電子票證應用安全強度準則修正總說明

(1)

電子票證應用安全強度準則修正總說明

金融監督管理委員會依據「電子票證發行管理條例」（以下簡稱本條例）第四條第二項授權訂定「電子票證應用安全強度準則」（以下簡稱本準則），並於九十八年七月十六日公布施行。嗣後於一○四年四月三十日第一次修正。因應本條例部分條文修正業經總統於一○四年六月二十四日公布施行，以及電子票證業務發展之實際需要，爰修正本準則。

本次計修正十三條條文，修正重點說明如下：

一、配合本條例第五條之一規定，針對記名式電子票證移轉至同一持卡人電子支付帳戶之交易，增訂票證款項移轉交易類型及其相關交易安全設計。（修正條文第四條、第六條、第九條及第十二條）

二、為強化電子票證安全性，並考量 Rivest, Shamir and Adleman Encryption Algorithm (下稱 RSA)加密技術發展演進，訊息隱密性之安全設計增訂自一○六年一月一日起，新發行之電子票證不應採用低於 RSA 1024bits 之金鑰長度進行加密運算；另因應電子票證之實務應用需求，於來源辨識性增訂 C3 之安全設計。(修正條文第七條)

三、因應新興科技發展與新型態資安攻擊，增訂金鑰儲存之設備要求規定及電腦系統之安全防護措施規定，以確保發行機構實體設備及電腦系統之安全強度。（修正條文第九條）

四、考量公共運輸端末設備確有將感應距離拉長，以縮短交易完成時間之需要，及電子票證發行機構與信用卡收單機構端末設備進行併機作業時，信用卡收單機構端末設備感應距離十公分之實務設計，且該等端末設備已遵循 EMV 標準以及銀行相關之管理措施，

爰增訂發行機構如係共用信用卡收單機構之端末設備或特約機構係提供公共運輸服務者，其端末設備感應距離放寬至十公分（含）

以下之規定，以兼顧實務作業需要及電子票證風險控管。(修正條文第十一條)

五、配合新興技術應用，增訂用戶代號與生物特徵(如指紋、臉部、虹

膜、聲音、掌紋、靜脈、簽名等)為得適用第一級應用範圍之電子

(2)

票證類型。（修正條文第十二條）

六、依據「中央法規標準法」改採條次取代原表格書寫方式，並酌作

文字修正，以利條文內容更符合實務作業。(修正條文第五條至第

十四條)

(3)

電子票證應用安全強度準則修正條文對照表

修正條文現行條文說明

第一條本準則依電子票證發行管理條例第四條第二項訂定之。

本條未修正。

第二條發行機構應依本準則規定之安全需求與設計，建立安全防護措施，

以確保電子票證應用之安全強度，保護消費者之權益。

第二條發行機構應依本準則規定之安全需求與設計，建立安全防護措施，

以確保電子票證應用之安全強度，保護消費者之權益。

本條未修正。

第三條前條所稱之安全需求與設計說明如下：

一、發行機構於交易面應依據應用範圍等級，

落實本準則對於交易訊息之隱密性、完整性、來源辨識性及不可重覆性之各項規定。

二、發行機構於管理面應防範發行機構、特約機構及加值機構之交易系統，遭受未經授權之存取、入侵威脅及破壞，有效維護交易系統之整體性及其隱密性，並保護交易系統作業安全及維持其高度可使用性。

三、發行機構於端末設備與環境面應實施安全控管，強化端末設備之安全防護，以防範非法交易或遭受外力破壞。

四、發行機構於電子票證面應依據應用範圍等

第三條前條所稱之安全需求與設計說明如下：

一、發行機構於交易面應依據應用範圍等級，

落實本準則對於交易訊息之隱密性、完整性、來源辨識性及不可重覆性之各項規定。

二、發行機構於管理面應防範發行機構、特約機構及加值機構之交易系統，遭受未經授權之存取、入侵威脅及破壞，有效維護交易系統之整體性及其隱密性，並保護交易系統作業安全及維持其高度可使用性。

三、發行機構於端末設備與環境面應實施安全控管，強化端末設備之安全防護，以防範非法交易或遭受外力破壞。

四、發行機構於電子票證面應依據應用範圍等

本條未修正。

(4)

級，選用適當型式之電子票證。

第四條本準則用詞定義如下：

一、加值機構：係指接受發行機構委託辦理加值作業之特定機構。

二、線上即時交易：係指持卡人利用電子設備或通訊設備，透過各種網路型態，經由特約機構、加值機構或直接與發行機構即時連線進行交易者，包含特約機構與發行機構間、加值機構與發行機構間、加值機構或特約機構與其所屬之端末設備間之即時訊息傳輸。

三、前款所稱網路型態如下：

(一)專屬網路：指利用電子設備或通訊設備以撥接 (Dial-Up) 、專線 (Leased-Line) 或虛擬私有網路 (Virtual Private Network，VPN)等連線方式進行訊息傳輸。

(二)網際網路：指利用電子設備或通訊設備，透過網際網路服務業者進行訊息傳輸。

(三)行動網路：指利用

第四條本準則用詞定義如下：

一、加值機構：係指接受發行機構委託辦理加值作業之特定機構。

二、線上即時交易：係指持卡人利用電子設備或通訊設備，透過各種網路型態，經由特約機構、加值機構或直接與發行機構即時連線進行交易者，包含特約機構與發行機構間、加值機構與發行機構間、加值機構或特約機構與其所屬之端末設備間之即時訊息傳輸。

三、前款所稱網路型態如下：

(一)專屬網路：利用電子設備或通訊設備直接以連線方式 ( 撥接 (Dial-Up) 、專線 (Leased-Line) 或虛擬私有網路 (Virtual Private Network，VPN)等) 進行訊息傳輸。

(二)網際網路：利用電子設備或通訊設備，透過網際網路服務業者進行訊息傳輸。

(三)行動網路：利用電

一、第三款至第五款酌作文字修正，以符合實務作業。

二、配合「電子票證發行管理條例」第五條之一第一項規定，第六款交易類型增訂第五目票證款項移轉交易。現行第五目移列至第六目。

三、增訂第七款，定義各款密碼學演算法。

四、增訂第八款，定義動態密碼。

(5)

電子設備或通訊設備，透過電信服務業者進行訊息傳輸。

四、非線上即時交易：係指持卡人持電子票證，利用各種介面類型，於端末設備進行交易，而不與發行機構即時進行連線者。

五、前款所稱介面類型如下：

(一)接觸式介面：利用磁性、光學或電子型式之電子票證，與端末設備以實際接觸方式進行訊息傳輸。

(二)非接觸式介面：利用無線射頻、紅外線或其他無線通訊技術實作之電子票證，與端末設備以非實際接觸方式進行訊息傳輸。

(三)網路及其他離線方式：利用電子票證，透過網路、通訊設備及其他方式，與遠端之特約機構或加值機構進行訊息傳輸，而不與發行機構即時連線進行授權者。

六、交易類型：

(一)線上即時消費交

子設備或通訊設備，透過電信服務業者進行訊息傳輸。

四、非線上即時交易：係指持卡人持電子票證，利用各種介面類型，於加值機構或特約機構之端末設備進行交易，而不與發行機構即時進行連線者。

五、前款所稱介面類型如下：

(一)接觸式介面：利用磁性、光學或電子型式之電子票證，與特約機構或加值機構之端末設備以實際接觸方式進行訊息傳輸。

(二)非接觸式介面：利用無線射頻、紅外線或其他無線通訊技術實作之電子票證，與特約機構或加值機構之端末設備以非實際接觸方式進行訊息傳輸。

(三)網路及其他離線方式：利用電子票證，透過網路、通訊設備及其他方式，與遠端之特約機構或加值機構進行訊息傳輸，而

(6)

