【資訊安全】金融機構提供行動裝置應用程式作業規範（Part 3）

前言：本文接續上一篇文章（文章連結），繼續介紹《金融機構提供行動裝置應用程式作業規範》。

第十二條
採用空中傳輸(OTA)方式下載敏感資料前，應符合下列要求：
一、 應確認使用者身分(如密碼)，並採用嚴密的技術防護措施，且能有效防範相關資料被竊取。
二、 應確認行動裝置及應用程式之正確性，並進行端點(銀行端)對端點(應用程式)全程加密防護。

首先，評估人員應瞭解應用程式有無採用空中傳輸（OTA）技術；接者要瞭解應用程式是否下載敏感資料（如信用卡資料、存款帳號等），符合上述2個條件的應用程式才適用本條文，較為知名的APP如「台灣行動支付」。

以「台灣行動支付」為例，如果要綁定某銀行的金融卡支付，必須回答安全問題（如身分證字號、出生年月日、留存手機號碼等），並輸入發卡銀行寄送的簡訊驗證碼，以確認使用者身分。

台灣行動支付是透過卡號、金鑰驗證行動裝置及應用程式的正確性；端點對端點加密則指利用硬體安全模組（HSM）進行加/解密運算，資料不會在傳輸過程中落地。

第十三條
採用安全元件儲存媒介(SE)作為儲存裝置時，應確認使用者指定之安全元件儲存媒介編號(如SE ID)、並於SE內增設存取控管，限制由可信任應用程式存取。

評估人員首先要確認應用程式是否採用安全元件儲存媒介作為儲存裝置。iOS應用程式的常見安全儲存媒介如Secure Enclave；Android應用程式的常見安全儲存媒介如Trusty TEE。基本上，iOS、Android都有預設的存取控管方式，只要不允許特殊設定（如Group Sharing），應無安全疑慮。

第十四條
採用近距離無線通訊(NFC)技術進行付款交易資料傳輸前，應經由使用者人工確認（如密碼、圖形驗證碼）。

這一條相當淺白，再以「台灣行動支付」為例，使用者在付款前，應輸入密碼或圖形驗證碼進行人工確認。

第十五條
依據金融機構辦理電子銀行業務安全控管作業基準第九條第九款辦理法人客戶高風險交易，採用行動裝置應用程式作為交易再確認機制者，應符合下列安全防護措施…

上一篇文章提到，部分金融機構有導入軟體令牌（Soft Token），當客戶辦理交易時，得使用軟體令牌進行身分認證。然而在本文撰文的當下，尚未有業者將軟體令牌用於法人客戶的高風險交易再確認機制，所以不適用第十五條的規定。

關於高風險交易的定義，請詳見《金融機構辦理電子銀行業務安全控管作業基準》第四條。

第十六條
本規範經本會理事會通過並函報金融監督管理委員會核備後實施，修正時亦同。

作業辦法的最後總是千篇一律，恐怕也是筆者閱讀起來最有把握的一條…

以上就是《金融機構提供行動裝置應用程式作業規範》的介紹，考慮到本作業辦法涉及相當多技術層面的東西，歡迎讀者留下寶貴的意見。如果文章中有什麼錯誤，或者解釋不清之處，也請留言讓我知道，謝謝！