|
[法令]修正「電子支付機構資訊系統標準及安全控管作業基準辦法」部分條文公告 1.金管會已於106年12月28日公告修正「電子支付機構資訊系統標準及安全控管作業基準辦法」部分條文,修正重點如下: 一、增加並明確規範使用者登入電子支付平臺之身分確認方式,包括本辦法第七條規定之 A 類、B 類、C 類或 D 類交易安全設計。(修正條文第五條) 二、放寬電子支付機構採用「使用者所擁有之生物特徵」安全設計方式,新增「間接驗證」類型;容許使用者依各類交易安全設計方式登入電子支付平 臺後,於符合連線控制及網頁逾時中斷機制時限內,得直接進行該類交易安全設計及其得替代交易安全設計之交易。(修正條文第七條) 三、新增訊息完整性及訊息來源辨識性演算法之規格,並增加訊息不可重複性之安全設計機制。(修正條文第九條) 四、修正電子支付平臺之「行動裝置應用程式」設計要求,並新增「採用條碼掃描技術」設計要求。(修正條文第十條) 五、簡化兼營電子支付機構同時為開戶金融機構時有關約定連結存款帳戶付款之通知機制及風險控管機制。(修正條文第十條之一) 六、新增生物特徵識別運用之相關安全控管。(修正條文第十四條) 2.本次修正第十條第四項及第六項條文內容,電子支付機構行動裝置應用程式設計應遵循法規內容進行調整,法規詳細內容如下: 四、行動裝置應用程式設計要求: (一)於發布前檢視行動裝置應用程式所需權限應與提供服務相當;首次發布或權限變動,應經法遵部門及風控部門同意,以利綜合評估是 否符合個人資料保護法之告知義務。 (二)應於官網上提供行動裝置應用程式之名稱、版本與下載位置。 (三)啟動行動裝置應用程式時,如偵測行動裝置疑似遭破解,應提示使用者注意風險。 (四)應於顯著位置(如行動裝置應用程式下載頁面等)提示使用者於行動裝置上安裝防護軟體。 (五)採用憑證技術進行傳輸加密時,行動裝置應用程式應建立可信任憑證清單並驗證完整憑證鏈及其憑證有效性 (六)採用NFC技術進行付款交易資料傳輸前,應經由使用者人工確認。 (七)行動裝置應用程式設計要求除應符合前六目規定外,並應符合中華民國銀行商業同業公會全國聯合會(以下簡稱銀行公會)所訂定之行 動裝置應用程式相關自律規範。 六、採用條碼掃描技術之設計要求,應符合銀行公會所訂定之條碼掃描應用安全相關自律規範。
4.「電子支付機構資訊系統標準及安全控管作業基準辦法」部分修正條文、總說明及條文對照表詳如附件。
| 
發表於 2018-1-3 09:39:52