易：係指消費交易發生時，其消費是否合法之驗證，必須透過連線，將相關資訊送回發行機構進行處理者。

(二)非線上即時消費交易：係指消費交易發生時，其消費是否合法之驗證，不需透過連線送回發行機構進行處理者。

(三)線上即時加值交易：係指加值交易發生時，其加值之授權，必須透過連線，將相關資訊送回發行機構進行處理者。

(四)非線上即時加值交易：係指加值交易發生時，其加值之授權，不需透過連線將相關訊息送回發行機構進行處理者。

(五)票證款項移轉交易：係指將具儲值功能之記名式電子票證款項移轉至同一持卡人電子支付帳戶，

其移轉之授權，

必須透過連線，

不與發行機構即時連線進行授權者。

六、交易類型：

(一)線上即時消費交易：係指消費交易發生時，其消費是否合法之驗證，必須透過連線，將相關資訊送回發行機構進行處理者。

(二)非線上即時消費交易：係指消費交易發生時，其消費是否合法之驗證，不需透過連線送回發行機構進行處理者。

(三)線上即時加值交易：係指加值交易發生時，其加值之授權，必須透過連線，將相關資訊送回發行機構進行處理者。

(四)非線上即時加值交易：係指加值交易發生時，其加值之授權，不需透過連線將相關訊息送回發行機構進行處理者。

( 五 ) 帳務清結算交易：包含特約機構或加值機構與

(7)

將相關訊息送回發行機構進行處理者。

( 六 ) 帳務清結算交易：包含特約機構或加值機構與其所屬端末設備間之批次帳務訊息、特約機構或加值機構與發行機構間之批次帳務訊息、加值機構與發行機構間之非線上即時加值額度授權請求訊息等。

七、常用密碼學演算法如下：

（一）對稱性加解密演算法：指資料加密標準 (Data Encryption

Standard ；以下簡稱 DES)、三重資料加密標準 (Triple DES；以下簡稱 3DES)、進階資料加密標準 (Advanced

Encryption Standard；以下簡稱 AES)。

（二）非對稱性加解密演算法：指 RSA 加密演算法 (Rivest, Shamir and Adleman Encryption

其所屬端末設備間之批次帳務訊息、特約機構或加值機構與發行機構間之批次帳務訊息、加值機構與發行機構間之非線上即時加值額度授權請求訊息等。

(8)

Algorithm ；以下簡稱 RSA)、橢圓曲線密碼學 (Elliptic Curve Cryptography；以下簡稱 ECC)。

（三）雜湊函數：指安全雜湊演算法 (Secure Hash Algorithm ；以下簡稱 SHA)。

八、動態密碼：係運用動態密碼產生器或以其他方式運用一次性密碼 (One Time Password；以下簡稱 OTP)原理，隨機產生限定一次使用之密碼者。

第五條發行機構對於電子票證各項交易類型，應依電子票證應用之範圍，考量商品或服務之性質與交易金額等因素，區分應用範圍等級，並依據本準則之規定辦理。

商品或服務之性質可區分為二類：

一、第一類：繳納政府部門規費、稅捐、罰緩或其他費用及支付公用事業（依據民營公用事業監督條例第二條定義）服務費、電信服務、學雜費、醫藥費、公共運輸（依據發展大眾運輸條例第二條定義及纜車、

第五條發行機構對於電子票證各項交易類型，應依電子票證應用之範圍，考量商品或服務之性質與交易金額等因素，區分應用範圍等級（如下表），並依據本準則之規定辦理。

一、商品或服務之性質商品

或服務之性質

說明

第一類

(一)繳納政府部門規費、稅捐、

罰緩或其他費用及支付公用事業 ( 依據民營公用事業監督條例第二條

一、依據「中央法規標準法」

改採條文取代原表格書寫方式，並酌作文字修正。

二、考量政府部門積極響應節能減碳，於板橋等地陸續推廣公共機車，故於第一款第一目之第一類繳納範圍增加公共汽機車。

(9)

計程車、公共自行車、公共汽機車）、停車等服務費用、依公益勸募條例辦理勸募活動之捐贈金、配合政府政策且具公共利益性質經主管機關核准者、支付特約機構受各級政府委託代徵收之規費、稅捐與罰緩、或受公用事業委託代收之服務費。

二、第二類：支付各項商品或服務之費用。

交易金額可區分為二種：

一、小額交易：電子票證僅支付於單筆消費金額新臺幣壹仟元以下之交易。

二、不限金額交易：電子票證非僅支付於小額交易。

前二項商品或服務之性質及交易金額可區分二個應用範圍等級：

一、第一級：為辦理支付小額交易或第一類之商品或服務交易。

二、第二級：為辦理第二類之商品或服務且支付不限金額交易。

定義 ) 服務費、電信服務、學雜費、

醫藥費、公共運輸 ( 依據發展大眾運輸條例第二條定義及纜車、計程車、公共自行車)、停車等服務費用、依公益勸募條例辦理勸募活動之捐贈金，或配合政府政策且具公共利益性質經主管機關核准者屬之。

(二)支付特約機構受各級政府委託代徵收之規費、稅捐與罰緩及受公用事業委託代收之服務費。

第二類

支付各項商品或服務之費用

二、交易金額交易

金額

說明

小額交易

電子票證僅支付於單筆消費金額新台幣壹仟元以下之交易。

不限金額交易

電子票證非僅支付於小額交易。

三、應用範圍等級

(10)

商品或服務之性質

第一類

第二類交

易金額

小額交易

第一級

第一級不限

金額交易

第一級

第二級

第六條發行機構於交易面應確保電子票證交易符合下列安全規定：

一、線上即時消費交易 (一)訊息隱密性：採用

網際網路或行動網路者應符合 A 要求。

(二)訊息完整性：採用專屬網路者應符合 B1 要求；採用網際網路或行動網路者應符合 B2 要求。

(三)來源辨識性：應用於第一級應用範圍等級者應符合 C1 或 C3 要求；應用於第二級應用範圍等級者應符合 C2 要求。

(四)不可重覆性：應符合 F 要求。

二、非線上即時消費交易 (一)訊息隱密性：採用

網路或其他離線方式者應符合 A 要求。

(二)訊息完整性：採用接觸式或非接觸式介面且應用於第一級應用範圍等級者

第六條發行機構於交易面應確保電子票證交易符合下列安全規定：

一、線上即時消費交易連線

類型

專屬網路

網際/

行動網路應用

範圍等級

防護措施

第一級

第二級

第一級

第二級

訊息隱密性

非必要

A A

訊息完整性

B 1

B 2

來源辨識性

訊息認證或持卡人認證

C 1

C 2

C 1

C 2

不可重複

F F F F

二、因應電子票證之實務應用需求，於第一款第三目來源辨識性增訂 C3 之選項。

三、配合「電子票證發行管理條例」第五條之一第一項規定，增訂第五款票證款項移轉交易之防護措施。現行第五款及第六款移列至第六款及第七款，並酌作文字修正。

(11)

