【資訊安全】金融機構辦理電子銀行業務安全控管作業基準（Part 2）

本文接續上一篇文章，繼續介紹《金融機構辦理電子銀行業務安全控管作業基準》（以下簡稱「作業基準」）。

第七條
交易面之介面安全設計
係指客戶發送訊息時，其介面及訊息之通訊傳輸應達到之安全防護措施之設計方法，亦即金融機構於系統開發設計時，應加以考量或應具備之基本原則及項目。應用於高風險交易之安全設計可應用於低風險交易；應用於低風險交易之安全設計可應用於身分確認 （如簽入作業）。

舉例說明如下：

1. 若應用FXML憑證於高風險交易（e.g., 每筆超過等值新臺幣5萬元之非約定轉帳），也可應用FXML憑證於低風險交易；
2. 若應用固定密碼於低風險交易，也可應用固定密碼於簽入作業。

各項介面安全設計，區分如下：
一、使用憑證簽章，其安全設計應簽署適當內容並確認該憑證之合法性、正確性、有效性、保證等級及用途限制。

憑證簽章一般是指FXML憑證，FXML憑證係採用銀行公會訂定之安控規格，被視為安全性最高的安全設計，多應用於高風險交易。

二、使用晶片金融卡，其安全設計應符合晶片金融卡交易驗證碼之安全設計。

「晶片金融卡交易驗證碼之安全設計」係指依每筆交易動態產製不可預知之端末設備查核碼，例如：每次輸入卡片密碼產生交易驗證碼，並由原發卡銀行驗證交易驗證碼。

三、使用一次性密碼（One Time Password，OTP），其安全設計係運用動態密碼產生器（Key Token）、晶片金融卡或以其他方式運用OTP原理，產生限定一次使用之密碼者。

作業基準雖然說明何謂一次性密碼，但並未提出安全設計原則。

四、使用「兩項以上技術」，其安全設計應具有下列三項之任兩項以上技術：
(一) 客戶與金融機構所約定之資訊，且無第三人知悉 (如密碼、圖形鎖、手勢等)。
(二) 客戶所持有之設備，金融機構應確認該設備為客戶與金融機構所約定持有之實體設備 (如密碼產生器、密碼卡、晶片卡、電腦、行動裝置、憑證載具等)。
(三) 客戶提供給金融機構其所擁有之生物特徵(如指紋、臉部、虹膜、聲音、掌紋、靜脈、簽名等)，金融機構應直接或間接驗證該生物特徵。間接驗證係指由客戶端設備(如行動裝置)驗證或委由第三方驗證，金融機構僅讀取驗證結果，必要時應增加驗證來源辨識。

第4點係指多因子認證（Multi-Factor Authentication，MFA）。實務上，所有網路銀行都採用多因子認證，以「客戶與金融機構所約定之資訊」搭配「客戶所持有之設備」最為常見。

五、使用視訊會議，其安全設計應查驗本人並核對證件照片。

過去十分罕見的安全設計，隨著數位帳戶的興起及線上申辦業務的發展，使用頻率逐漸上升。一般來說，金融機構會要求客戶下載特定視訊軟體，並透過視訊會議查驗身分證件。

六、使用知識詢問，其應用範圍應符合第九條第六款之要求；其安全設計應利用客戶之其他資訊(如保單資訊、信用卡繳款方式等)，以利有效識別客戶身分。

知識詢問應用於客戶服務居多，例如：帳務類查詢。關於第九條第六款之要求，會於系列文章中介紹。

七、使用固定密碼，其應用範圍應符合第九條第六款之要求；
（一）透過網際網路傳輸途徑並採用戶代號及固定密碼進行唯一驗證之簽入介面，其安全設計應具備之安全設計原則如下：
１、用戶代號之安全設計：
（１） 不得使用客戶之顯性資料(如統一編號、身分證號、手機號碼、電子郵件帳號、信用卡號、存款帳號等)作為唯一之識別，否則應另行增設使用者代號以資識別。
（２） 不應少於六位。
（３）不應訂為相同之英數字、連續英文字或連號數字。
（４）同一用戶代號在同一時間內僅能登入一個連線(session)控制之系統。（５）如增設使用者代號，至少應依下列方式辦理：
甲、不得為金融機構已知之客戶顯性資料。
乙、如輸入錯誤達五次，金融機構應做妥善處理。
丙、新建立時不得相同於用戶代號及密碼；變更時，亦同。

