本辦法依電子支付機構管理條例(以下簡稱本條例)第二十九條第二項、第三十九條及第四十條準用第二十九條第二項規定訂定之。
電子支付機構辦理電子支付機構業務之資訊系統及安全控管作業,應依本辦法規定辦理。
本辦法用詞定義如下:
一、電子支付機構業務:指本條例第三條第一項各款業務。
二、電子支付平臺:指辦理電子支付機構業務相關之應用軟體、系統軟體 及硬體設備。
三、電子支付作業環境:指電子支付平臺、網路、作業人員及與該電子支 付平臺網路直接連結之應用軟體、系統軟體及硬體設備。
四、網路型態區分如下:
(一)專屬網路:指利用電子設備或通訊設備直接以連線方式(撥接( Dial-Up)、專線(Leased-Line)或虛擬私有網路(Virtual Private Network,VPN)等)進行訊息傳輸。
(二)網際網路(Internet):指利用電子設備或通訊設備,透過網際網 路服務業者進行訊息傳輸。
(三)行動網路:指利用電子設備或通訊設備,透過電信服務業者進行訊 息傳輸。
五、訊息防護措施區分如下:
(一)訊息隱密性(Confidentiality):指訊息不會遭截取、窺竊而洩 漏資料內容致損害其秘密性。
(二)訊息完整性(Integrity) :指訊息內容不會遭篡改而造成資料不 正確,即訊息如遭篡改時,該筆訊息無效。
(三)訊息來源辨識性(Authentication):指傳送方無法冒名傳送資料 。
(四)訊息不可重複性(Non-duplication) :指訊息內容不得重複。
(五)訊息不可否認性(Non-repudiation) :指無法否認其傳送或接收 訊息行為。
六、常用密碼學演算法如下:
(一)對稱性加解密演算法:指資料加密標準(Data Encryption Standard;以下簡稱 DES)、三重資料加密標準(Triple DES;以 下簡稱 3DES) 、進階資料加密標準(Advanced Encryption Standard;以下簡稱 AES)。
(二)非對稱性加解密演算法:指 RSA 加密演算法(Rivest, Shamir and Adleman Encryption Algorithm;以下簡稱 RSA)、橢圓曲線 密碼學(Elliptic Curve Cryptography ;以下簡稱 ECC)。
(三)雜湊函數:指安全雜湊演算法(Secure Hash Algorithm; 以下簡 稱 SHA)。
七、系統維運人員:指電子支付平臺之作業人員,其管理或操作營運環境 之應用軟體、系統軟體、硬體、網路、資料庫、使用者服務、業務推 廣、帳務管理或會計管理等作業。
八、一次性密碼(One Time Password ;以下簡稱 OTP):指運用動態密 碼產生器、晶片金融卡或以其他方式運用 OTP原理,產生限定一次使 用之密碼。
九、行動裝置:指包含但不限於智慧型手機、平板電腦等具通信及連網功 能之設備。
十、機敏資料:指包含但不限於密碼、個人資料、身分認證資料、信用卡 卡號、信用卡驗證碼或個人化資料等。
十一、近距離無線通訊(Near Field Communication;以下簡稱 NFC): 指利用點對點功能,使行動裝置在近距離內與其他設備進行資料傳 輸。
十二、實體通路支付服務(Online To Offline,O2O):指電子支付機構 就電子支付機構業務,利用行動裝置或其他可攜式設備於實體通路 提供服務。
十三、約定連結存款帳戶付款:指電子支付機構辦理電子支付機構業務, 依使用者與開戶金融機構間之約定,向開戶金融機構提出扣款指示 ,連結該使用者存款帳戶進行轉帳,由電子支付機構收取支付款項 ,並於該使用者電子支付帳戶記錄支付款項金額及移轉情形之服務 ,作業機制如下:
(一)直接連結機制:指電子支付機構直接向開戶金融機構提出扣款指 示,連結使用者存款帳戶進行轉帳之機制。