應符合 B1 要求；

採用接觸式或非接觸式介面且應用於第二級應用範圍等級者應符合 B2 要求；採用網路或其他離線方式者應符合 B2 要求。

( 三 ) 來源辨識性之電子票證認證：採用接觸式或非接觸式介面且應用於第一級應用範圍等級者應符合 D1 要求；

採用接觸式或非接觸式介面且應用於第二級應用範圍等級者應符合 D2 要求；採用網路或其他離線方式者應符合 D2 要求。

( 四 ) 來源辨識性之端末認證：採用接觸式或非接觸式介面且應用於第一級應用範圍等級者應符合 E1 要求；採用接觸式或非接觸式介面且應用於第二級應用範圍等級者應符合 E2 要求；

採用網路或其他離線方式者應符合 E2 要求。

(五)不可重覆性：應符合 F 要求。

三、線上即時加值交易 (一)訊息隱密性：採用

性

二、非線上即時消費交易介面類

型

接觸式 / 非接觸式

網路及其他離線方式應用

範圍

等級

防護措施

第一級

第二級

第一級

第二級

訊息隱密性

非必要

A A

訊息完整性

B 1

B 2

來源辨識性

電子票證認證

D 1

D 2

端末認證

E1 E2 E2 E2

不可重覆性

F F F F

三、線上即時加值交易連線類

型

專屬網路

網際/

行動網路應用

範圍等級

第一級

第二級

第一級

第二級

(12)

( 三 ) 來源辨識性之發卡端認證：採用專屬網路且應用於第一級應用範圍等級者應符合 E1 要求；採用專屬網路且應用於第二級應用範圍等級者應符合 E2 要求；採用網際網路或行動網路者應符合 E2 要求。

四、非線上即時加值交易 (一)訊息隱密性：採用

網路或其他離線方式者應符合 A 要求。

(二)訊息完整性：採用接觸式或非接觸式介面且應用於第一級應用範圍等級者應符合 B1 要求；

採用接觸式或非接觸式介面且應用於第二級應用範圍等級者應符合 B3 要求；採用網路或其他離線方式者應符

防護措施

訊息隱密性

非必要

A A

訊息完整性

B 1

B 2

B 2 來

源辨識性

發卡端認證

*

E 1

E 2

不可重覆性

F F F F

(*僅適用於具認證與儲值功能之電子票證)

四、非線上即時加值交易介面類

型

接觸式/非

接觸式

網路及其他離線方式應用

範圍等級防護措施

第一級

第二級

第一級

第二級

訊息隱密性

非必要

A A

訊息完整性

B 1

B 3

B 3 來

源辨識

端末認證

E 1

E 2

(13)

合 B3 要求。

( 三 ) 來源辨識性之端末認證：採用接觸式或非接觸式介面且應用於第一級應用範圍等級者應符合 E1 要求；採用接觸式或非接觸式介面且應用於第二級應用範圍等級者應符合 E2 要求；

採用網路或其他離線方式者應符合 E2 要求。

五、票證款項移轉交易 (一)訊息隱密性：採用

(三)來源辨識性：應用於第一級應用範圍等級者應符合 C1 或 C3 要求；應用於第二級應用範圍等級者應符合 C2 要求。

六、帳務清算及結算交易 (一)訊息隱密性：採用

網際網路或行動網性

不可重覆性

F F F F

五、帳務清算及結算交易連線類

型

專屬網路

網際/

行動網路應用

範圍等級防護措施

第一級

第二級

第一級

第二級

訊息隱密性

非必要

A A

訊息完整性

B 1

B 2

B 2 來

源辨識性

訊息認證

非必要

C 2

不可重複性

F F F F

六、第一款至第五款之交易訊息中若包含電腦處理個人資料保護法所定義之個人資料，

為確保其隱密性，應採對稱性加解密系統或非對稱性加解密系統進行個人資料之加密，以防止未經授權者取得個人資料，其安全強度應不得低於第七條對訊息隱密性之規定(A)。

(14)

路者應符合 A 要求。

( 三 ) 來源辨識性之訊息認證：採用網際網路或行動網路者應符合 C2 要求。

七、本條第一款至第六款之交易訊息中若包含個人資料保護法所定義之個人資料，為確保其隱密性，應採對稱性加解密系統或非對稱性加解密系統進行個人資料之加密，

以防止未經授權者取得個人資料，其安全強度應不得低於第七條第一款訊息隱密性 A 之規定。

第七條前條各項交易安全所稱訊息隱密性、訊息完整性、來源辨識性及不可重覆性之安全設計應符合下列要求：

一、訊息隱密性 A：應採用下列對稱性加解密系統或非對稱性加解密系統，針對訊息進行全文加密，以防止未經授權者取得訊息之明文：

第七條前條各項交易安全所稱訊息隱密性、訊息完整性、來源辨識性及不可重覆性之安全設計應符合下列要求：

防護措施

安全設計之基本原則

訊息隱密性

A 應採對稱性加解密系統或非對稱性加解密系統，針對訊息進行全文加

改採條文取代原表格書寫方式。

二、配合第四條第七款增訂密碼學演算法定義，及因應實務作業情形，各款文字酌作修正。

三、為強化電子票證安全性，並考量 RSA 加密技術發展演進，爰於第一款訊息隱密性 A 增訂自一 ○ 六年一月一日

(15)

( 一 ) 對稱性加解密系統應採用 3DES 112bits 、 AES 128bits 或其他安全強度相同(含)以上之演算法及金鑰進行加密運算。

( 二 ) 非對稱性加解密系統應採用 RSA 1024bits 、 ECC 256bits 或其他安全強度相同(含)以上之演算法及金鑰進行加密運算。自一○六年一月一日起，新發行並應用於本項之電子票證不應採用低於 RSA 1024bits 之金鑰長度進行加密運算。

二、訊息完整性

(一)B1 防護措施：應採用下列防止非惡意篡改訊息之檢核碼技術之一：

1 、縱向冗餘校驗 (Longitudinal Redundancy Check，LRC)。

2 、循環冗餘校驗 (Cyclic

Redundancy Check，CRC)。

3、使用雜湊(Hash) 演算法產生訊息摘要(Message Digest)。

密，以防止未經授權者取得訊息之明文。

一、對稱性加解密系統應採用下列演算法之一：

( 一 ) 美國國家標準與技術中心 (Nation al Institute of Standar ds and Technol ogy；以下簡稱 NIST) 之三重資料加密演算法 (Triple Data Encrypti on Algorith m; 以下簡稱 TDEA 演算法)，金鑰有效長度為

