,另端末 設 備 應 有 唯 一 之 端末設備代號。
三、應 用 範 圍 屬 第 二 級之交易,端末設 備 之 安 全 模 組 應 個別化(即每一端 末 設 備 之 認 證 金 鑰皆不相同)。
建置有效或即時 之管控名單管理 機制
為 有 效 防 範 非 法 電 子 票證進行交易,發行機 構 應 建 置 管 控 名 單 管 理機制,對於線上即時 交易應即時更新,非線 上 即 時 交 易 應 每 日 更 新。
非接觸式電子票 證應降低交易被 意外觸發之機率
端 末 設 備 應 包 含 下 列 設計,以降低非接觸式 電 子 票 證 在 持 卡 人 無 交易之意願下,交易被 意外觸發之機率:
一、感 應 距 離 限 縮 至 六 公 分 ( 含 ) 以 下。
二、交 易 過 程 應 有 聲 音、燈號或圖像等 之提示。
非線上即時加值 應具有端末安全 模組之設計
非 線 上 即 時 加 值 交 易 之 端 末 設 備 應 具 有 安 全模組之設計,進行加
值 交 易 另 應 包 含 下 列 設計:
一、逐 筆 授 權 加 值 交 易。
二、限 制 其 單 筆 加 值 金額。
三、限 制 其 加 值 總 額
(如:日限額),
額 度 用 罊 應 連 線 至 發 行 機 構 重 新 授權可加值額度。
四、安 全 模 組 應 進 行 妥善之管理,如製 發 卡 與 交 貨 控 管 流程、管制製卡作 業、落實安全模組 之安全控管等。
非 線 上 即 時 交 易,若採用應用 範圍等級第一級 之電子票證,且 使用於提供第二 類商品或服務之 特約機構,應設 置監視設備,或 採取其他必要之 措施以降低偽卡 交易
應 用 範 圍 等 級 第 一 級 之電子票證,若使用於 提 供 第 二 類 商 品 或 服 務 之 特 約 機 構 進 行 非 線上即時交易,發行機 構 應 要 求 特 約 機 構 設 置 錄 影 監 視 設 備 且 於 營 業 時 間 內 保 持 全 時 錄影,或採取其他必要 之 措 施 以 降 低 偽 卡 交 易。
網際網路應用系 統開發注意事項
若 電 子 票 證 持 卡 人 透 過 瀏 覽 器 以 網 際 網 路 進行交易,網路應用系 統 之 開 發 應 有 下 列 設 計:
一、網 站 應 採 用 網 頁 安 全 傳 輸 協 定
( Secure Sockets Layer;簡稱 SSL)
加 密 或 其 他 安 全 強 度 不 得 低 於 第 七 條 對 訊 息 隱 密 性之規定(A)之方 式加密傳輸資料。
二、系 統 應 依 每 筆 交 易 動 態 隨 機 變 動
端 末 設 備 查 核 碼 或以亂碼化保護。
三、系 統 應 設 計 具 遮 罩 功 能 之 圖 形 驗 證碼(Graphic One Time Password ; 簡稱 GOTP) 或隨 機按鈕等方式。
四、系 統 應 設 計 動 態 頁 面 呈 現 或 限 制 滑鼠點選,以防止 模 擬 鍵 盤 控 制
( SendKey Control)攻擊。
五、系 統 應 有 連 線 (Session)控制及網 頁 逾 時 (Timeout) 中斷機制。
六、若 有 多 網 頁 設 計,系統應驗證前 一網頁正確性。
七、客 戶 端 元 件 應 驗 證網站正確性。
八、客 戶 端 元 件 應 具 有防盜用機制,以 驗證正確網站。
九、客 戶 端 元 件 應 具 有 作 業 系 統 認 可 之 程 式 碼 簽 章 憑 證(CodeSign)。
十、客 戶 端 元 件 應 具 存 取 卡 片 時 限 定 為 獨 占 模 式 之 設 計。
十一、 客 戶 端 元 件 應 具 有 需 經 人 工 介 入 以 完 成 交 易之設計。
十二、 如 有 駭 客 入 侵 時,發行機構應 即 關 閉 網 路 服 務,以確保交易 安全。
提高系統可用性 應 以 下 列 方 式 處 理 及
之措施 管控:
一、規劃備援線路。
二、規 劃 備 援 電 路 或 不 斷 電 系 統
( Uninterruptible Power Supply;簡 稱 UPS)。
制定作業管理規 範
應 制 定 端 末 設 備 管 理 規章,含設備規格、安 控機制說明、安控程序 說明、安全模組控管作 業原則、管控名單管理 機制、特約機構與加值 機 構 簽 約 與 管 理 辦 法 等。
第十二條 發行機構應依據應用範圍等級選 用下列適當型式之電子票證:
應用範圍 等級
適用電子票證類型
第一級
電 子 票 證 應 為 下 列 類 型 之 一,第三點至第五點僅限於線 上即時交易:
一、具加解密運算能力之晶 片卡。
二、記憶型晶片卡與固定密 碼。
三、用戶代號與動態密碼。
四、磁條卡與固定密碼。
五、用戶代號與固定密碼。
第二級
電子票證應為下列類型之一:
一、符 合 第 六 條 之 安 全 規 定,且經安全認證之晶片 卡。
二、用戶代號與經安全認證 之 動 態 密 碼 產 生 器 ( 如 OTP Token) (限以線上即 時方式進行交易)。