(二)間接連結機制:指電子支付機構經由專用存款帳戶銀行介接金融資訊服務事業或票據交換所,間接向開戶金融機構提出扣款指示 ,連結使用者存款帳戶進行轉帳之機制。
電子支付機構於受理使用者註冊時,所採用之身分確認程序之安全設計如下:
一、確認行動電話號碼:應確認使用者可操作並接收訊息通知。
二、確認金融支付工具之持有人與電子支付帳戶使用者相符,方式如下:
(一)確認存款帳戶持有人:應向金融機構查詢或確認存款帳戶持有人身 分證統一編號或商業統一編號。個人使用者無身分證統一編號者, 應提供其他身分證明文件及其號碼等資料供金融機構確認。
(二)確認信用卡持有人:應向信用卡發卡機構查詢或確認持有人身分證 統一編號。
三、確認證明文件影本:得採上傳或拍照方式取得完整清晰可辨識之影像 檔。
四、臨櫃確認身分:臨櫃受理使用者註冊,應了解使用者動機、查證電話 與住址、辨識具照片之身分證明文件、留存影像、留存印鑑或簽名、 約定收付款限額及注意周邊環境。
五、以電子簽章確認身分:應透過憑證進行簽章、驗證憑證有效性,並確 認該憑證之身分與電子支付帳戶使用者相符。
電子支付機構於使用者登入電子支付平臺時應進行身分確認,使用者應以帳號及第七條規定之 A 類、B 類、C 類或 D 類交易安全設計登入。
前項帳號及採用固定密碼之安全設計如下:
一、帳號如使用顯性資料(如商業統一編號、身分證統一編號、行動電話 號碼、電子郵件帳號、信用卡卡號等)作為唯一之識別,應另行增設 使用者代號以資識別。使用者代號亦不得為上述顯性資料。
二、密碼不應少於六位。
三、密碼不應與帳號相同,亦不得與使用者代號相同。
四、密碼不應訂為相同之英數字、連續英文字或連號數字,預設密碼不在 此限。
五、密碼建議應採英數字混合使用,且宜包含大小寫英文字母或符號。
六、密碼連續錯誤達五次時應限制使用,須重新申請密碼。
七、變更後之密碼不得與變更前一次密碼相同。
八、密碼超過一年未變更,電子支付機構應做妥善處理。
九、使用者註冊時係由電子支付機構發予預設密碼者,於使用者首次登入 時,應強制變更預設密碼。第一項採用圖形鎖或手勢之安全設計,準用前項第六款及第七款規定。
電子支付機構對於不同交易類型,應依其不同交易限額,採用下列交易安全設計:
一、辦理代理收付實質交易款項(含實體通路支付服務交易),於使用者以電子支付帳戶款項支付、以約定連結存款帳戶付款支付、提出提前 付款請求或提出取消暫停支付請求時,及使用者以約定連結存款帳戶 付款支付儲值款項時,應依其不同交易限額,採用下列交易安全設計 :
(一)每筆交易金額未達等值新臺幣五千元,或每日交易金額未達等值新 臺幣二萬元,或每月交易金額未達等值新臺幣五萬元者,應採用 A 類交易安全設計。
(二)每筆交易金額達等值新臺幣五千元且未達等值新臺幣五萬元,或每 日交易金額達等值新臺幣二萬元且未達等值新臺幣十萬元,或每月 交易金額達等值新臺幣五萬元且未達等值新臺幣二十萬元者,應採 用 B 類交易安全設計。
(三)每筆交易金額達等值新臺幣五萬元以上,或每日交易金額達等值新 臺幣十萬元以上,或每月交易金額達等值新臺幣二十萬元以上者, 應採用 C 類交易安全設計。
二、於使用者進行電子支付帳戶間款項移轉之支付時,應依其不同交易限 額,採用下列交易安全設計:
(一)每筆交易金額未達等值新臺幣五萬元,或每日交易金額未達等值新 臺幣十萬元,或每月交易金額未達等值新臺幣二十萬元者,應採用 C 類交易安全設計。
(二)每筆交易金額達等值新臺幣五萬元,或每日交易金額達等值新臺幣 十萬元以上,或每月交易金額達等值新臺幣二十萬元以上者,應採 用 D 類交易安全設計。前項 D 類交易安全設計得替代 C 類交易安全設計,C 類交易安全設計得替代 B 類交易安全設計,B 類交易安全設計得替代 A 類交易安全設計。
電子支付機構執行前條所列交易安全設計,應符合下列要求:
一、A 類交易安全設計:指採用固定密碼、圖形鎖或手勢之安全設計,如 為固定密碼,其安全設計應符合第五條第二項之規定;如為圖形鎖或 手勢,其安全設計應符合第五條第三項之規定。