起，新發行之電子票證不應採用低於 RSA 1024bits 之金鑰長度進行加密運算。

四、配合本準則第十二條應用範圍等級第一級之電子票證類型，修正第三款第一目 C1 防護措施就各款持卡人之認證方式。

五、因應電子票證之實務應用需求，第三款來源辨識性增訂 C3 之安全設計。

(16)

(二)B2 防護措施：應採用可防止蓄意篡改訊息之加解密技術，可採對稱性加解密系統進行押碼 (Message

Authentication Code, MAC) 或非對稱性加解密系統產生數位簽章 (Digital Signature) 等機制。

1、對稱性加解密系統應採用本條第一款第一目之對稱性加解密系統演算法。

2、非對稱性加解密系統應採用本條第一款第二目之非對稱性加解密系統演算法。

(三)B3 防護措施：除須符合本條第二款第二目 B2 所要求之強度外，加值交易訊息之金額須參與訊息完整性之運算。

三、來源辨識性

(一)C1 防護措施：應確保持卡人之正確性，可採用下列任一種持卡人認證方式；採用下列第 1 至第 3 方式者，其認證方式並應採用

112 位元雙金鑰之三重資料加密演算法 (Two Key Triple Data Encrypti on Algorith m; 以下簡稱 2TDEA )或 168 位元三金鑰之三重資料加密演算法 (Three Key Triple Data Encrypti on Algorith m; 以下簡稱 3TDEA )。

(二)NIST 之進階加密標準 (Advanc ed

(17)

對稱性加解密系統或非對稱性加解密系統，由發行機構確認電子票證之合法性，以防範非法之電子票證。

1、具加解密運算能力之晶片卡。

2、記憶型晶片卡與固定密碼。

3、磁條卡與磁條卡密碼。

4、用戶代號與動態密碼。

5、用戶代號與固定密碼。

(二)C2 防護措施：應採用具訊息認證功能之晶片型電子票證或端末安全模組，確保訊息來源之正確性，可採對稱性加解密系統進行押碼或非對稱性加解密系統產生數位簽章等機制。

(三)C3 防護措施：應採

Encrypti on Standar d；以下簡稱 AES 演算法)，

金鑰長度為 128 、 192 或 256 位元。

二、非對稱性加解密系統應採用下列演算法之一：

(一)RSA 加密標準 (Rivest

、 Shamir

、 Adlema n Encrypti on Standar d；以下簡稱 RSA 演算法)，

金鑰長度 1024 或 2048 位元。

( 二 ) 橢圓曲

(18)

用知識詢問 (如卡號、有效月年及檢查碼 )或設備綁定並搭配下列配套措施，由發行機構確認電子票證之合法性，以防範非法之電子票證。

1、應建置防偽冒偵測系統，建立風險分析模組與指標，用以於異常交易行為發生時即時告警並妥善處理。該風險分析模組與指標應定期檢討修訂。

2、非用戶本人授權使用之交易於掛失後無需承擔遭冒用之損失，發行機構應於十四日內返還帳款，持卡人應配合協助發行機構之後續調查作業。

(四)D1 防護措施：應採用對稱性加解密系統或非對稱性加解密系統，由端末設備確認電子票證之合法性，以防範非法之電子票證。

(五)D2 防護措施：應採用對稱性加解密系統或非對稱性加解

線數位簽章演算法 (Elliptic Curve Digital Signatur e Algorith m；以下簡稱 ECDSA 演算法)，質數模數為 256 位元 (P-256) 。訊息

完整性

B 1

應採用下列防止非惡意篡改訊息之檢核碼技術之一：

一、縱向冗餘

校驗

(Longitudi nal

Redundanc y Check ， LRC) 二、循環冗餘

校驗

(Cyclic Redundanc y Check ， CRC) 三、使用雜湊

(Hash)演算

(19)

密系統，由端末設備確認電子票證之合法性，以防範非法之電子票證。

(六)E1 防護措施：應採用對稱性加解密系統或非對稱性加解密系統，由電子票證確認端末設備或發行機構之合法性，以防止未經授權之端末設備逕行交易。

(七)E2 防護措施：應採用對稱性加解密系統或非對稱性加解密系統，由電子票證確認端末設備或發行機構之合法性，以防止未經授權之端末設備逕行交易。

法產生訊息摘要 (Message Digest) B

2

應採用可防止蓄意篡改訊息之加解密技術，可採對稱性加解密系統進行押碼 (Message Authentication Code, MAC)或非對稱性加解密系統產生數位簽章(Digital Signature) 等機制。

( 一 )TDEA 演算法，金鑰有效長度為 112 位元 (2TDE A) 或 168 位元 (3TDE A)。

(二)AES 演算法，

(20)

四、不可重覆性 F：應防止以先前成功之交易訊息完成另一筆交易，可採用序號、日期時間或時序或密碼學挑戰 - 回應 (Challenge-Response) 等機制。

金鑰長度為 128 、 192 或 256 位元。

(一)RSA 演算法，金鑰長度 1024 或 2048 位元。

( 二 )ECDSA 演算法，質數模數為 256 位元 (P-256) 。 B

3

除須符合 B2 之所要求之強度外，加值交易訊息之金額須參與訊息完整性之運算來

源辨識性

訊息認證或持卡

C 1

應確保持卡人之正確性，可採用下列任一種持卡人認證方式：

一、用戶代號與固定密

(21)

人認證

碼。

二、磁條卡與磁條卡密碼。

三、用戶代號與動態密碼：動態密碼係運用動態密碼產生器、簡訊、或以其他方式運用一次性密碼 (One Time Password

；以下簡稱 OTP) 原理，隨機產生限定一次使用之密碼者。

四、以密碼學運算為基礎，提供認證功能之晶片型電子票證。

C 2

應採用具訊息認證功能之晶片型電子票證或端末安全模組，確保訊息來源之正確性，可採對稱性加解密系統進行押碼或非對稱性加解密

(22)

系統產生數位簽章等機制。

( 一 )TDEA 演算法，金鑰有效長度為 112 位元 (2TDE A) 或 168 位元 (3TDE A)。

(二)AES 演算法，金鑰長度為 128 、 192 或 256 位元。

(一)RSA 演算法，金鑰長度 1024 或 2048

(23)

位元。

( 二 )ECDSA 演算法，質數模數為 256 位元 (P-256) 。電

子票證認證

D 1

應採用對稱性加解密系統或非對稱性加解密系統，由端末設備確認電子票證之合法性，以防範非法之電子票證。

D 2

應採用對稱性加解密系統或非對稱性加解密系統，由端末設備確認電子票證之合法性，以防範非法之電子票證。

( 一 )TDEA 演算法，金鑰有效長度為 112 位

(24)