前項所稱「安全認證」係指經主管機關 確認其安全等級通過行政院國家通訊傳播 委員會或共同準則相互承認協定(Common Criteria Recognition Arrangement;CCRA)認 可之驗證機構進行第三方驗證,符合或等同 於下列任一標準者:
一、 共 同 準 則 ( Common Criteria )
一、考量電子票證應用之多元性,其型式 可能有實體與虛擬,而實體之電子票 證亦有是否經安全評估等差異,故為 確保交易之安全及保障持卡人之權 益,爰於第一項對於不同應用範圍等 級明定適用之電子票證。
二、第二項明定「安全認證」之標準。
ISO/IEC15408 v2.3 EAL4+ ( 含 增 項 AVA_VLA.4 及 ADV_IMP.2)。
二、 共 同 準 則 ( Common Criteria ) ISO/IEC15408 v3.1 EAL4+ ( 含 增 項 AVA_VAN.5)。
三、 我國國家標準 CNS 15408 EAL4+(含 增項 AVA_VLA.4 及 ADV_IMP.2)。
四、 其他經主管機關認可之驗證標準。
第十三條 發行機構對電子票證應採取下列 防護措施:
防護措施 安全需求
建立安全防護 策略
一、確認電子票證之合法 性。
二、採用戶代號與固定密 碼者,應有一定之安 全設計。
三、儲存於電子票證之個 人資料必須保護。
制定作業管理 規範
制定電子票證交貨控管流 程
明定發行機構對電子票證應採取之防護措 施。
第十四條 前條發行機構電子票證安全需求 之安全設計應符合下列要求:
安全需求 安全設計
確認電子票證 之合法性
應以下列任一方式確保電 子票證之合法性:
一、具有獨立且唯一之識 別碼。
二、電子票證具有認證之 功能。
若採用戶代號 與 固 定 密 碼 者,應有一定 之安全設計
採 用 戶 代 號 及 固 定 密 碼 者,應有下列之安全設計:
一、用 戶 代 號 之 安 全 設 計:
(一)發行機構如使 用客戶之顯性 資 料 ( 如 統 一 編號、身分證 號 及 帳 號 ) 作 為識別,應另 行增設持卡人 代 號 以 資 識 別。
(二)不 得 少 於 六 位。
為確保發卡機構可符合前條規定,爰於本 條規範其所應採取之相關安全措施。
(三)不得訂為相同 之英文字或數 字、連續英文 字 或 連 號 數 字。
(四)客戶於申請後 若未於一個月
(日曆日)內 變更密碼,則 不得再以該用 戶代號執行簽 入。
(五)客戶同一時間 內只能登入一 次密碼。
(六)如增設持卡人 代號,至少應 依下列方式辦 理:
1、 不得為客戶 之 顯 性 資 料。
2、 如輸入錯誤 達五次,發 行機構應做 妥善處理。
3、 新建立時不 得與用戶代 號相同;變 更 時 , 亦 同。
二、密碼之安全設計:
(一)不 得 少 於 六 位。若搭配交 易密碼使用則 不 得 少 於 四 位。
(二)建議採英文字 或數字混合使 用,且宜包含 大小寫英文字 母或符號。
(三)不得訂為相同 之英文字或數 字、連續英文 字 或 連 號 數 字。
(四)密碼與代號不 得相同。
(五)密碼連續錯誤 達五次,不得 再繼續執行交 易。
(六)變更密碼不得 與 前 一 次 相 同。
(七)首次登入時,
應強制變更預 設密碼。
儲存於電子票 證之個資必須 保護
若使用電子票證儲存個人 資料,應設計存取控制或 持卡人確認之機制,以限 制其讀取。
制定電子票證 交貨控管流程
發行機構應針對電子票證 之生命週期進行妥善之管 理,包含:
一、制定電子票證製發卡 與交貨控管流程。
二、管制外包製卡作業。
三、落實實體電子票證之 安全控管。
第十五條 發行機構應按季向主管機關申報 異常交易金額,若年度累計總金額超過實收 資本額之百分之一,應即向主管機關提報改 善計畫。
為確保電子票證之交易安全,爰明定發行 機構應按季向主管機關申報異常交易金 額,另其年度累計總金額達一定比率時,
應向主管機關提報改善計畫。
第十六條 發行機構應依第五條有關商品或 服務之性質及交易金額等之分類,按季向主 管機關或其指定機構申報統計資料。
明定發行機構應按季向主管機關或其指定 機構申報第五條有關商品或服務之性質及 交易金額等統計資料。
第十七條 發行機構應委託會計師查核依本 準則規定辦理之情形,並於年度終了後二個 月內,將查核情形報主管機關備查。
為確保發行機構所辦理電子票證業務之安 全機制符合本準則之規定,爰明定發行機 構應委託會計師查核,並將查核情形向主 管機關申報。
第十八條 本準則發布施行前,現有已發行電 子票證並經核准辦理電子票證業務之發行 機構及已辦理電子票證業務之銀行,有不符 第九條「須防止小規模之特約機構不當扣 款」之規定者,應自本準則發布施行後六個 月內調整之。
明定電子票證發行機構有不符本準則第九 條「須防止小規模之特約機構不當扣款」
之規定者,應自本準則發布施行後六個月 內調整之。
第十九條 本準則自發布日施行。 規定本準則之施行日。