二、B 類交易安全設計:指採用簡訊傳送一次性密碼至使用者行動裝置之 安全設計,應設定密碼有效時間,並應避免簡訊遭竊取或轉發。
三、C 類交易安全設計:指採用下列任一款之安全設計:
(一)採用晶片金融卡之安全設計,應依每筆交易動態產製不可預知之端末設備查核碼,每次需輸入卡片密碼產生交易驗證碼,並由原發卡銀行驗證交易驗證碼;應設計防止第三者存取。
(二)採用一次性密碼之安全設計,應採用實體設備且非同一執行交易之 設備;設定密碼有效時間;設計密碼連續錯誤達三次時予以鎖定使用,經適當身分認證後才能解除。如實體設備與執行交易之設備為 同一設備,則應於使用者端經由人工確認交易內容後才能完成交易 。
(三)採用二項(含)以上技術(Two Factors Authentication),其安 全設計應具有下列任二項以上技術:
1.使用者與電子支付機構所約定之資訊,且無第三人知悉(如固定 密碼、圖形鎖或手勢)。
2.使用者所持有之實體設備(如密碼產生器、密碼卡、晶片卡、電 腦、行動裝置、憑證載具等):電子支付機構應確認該設備為使 用者與電子支付機構所約定持有之設備。
3.使用者所擁有之生物特徵(如指紋、臉部、虹膜、聲音、掌紋、 靜脈、簽名等):電子支付機構應直接或間接驗證該生物特徵, 並依據其風險承擔能力調整生物特徵之錯誤接受度,以有效識別 使用者身分,必要時應增加其他身分確認機制(如密碼)。間接驗證由使用者端設備(如行動裝置)驗證,電子支付機構僅讀取 驗證結果,必要時應增加驗證來源辨識;採用間接驗證者,應事 先評估使用者身分驗證機制之有效性。
四、D 類交易安全設計:指採用下列任一款之安全設計:
(一)臨櫃受理使用者交易,應核對身分證明文件及印鑑或簽名。
(二)採用符合電子簽章法之安全設計。
使用者依第五條規定以帳號及前項 A 類、B 類、C 類或 D 類交易安全設計登入電子支付平臺,於符合第十條第一款第二目規定之連線控制及網頁逾時中斷機制時限內,得直接進行該類交易安全設計及依前條第二項所定其得替代交易安全設計之交易。第一項第四款第二目採用符合電子簽章法之安全設計得使用憑證機制,相關要求如下:
一、應遵循憑證機構之憑證作業辦法。
二、應確認憑證之合法性、正確性、有效性、保證等級及用途限制,該憑 證應由憑證主管機關核定之第三方憑證機構所核發。
三、擔任憑證註冊中心,受理使用者憑證註冊或資料異動時,其臨櫃作業 應額外增加具二項(含)以上技術之安全設計或經由另一位人員審核 。
四、憑證線上更新時,須以原使用中有效私密金鑰對憑證更新訊息做成簽 章傳送至註冊中心提出申請。
五、應用於交易不可否認之憑證,應選擇負賠償責任之憑證機構,且該憑 證申請須由使用者自行產製私鑰。
六、政府機關核發之憑證限應用於註冊時之身分確認。
七、每筆交易須針對支付內容進行簽章並驗證該憑證之有效性。
八、應確認該憑證私鑰儲存於符合共同準則(Common Criteria)EAL 4+ (至少包含增項 AVA_VLA.4 或 AVA_VAN.5)或 FIPS 140-2 Level 3 (含)以上或其他相同安全強度之認證等晶片硬體內,以防止該私 鑰被匯出或複製。如晶片硬體與產生支付指示為同一設備,則應於使 用者端經由人工確認交易內容後才完成交易;或於交易過程額外增加 具二項(含)以上安全設計。
電子支付機構於不同網路型態應確保電子支付交易符合下列安全規定:
一、專屬網路:應符合訊息完整性、訊息來源辨識性及訊息不可重複性之 訊息防護措施。如採用前條第一項第四款第二目之交易安全設計者, 應同時符合訊息不可否認性之訊息防護措施。
二、網際網路或行動網路:應符合訊息隱密性、訊息完整性、訊息來源辨 識性及訊息不可重複性之訊息防護措施。如採用前條第一項第四款第 二目之交易安全設計者,應同時符合訊息不可否認性之訊息防護措施 。