元 (2TDE A) 或 168 位元 (3TDE A)。

(二)AES 演算法，金鑰長度為 128 、 192 或 256 位元。

( 二 )ECDSA 演算法，質數模數為 256 位元 (P-256)

。端

末 / 發

E 1

應採用對稱性加解密系統或非對稱性加解密系統，由電

(25)

卡端認證

子票證確認端末設備或發行機構之合法性，以防止未經授權之端末設備逕行交易。

E 2

應採用對稱性加解密系統或非對稱性加解密系統，由電子票證確認端末設備或發行機構之合法性，以防止未經授權之端末設備逕行交易。

(一)NIST 之 TDEA 演算法，金鑰有效長度為 112 位元 (2TDE A) 或 168 位元 (3TDE A)。

(二)NIST 之

(26)

AES 演算法，金鑰長度為 128 、 192 或 256 位元。

( 二 )ECDSA 演算法，質數模數為 256 位元 (P-256) 。不可

重覆性

F 應防止以先前成功之交易訊息完成另一筆交易，可採用序號、日期時間或時序或密碼學挑戰-回應 (Challenge-Res ponse)等機制。

第八條發行機構於管理面應採取下列防護措施及其

第八條發行機構於管理面應採取下列防護措施：

改採條文取代原表格書

(27)

安全需求：

一、建立安全防護策略 (一)建立電腦資源存取

控制機制與安全防護措施。

( 二 ) 交易必須可被追蹤。

(三)監控非法交易。

(四)須防止小規模之特約機構不當扣款。

(五)完善之金鑰管理。

二、提高系統安全之措施 (一)提昇電腦系統之安

全及可用性。

(二)提昇應用系統之安全及可用性。

三、制定作業管理規範。

防護措施

安全需求

建立安全防護策略

一、建立電腦資源存取控制機制與安全防護措施。

二、交易必須可被追蹤。

三、監控非法交易。

四、須防止小規模之特約機構不當扣款。

五、完善之金鑰管理。

提高系統安全之措施

提昇電腦系統之安全及可用性

制定作業管理規範

寫方式。

二、配合新增之票證款項移轉交易及因應新型態資安攻擊，增訂第二款第二目應用系統安全之防護措施，並於第九條第七款明定其安全設計之要求。

第九條前條發行機構管理面安全需求之安全設計應符合下列要求：

一、建立電腦資源存取控制機制與安全防護措施，防範未經授權存取系統資源，並降低非法入侵之可能性。

應以下列方式處理及管控：

(一)建置安全防護軟硬體，如防火牆 (Firewall)、安控軟體、偵測軟體等。

第九條前條發行機構管理面安全需求之安全設計應符合下列要求：

安全需求

安全設計

建立電腦資源存取控制機制與安全防護措

應防範未經授權存取系統資源，並降低非法入侵之可能性。應以下列方式處理及管控：

一、建置安全防護軟硬體，如防

火牆

二、考量電子票證發行機構與信用卡收單機構端末設備進行併機作業時，

信用卡收單機構端末設備感應距離十公分之實務設計，且該等端末設備已遵循 EMV 標準以及銀行相關之管理措施，爰第四款第一目之 4 增訂「發行機構如係

(28)

( 二 ) 控制密碼錯誤次數。

(三)電腦系統密碼檔加密。

( 四 ) 留存交易紀錄 (Transaction Log) 及稽核追蹤紀錄 (Audit Trail)。

( 五 ) 設計存取權控制 (Access Control)如使用密碼、晶片卡等。

( 六 ) 簽入 (Login) 時間控制。

(七)遠端存取應使用虛擬私有網路 (VPN)。

(八)系統資源應依其重要性與敏感性分級管理。

(九)強制更換應用軟體及網路作業系統之預設密碼。

(十)系統提供各項服務功能時，應確保個人資料保護措施。

二、交易必須可被追蹤，

交易紀錄明細應包含下列資訊，並留存於發行機構主機備查：

(一)用戶代號或卡號。

(二)交易金額。

(三)端末設備代號。

(四)交易序號或交易日期、時間。

三、發行機構應監控非法交易。

四、須防止小規模之特約

施 (Firewall) 、安控軟體、偵測軟體等。

二、控制密碼錯誤次數。

三、電腦系統密碼檔加密。

四、留存交易紀錄 (Transaction Log)及稽核追蹤紀錄 (Audit Trail)。

五、設計存取權控制 (Access Control) 如使用密碼、晶片卡等。

六、簽入 (Login) 時間控制。

七、遠端存取應使用虛擬私有網路(VPN)。

八、系統資源應依其重要性與敏感性分級管理。

九、強制更換應用軟體及網路作業系統之預設密碼。

十、系統提供各項服務功能時，

應確保個人資料保護措施。

交易必須可被追蹤

交易紀錄明細應包含下列資訊，並留存於發行機構主機備查：

共用信用卡收單機構之端末設備者，其端末設備感應距離限縮至十公分（含）以下」之但書規定，以兼顧實務作業需要及電子票證風險控管。

三、因應新興科技發展與新型態資安攻擊，第五款金鑰管理增訂第三目金鑰儲存之設備要求規定，第六款電腦系統之安全及可用性增修第二目至第九目之安全防護措施，以確保發行機構實體設備及電腦系統之安全強度。

四、配合新增之票證款項移轉交易及因應新型態資安攻擊，爰參酌「電子支付機構資訊系統標準及安全控管作業基準辦法」第十條規定，新增第七款應用系統(包括提供網際網路之應用系統、提供使用者端之程式及提供行動裝置之應用程式)之安全設計。現行第七款移列至第八款。

(29)

機構不當扣款：

(一)實收資本額低於新臺幣八千萬元且年營業額低於新臺幣六千萬元之特約機構應以下列任一方式進行交易：

1、刷卡或插卡。

2、輸入密碼。

3、任何由系統所提供予持卡人進行確認之設計。

4、感應距離限縮至四公分 ( 含 ) 以下。但發行機構如係共用信用卡收單機構之端末設備者，其端末設備感應距離限縮至十公分（含）以下。

(二)特約機構符合下列情形之一者，得不適用前目規定：

1、提供第一類商品或服務。

2 、加盟經營關係中，加盟業主實收資本額高於新臺幣八千萬元或年營業額高於新臺幣六千萬元之加盟店。

(三)發行機構與前目加盟業主及加盟店間應簽訂三方之特約

一、用戶代號或卡號。

二、交易金額。

三、端末設備代號。

四、交易序號或交易日期、時間。

監控非法交易

發行機構應監控非法交易。

須防止小規模之特約機構不當扣款

一、實收資本額低於新臺幣八千萬元且年營業額低於新臺幣六千萬元之特約機構應以下列任一方式進行交易：

( 一 ) 刷卡或插卡。

(二)輸入密碼。

(三)任何由系統所提供予持卡人進行確認之設計。

(四)感應距離限縮至四公分 (含)以下。

二、特約機構符合下列情形之一者，得不適用前目規定：

(一)提供第一類商品或服務。

(二)加盟經營關係中，加盟

(30)