２、固定密碼之安全設計：
（１）不應少於六位，若搭配交易密碼使用則不應少於四位且交易密碼應符合本目相關規定。
（２）建議採英數字混合使用，且宜包含大小寫英文字母或符號。
（３）不應訂為相同之英數字、連續英文字或連號數字，系統預設密碼不在此限。
（４）不應與用戶代號、使用者代號、交易密碼相同。
（５）密碼連續錯誤達五次，不得再繼續執行交易。
（６）變更密碼不得與前一次相同。
（７）首次登入時，應強制變更系統預設密碼；若未於30日內變更者，則不得再以該密碼執行簽入。
（８）密碼超過一年未變更，金融機構應做妥善處理。
（９）密碼於儲存時應先進行不可逆運算(如雜湊演算法)，另為防止透過預先產製雜湊值推測密碼，可進行加密保護或加入不可得知的資料運算；採用加密演算法者，其金鑰應儲存於經第三方認證(如FIPS 140–2 Level 3以上)之硬體安全模組內並限制明文匯出功能。

(二) 透過公眾交換電話網路傳輸途徑並採用戶代號及固定密碼進行唯一驗證之簽入介面，其安全設計應符合第一目網際網路有關用戶代號之（２）、（３）及固定密碼之安全設計，惟密碼長度不應少於四位。

第七點提到3個名詞：用戶代號、使用者代號和固定密碼。一般來說，個人網路銀行透過用戶代號、固定密碼進行身分驗證；企業網路銀行為了對使用者進行身分驗證，而增設使用者代號，舉例來說：財務主管與經辦可能使用不同使用者代號、密碼執行簽入。

法規對於設定規則的說明十分詳盡，在此不贅述。但有一點仍有討論空間，也就是「相同之英數字、連續英文字或連號數字」究竟有沒有字數規定？部分金融機構認為，整組密碼不為相同或連續的英數字即可，對於較為嚴謹的金融機構，則將字數限制為3位，換言之，代號、密碼中不得包含3個相同、連續的英數字（包含升、降冪），舉例來說：aaa、abc、cba都是不建議的。

八、採用存款帳戶，其安全設計應確認申請人與該帳戶持有人為同一統一編號且係透過臨櫃方式開立，以確認該帳戶之有效性（如透過財金公司之「跨行金融帳戶資訊核驗」辦理）；辦理信用卡業務或授信業務驗證他行存款帳戶有效性時，應透過財金公司之「跨行金融帳戶資訊核驗」辦理，以有卡方式核驗者應驗證晶片金融卡交易驗證碼，以無卡方式核驗者應發送簡訊或推播驗證一次性密碼。

存款帳戶經常應用在線上申請開戶，使用者只要輸入帳戶即可，但不得使用數位帳戶，目的是確保已臨櫃確認申請人身分。

辦理信用卡業務或授信業務時，可透過晶片金融卡或一次性密碼核驗身分。交易驗證碼由金融卡產生，使用者只要輸入金融卡密碼即可。

九、採用信用卡，其安全設計應確認申請人與信用卡持卡人為同一統一編號且係透過信用卡授權交易方式，確認該卡片之有效性(如預授權) ；驗證他行信用卡有效性時，應透過聯合信用卡處理中心及財金公司之「信用卡輔助持卡人身分驗證平臺」辦理。

若採用本行信用卡進行身分驗證，其流程如同線上刷卡，需要授權交易。

若採用他行信用卡進行身分驗證，是由受理機構透過「信用卡輔助持卡人身分驗證平臺」，將信用卡資料傳送至發卡機構進行核驗。