【資訊安全】TM-E-1（Part 3）

本文接續上一篇文章，繼續介紹香港金融管理局（簡稱HKMA）發布的《電子銀行的風險管理》（簡稱TM-E-1）。

4. Customer security
4.1 Authentication of customers
4.2 Notifications sent to customers
4.3 Customer awareness and education
4.4 Customer protection

第四條是關於客戶保護措施，如身分驗證方式、客戶通知、安全認知及教育訓練、客戶權益保障。

客戶申請電子銀行服務時，無論是透過網路或臨櫃申請，認可機構應驗證申請人的身分（如上傳/檢視身分證明文件），確保為當事人親自申請。此外，客戶必須驗證身分後，才能登入網路銀行。

目前多數的電子銀行採用固定密碼登入，客戶須輸入代號（ID）、使用者名稱和密碼，部分電子銀行還會要求輸入圖形驗證碼（CAPTCHA）。雖然香港金融管理局（簡稱HKMA）未要求客戶登入電子銀行時，採用雙因子驗證（2FA）身分，但是部分國家（如新加坡）已有相關規定，認可機構可自行評估是否採用。

另一方面，HKMA要求客戶辦理高風險交易前，必須經過雙因子驗證身分。目前常見的第二個驗證因子如電子憑證、OTP（含OTP Token、簡訊OTP）。

認可機構應建立密碼設定原則（如最小密碼長度、密碼複雜度），以防止密碼遭到暴力破解，而且應定期提示客戶變更密碼。除此之外，認可機構應落實權責劃分，避免密碼在產生、發行或重置的過程中外洩。

先前提到，HKMA要求客戶辦理高風險交易前，必須經過雙因子驗證身分。認可機構可以定義何謂高風險交易，但應至少包含以下3種類型交易：
1. 非約定轉帳。
2. 交易對象為高風險族群，而且客戶未約定交易對象。
3. 線上權益移轉（如信用卡點數），而且客戶未約定交易對象。

不僅如此，認可機構應將線上設定約定轉入帳戶、變更帳戶資訊（如密碼變更、聯絡資訊）視為高風險交易指示，要求客戶進行雙因子驗證身分。但如果認可機構僅開放臨櫃設定，那就沒有上述疑慮。

為了協助客戶即時發現未經授權交易，認可機構應於客戶發起高風險交易時，盡快通知客戶。通知內容應包含交易對象、交易類別、交易金額等交易明細。認可機構如果有提供信用卡服務，當客戶透過無卡支付（CNP）交易金額達一定門檻時，也應即時通知客戶。另外，為了避免通知未送達的情形發生，認可機構應建立替代通知管道。

認可機構應提示客戶安全須知及使用責任（如妥善保管密碼），建議於官方網站、電子銀行登入頁面和服務約定書提供相關指引，並定期更新內容。認可機構也應建立釣魚網站偵測機制，即時發現偽冒網站，避免客戶權益受損。

同時，認可機構應基於平等原則，除非有不當交易行為，或對於保管身分驗證機制有過失（如遺失OTP Token），否則客戶不需替未經授權交易負責。最後，認可機構應遵循《個人資料（私隱）條例》或香港個人資料私隱專員公署（PCPD）發布的相關指引。建議認可機構於服務約定書中明定上述條款。