機構契約，或分別與前目加盟業者及加盟店簽定特約機構契約，並應依下列規定辦理：

1、發行機構應訂定防止加盟店不當扣款之內部控制制度。

2、發行機構應於三方契約中或與加盟業主之契約中，要求加盟業主對加盟店及其受僱人員因故意或過失致發生不當扣款情事，對持卡人負同一責任。

五、金鑰管理應有下列之安全考量：

( 一 ) 應確保金鑰品質 ( 避免產生弱金鑰)。

( 二 ) 金鑰之使用、儲存、傳送與銷毀，

應確保金鑰之內容無洩露之虞。

(三)金鑰應儲存於通過 FIPS 140-1 Level2( 含 ) 以上之硬體安全模組內並限制匯出。

(四)金鑰應備份以確保其可用性。

(五)保存金鑰之設備或媒體，於更新或報廢時，應具適當之

業主實收資本額高於新臺幣八千萬元或年營業額高於新臺幣六千萬元之加盟店。

三、發行機構與前目加盟業主及加盟店間應簽訂三方之特約機構契約，或分別與前目加盟業者及加盟店簽定特約機構契約，並應依下列規定辦理：

(一)發行機構應訂定防止加盟店不當扣款之內部控制制度。

(二)發行機構應於三方契約中或與加盟業主之契約中，要求加盟業主對加盟店及其受僱人員因故意或過失致發生不當扣款情事，對持卡人負同一責任。

完善之金

金鑰管理應有下列之安全考量：

(31)

存取控管程序，以確保金鑰無洩露之虞。

六、提昇電腦系統之安全及可用性，包含：

( 一 ) 預備主機、伺服器、通訊設備、線路、週邊設備等備援裝置。

(二)建置病毒偵測軟體 (Virus Detection Software)，定期對網路節點及伺服器進行掃毒，並定期更新病毒碼。

(三)定期更新系統修補程式（ Patch, Hotfix）。

(四)於對外網段建置入侵偵測機制並定期更新特徵碼。

( 五 ) 建置上網管制機制，限制連結非業務相關網站。

(六)每年針對系統維運人員進行郵件社交工程演練。

( 七 ) 每季進行弱點掃描，依據風險高低逐步改善。

(八)每半年針對異動程式進行程式碼掃描或黑箱測試，依據風險高低逐步改善。

(九)伺服器、網路設備等營運設備應集中於機房內，並應建

鑰管理

一、應確保金鑰品質 ( 避免產生弱金鑰)。

二、金鑰之使用、

儲存、傳送與銷毀，應確保金鑰之內容無洩露之虞。

三、金鑰應備份以確保其可用性。

四、保存金鑰之設備或媒體，於更新或報廢時，應具適當之存取控管程序，以確保金鑰無洩露之虞。

提昇電腦系統之安全及可用性

應建立異地備援及故障預防措施，包含：

一、預備主機、伺服器、通訊設備、線路、週邊設備等備援裝置。

二、建置病毒偵測軟體 (Virus Detection Software) ，定期對網路節點及伺服器進行掃毒。

三、定期更新系統修補程式

（ Patch, Hotfix）。

(32)

立外圍門禁管制、

內部空間監控及機櫃門禁管制等三道防護，以確保實體安全。

七、提昇應用系統之安全及可用性：

(一)提供網際網路之應用系統應符合下列安全設計：

1、載具密碼不應於網際網路上傳輸，機敏資料於網際網路傳輸時應全程加密。

2、應設計連線控制及網頁逾時中斷機制。使用者超過十分鐘未使用應中斷其連線或採取其他保護措施。

3、應辨識外部網站及其所傳送交易資料之訊息來源及交易資料正確性。

4、應辨識使用者輸入與系統接收之支付指示一致性。

5、應設計於使用者進行身分確認與交易機制時，須採用一次性亂數或時間戳記，以防止重送攻擊。

四、確保伺服器、

網路設備之實體安全。

應確定發行機構、特約機構與加值機構內部之責任制度、核可程序及與持卡人之間之責任歸屬，應包含：

一、制定安全控管規章含設備規格。

二、安控機制說明、安控程序說明。

三、金鑰管理措施或辦法。

四、制定持卡人使用安全須知及完整合約。

(33)

6、應設計於使用者進行身分確認與交易機制時，如需使用亂數函數進行運算，須採用安全亂數函數產生所需亂數。

7、應設計個人資料顯示之隱碼機制。

8、應設計個人資料檔案及資料庫之存取控制與保護監控措施。

(二)提供使用者端之程式應符合下列安全設計：

1、應採用被作業系統認可之數位憑證進行程式碼簽章。

2、執行時應先驗證網站正確性。

3、應避免儲存機敏資料，如有必要應採取加密或亂碼化等相關機制保護並妥善保護加密金鑰，且能有效防範相關資料被竊取。

(三)提供行動裝置之應用程式應符合下列安全設計：

1、應針對所需最小權限進行存取

(34)

控制。

2、應於官網上提供行動裝置應用程式之名稱、版本與下載位置。

3、啟動行動裝置應用程式時，如偵測行動裝置疑似遭破解，應提示使用者注意風險。

4、於安裝或首次啟動應用程式時，得提示使用者於行動裝置上安裝防毒軟體。

5、採用憑證技術進行傳輸加密時，行動裝置應用程式應建立可信任憑證清單並驗證完整憑證鏈及其憑證有效性。

6、採用 NFC 技術進行付款交易資料傳輸前，應經由使用者人工確認。

(四)定期針對網際網路服務之系統或應用程式進行滲透測試，依據風險高低逐步改善。

八、制定作業管理規範，

應確定發行機構、特約機構與加值機構內

(35)

部之責任制度、核可程序及與持卡人之間之責任歸屬，包含：

(一)制定安全控管規章含設備規格。

(二)安控機制說明、安控程序說明。

(三)金鑰管理措施或辦法。

(四)制定持卡人使用安全須知及完整合約。

第十條發行機構於端末設備與環境面應採取下列防護措施及其安全需求：

一、建立安全防護策略 (一)保持端末設備與環

境之實體完整性。

(二)確保端末設備交易之安全性。

(三)建置有效或即時之管控名單管理機制。

(四)非接觸式電子票證應降低交易被意外觸發之機率。

(五)非線上即時加值應具有端末安全模組之設計。

(六)非線上即時交易，

若採用應用範圍等級第一級之電子票證，且使用於提供第二類商品或服務之特約機構，應採取降低偽卡交易之必要措施。

二、提高系統可用性之措

第十條發行機構於端末設備與環境面應採取下列防護措施：

防護措施

安全需求

一、保持端末設備與環境之實體完整性二、確保端末設備

交易之安全性三、建置有效或即

時之管控名單管理機制四、非接觸式電子

票證應降低交易被意外觸發之機率五、非線上即時加

值應具有端末安全模組之設計

六、非線上即時交易，若採用應用範圍等級第一級之電子票證，且使用於

二、第九條第七款已增訂應用系統之安全及可用性，其已涵括第一款第七目有關網際網路應用系統開發注意事項，爰刪除該目規定。

(36)

施。

三、制定作業管理規範：

內部環境管理部分應落實管理規則之規範。

提供第二類商品或服務之特約機構，應採取降低偽卡交易之必要措施七、網際網路應用

系統開發注意事項

提高系統可用性之措施

制定作業管理規範：內部環境管理部分應落實管理規則之規範。

第十一條前條發行機構端末設備與環境面安全需求之安全設計應符合下列要求：

一、保持端末設備與環境之實體完整性，應採用下列各項安全設計：

(一)定期檢視是否有增減相關裝置：

1、原始設施確實逐項編號。

2、比對現場相關設施及裝置是否與原始狀態一致。

3 、建立檢視清單 (Checklist) ，並應定期覆核並追蹤考核。

(二)應確定與端末設備

第十一條前條發行機構端末設備與環境面安全需求之安全設計應符合下列要求：

安全需求

安全設計

保持端末設備與環境之實體完整性

應採用下列各項安全設計：

一、定期檢視是否有增減相關裝置：

( 一 ) 原始設施確實逐項編號。

( 二 ) 比對現場相關設施及裝置是否與原始狀態一致。

( 三 ) 建立檢視

二、考量公共運輸端末設備確有將感應距離拉長，

以縮短交易完成時間之需要，及電子票證發行機構與信用卡收單機構端末設備進行併機作業時，信用卡收單機構端末設備感應距離十公分之實務設計，且該等端末設備已遵循 EMV 標準以及銀行相關之管理措施，爰第四款第一目增訂「發行機構如係共用信用卡收單機構之端末設備或特約機構係提供公共運輸服務者，其端末設備感應距離限縮

(37)

合作廠商簽訂資料保密契約，並應將參與端末設備安裝、維護作業之人員名單交付造冊列管，如有異動，應隨時主動通知發行機構更新之。

(三)端末設備合作廠商人員至現場作業時，均應出示經認可之識別證件。除安裝、維護作業外，並應配合隨時檢視端末設備硬體是否遭到不當外力入侵或遭裝置側錄設備。

(四)發行機構應不定時派員抽檢安裝於特約機構或加值機構之端末設備，檢視該硬體是否遭到不當外力入侵，並檢視其軟體是否遭到不法竄改。

二、確保端末設備交易之安全性，應符合下列規範：

(一)電子票證內含錄碼及資料，除帳號、

卡號、有效期限、

交易序號及查證交易是否發生之相關必要資料外，其他資料一律不得儲存於端末設備。

(二)應確保端末設備之

清單

(Checkli st)，並應定期覆核並追蹤考核。

二、應確定與端末設備合作廠商簽訂資料保密契約，並應將參與端末設備安裝、維護作業之人員名單交付造冊列管，如有異動，應隨時主動通知發行機構更新之。

三、端末設備合作廠商人員至現場作業時，均應出示經認可之識別證件。

除安裝、維護作業外，並應配合隨時檢視端末設備硬體是否遭到不當外力入侵或遭裝置側錄設備。

四、發行機構應不定時派員抽檢安裝於特約機構或加值機構之端末設備，

檢視該硬體是否遭到不當外

至十公分（含）以下」

之但書規定，以兼顧實務作業需要及電子票證風險控管。

三、第九條第七款已增訂應用系統之安全及可用性，其已涵括第七款有關網際網路應用系統開發注意事項，爰刪除該款規定。原第八款及第九款移列至第七款及第八款。

(38)

合法性，另端末設備應有唯一之端末設備代號。

(三)應用範圍屬第二級之交易，端末設備之安全模組應個別化(即每一端末設備之認證金鑰皆不相同)。

三、為有效防範非法電子票證進行交易，發行機構應建置管控名單管理機制，對於線上即時交易應即時更新，非線上即時交易應每日更新。

四、端末設備應包含下列設計，以降低非接觸式電子票證在持卡人無交易之意願下，交易被意外觸發之機率：

(一)感應距離限縮至六公分（含）以下。

但發行機構如係共用信用卡收單機構之端末設備或特約機構係提供公共運輸服務者，其端末設備感應距離限縮至十公分（含）以下。

( 二 ) 交易過程應有聲音、燈號或圖像等之提示。

五、非線上即時加值交易之端末設備應具有安全模組之設計，進行

力入侵，並檢視其軟體是否遭到不法竄改。

確保端末設備交易之安全性

運用端末設備處理交易時，應符合下述規範：

一、電子票證內含錄碼及資料，

除帳號、卡號、有效期限、交易序號及查證交易是否發生之相關必要資料外，

其他資料一律不得儲存於端末設備。

二、應確保端末設備之合法性，

另端末設備應有唯一之端末設備代號。

三、應用範圍屬第二級之交易，

端末設備之安全模組應個別化 ( 即每一端末設備之認證金鑰皆不相同)。

建置有效或即時之管控名單管理

為有效防範非法電子票證進行交易，發行機構應建置管控名單管理機制，對於線上即時交易應即時更新，非線上即時交

(39)

加值交易另應包含下列設計：

( 一 ) 逐筆授權加值交易。

(二)限制其單筆加值金額。

( 三 ) 限制其加值總額

（如：日限額），額度用罊應連線至發行機構重新授權可加值額度。

(四)安全模組應進行妥善之管理，如製發卡與交貨控管流程、管制製卡作業、落實安全模組之安全控管等。

六、應用範圍等級第一級之電子票證，若使用於提供第二類商品或服務之特約機構進行非線上即時交易，發行機構應要求特約機構設置錄影監視設備且於營業時間內保持全時錄影，或採取其他必要之措施以降低偽卡交易。

七、提高系統可用性之措施，應以下列方式處理及管控：

(一)規劃備援線路或其他可確保提高系統可用性之措施。

(二)規劃備援電路或不斷電系統 (Uninterruptible Power Supply；簡

機制易應每日更新。

非接觸式電子票證應降低交易被意外觸發之機率

端末設備應包含下列設計，以降低非接觸式電子票證在持卡人無交易之意願下，交易被意外觸發之機率：

一、感應距離限縮至六公分（含）

以下。

二、交易過程應有聲音、燈號或圖像等之提示。

非線上即時加值應具有端末安全模組之設計

非線上即時加值交易之端末設備應具有安全模組之設計，進行加值交易另應包含下列設計：

一、逐筆授權加值交易。

二、限制其單筆加值金額。

三、限制其加值總額（如：日限額），額度用罊應連線至發行機構重新授權可加值額度。

四、安全模組應進行妥善之管理，如製發卡與交貨控管流程、管制製卡作業、落實安全模組之安全

(40)

稱 UPS)。

八、應制定端末設備管理規章，含設備規格、

安控機制說明、安控程序說明、安全模組控管作業原則、管控名單管理機制、特約機構與加值機構簽約與管理辦法等。

控管等。

非線上即時交易，若採用應用範圍等級第一級之電子票證，且使用於提供第二類商品或服務之特約機構，應採取降低偽卡交易之必要措施

應用範圍等級第一級之電子票證，若使用於提供第二類商品或服務之特約機構進行非線上即時交易，發行機構應要求特約機構設置錄影監視設備且於營業時間內保持全時錄影，或採取其他必要之措施以降低偽卡交易。

網際網路應用系統開發注意事項

若電子票證持卡人透過瀏覽器以網際網路進行交易，網路應用系統之開發應有下列設計：

一、網站應採用網

(41)

頁安全傳輸協定 (Secure Sockets

Layer ；簡稱 SSL)加密或其他安全強度不得低於第七條對訊息隱密性之規定 (A) 之方式加密傳輸資料。

二、系統應依每筆交易動態隨機變動端末設備查核碼或以亂碼化保護。

三、系統應設計具遮罩功能之圖形驗證碼 (Graphic One Time

Password ；簡稱 GOTP) 或隨機按鈕等方式。

四、系統應設計動態頁面呈現或限制滑鼠點選，以防止模擬鍵盤控制 (SendKey Control)攻擊。

五、系統應有連線 (Session) 控制及網頁逾時 (Timeout) 中斷機制。

六、若有多網頁設

(42)

計，系統應驗證前一網頁正確性。

七、客戶端元件應驗證網站正確性。

八、客戶端元件應具有防盜用機制，以驗證正確網站。

九、客戶端元件應具有作業系統認可之程式碼簽章憑證 (CodeSign)。

十、客戶端元件應具存取卡片時限定為獨占模式之設計。

十一、客戶端元件應具有需經人工介入以完成交易之設計。

十二、如有駭客入侵時，發行機構應即關閉網路服務，以確保交易安全。

提高系統可用性之措施

應以下列方式處理及管控：

一、規劃備援線路或其他可確保提高系統可用性之措施。

二、規劃備援電路或不斷電系統

(43)

(Uninterruptibl e Power Supply ；簡稱 UPS)。

應制定端末設備管理規章，含設備規格、安控機制說明、安控程序說明、安全模組控管作業原則、管控名單管理機制、特約機構與加值機構簽約與管理辦法等。

第十二條發行機構應依據應用範圍等級選用下列適當型式之電子票證：

一、電子票證為下列類型之一者，得適用於第一級應用範圍：

(一)具加解密運算能力之晶片卡。

(二)記憶型晶片卡與固定密碼。

( 三 ) 磁條卡與固定密碼。

(四)用戶代號與動態密碼。

(五)用戶代號與固定密碼。

(六)用戶代號與生物特徵(如指紋、臉部、

虹膜、聲音、掌紋、

靜脈、簽名等)。

二、電子票證為下列類型之一者，得適用於第二級應用範圍：

(一)符合第六條之安全

第十二條發行機構應依據應用範圍等級選用下列適當型式之電子票證：

應用範圍等級

適用電子票證類型

第一級電子票證應為下列類型之一，第三點至第五點僅限於線上即時交易：

一、具加解密運算能力之晶片卡。

二、記憶型晶片卡與固定密碼。

三、用戶代號與動態密碼。

四、磁條卡與固定密碼。

五、用戶代號與固定密碼。

第二級電子票證應為下列類型之一：

二、配合新興技術應用，第一款中有關得適用第一級應用範圍之電子票證類型增訂六目用戶代號與生物特徵之類型。

三、將票證款項移轉交易納入本條得應用之交易類型。

(44)

規定，且經安全認證之晶片卡。

(二)用戶代號與經安全認證之動態密碼產生器 ( 如 OTP Token)，僅限應用於線上即時消費交易及票證款項移轉交易。

前項第一款第五目之固定密碼不限以鍵盤輸入，得採用點陣圖連線等方式。前項第一款第三目至第六目僅限應用於線上即時消費交易及票證款項移轉交易。

第一項所稱「安全認證」係指經主管機關確認其安全等級通過國家通訊傳播委員會或共同準則相互承認協定 (Common Criteria Recognition Arrangement；CCRA)認可之驗證機構進行第三方驗證，符合或等同於下列任一標準者：

一、共同準則

（ Common Criteria ） ISO/IEC15408 v2.3 EAL4+ （含增項 AVA_VLA.4 及 ADV_IMP.2）。二、共同準則

（ Common Criteria ） ISO/IEC15408 v3.1 EAL4+ （含增項

一、符合第六條之安全規定，且經安全認證之晶片卡。

二、用戶代號與經安全認證之動態密碼產生器 ( 如 OTP Token) ( 限以線上即時方式進行交易)。

前項所稱「安全認證」係指經主管機關確認其安全等級通過行政院國家通訊傳播委員會或共同準則相互承認協定 (Common Criteria Recognition Arrangement ； CCRA) 認可之驗證機構進行第三方驗證，符合或等同於下列任一標準者：

一、共同準則（ Common Criteria）ISO/IEC15408 v2.3 EAL4+（含增項 AVA_VLA.4 及 ADV_IMP.2）。

二、共同準則（ Common Criteria）ISO/IEC15408 v3.1 EAL4+（含增項 AVA_VAN.5）。

三、我國國家標準 CNS 15408 EAL4+（含增項 AVA_VLA.4 及 ADV_IMP.2）。四、其他經主管機關認可之

驗證標準。

(45)

AVA_VAN.5）。三、我國國家標準 CNS

15408 EAL4+（含增項 AVA_VLA.4 及 ADV_IMP.2）。

四、其他經主管機關認可之驗證標準。

第十三條發行機構對電子票證應採取下列防護措施：

一、建立安全防護策略 (一)確認電子票證之

合法性。

(二)採用戶代號與固定密碼者，應有一定之安全設計。

(三)儲存於電子票證之個人資料必須保護。

二、制定作業管理規範：

制定電子票證交貨控管流程。

第十三條發行機構對電子票證應採取下列防護措施：

防護措施

安全需求

一、確認電子票證之合法性。

二、採用戶代號與固定密碼者，

應有一定之安全設計。

三、儲存於電子票證之個人資料必須保護。

制定電子票證交貨控管流程

依據「中央法規標準法」改採條文取代原表格書寫方式。

第十四條前條發行機構電子票證安全需求之安全設計應符合下列要求：

一、電子票證須具有獨立且唯一之識別碼或具有認證之功能，以確保其合法性。

二、若採用戶代號及固定密碼者，應具有下列之安全設計：

(一)用戶代號之安全設計：

1、發行機構如使用

第十四條前條發行機構電子票證安全需求之安全設計應符合下列要求：

安全需求

安全設計

確認電子票證之合法性

應以下列任一方式確保電子票證之合法性：

一、具有獨立且唯一之識別碼。

二、電子票證具有認證之功能。

若採採用戶代號及固定

二、第二款第一目之 1 增訂顯性資料之範例及第二款第二目之 3 增訂預設密碼之除外，以符合實務作業。

三、第二款第二目之 8 增訂密碼變更要求，以強化電子票證安全需求之設計。

電子票證應用安全強度準則修正總說明