第八點 金融 FIDO 平臺提供或使用下列應用系統或技術時，應符合下列 設計要求： 一、網際網路應用系統： （一）機敏資料於網際網路傳輸時應全程加密。 （二）應設計連線控制及網頁逾時中斷機制，客戶超過十分鐘未 使用應中斷其連線；使用同一連線並應用於交易指示類業 務時，無須再次核驗身分，惟非約定轉帳除外。 （三）應辨識外部網站及其所傳送交易資料之訊息來源及交易資 料正確性。 （四）應設計個人資料顯示之隱碼機制。 （五）應設計個人資料檔案及資料庫之存取控制與保護監控措施 。 二、客戶端電腦應用程式： （一）可執行程式（如 EXE,COM 等）應採用被作業系統認可之 數位憑證進行程式碼簽章（CodeSign）且安裝過程不應出 現憑證相關安全警告。 （二）執行時應先驗證連結的網站正確性。 （三）應避免儲存機敏資料，如有必要應採取加密或代碼化等相 關機制保護並妥善保護加密金鑰，且能有效防範相關資料 被竊取。 三、行動裝置應用程式： （一）於發布前檢視行動裝置應用程式所需權限應與提供服務相 當；首次發布或權限變動，應經資安、法遵及風控等單位 同意，以利評估是否符合個人資料保護法之告知義務。 （二）應於官網上提供行動裝置應用程式之名稱、版本與下載位 置。 （三）啟動行動裝置應用程式時，如偵測行動裝置疑似遭提權、 越獄及破解，應提示客戶注意風險。 （四）應於顯著位置（如行動裝置應用程式下載頁面等）提示客 戶於行動裝置上安裝防護軟體。 （五）採用憑證技術進行傳輸加密時，行動裝置應用程式應建立 可信任憑證清單並驗證完整憑證鏈及其憑證有效性。 （六）採用 NFC、藍牙或 QRCode 技術進行傳輸資料時，應經由 客戶人工確認（如密碼、圖形驗證碼）。 （七）應偵測客戶所指定設備之生物特徵，如發現有設定異動應 及時通知客戶。 （八）每年應依據經濟部工業局制定之「行動應用 APP 基本資 安檢測基準」辦理檢測並取得證書。 四、透過 QR Code 進行資料傳輸： （一）QRCode表 示的資料應為辦理該業務所需最小化為原則。 （二）應用於申請指示類業務或交易指示類業務時，應設計合理 使用時效，且在時效內以使用一次為限。 （三）所產生之 QR Code，如具客戶個人資料應符合訊息隱密性 、如應用於申請指示類業務或交易指示類業務時，應符合 訊息完整性、訊息來源辨識性與訊息不可重複性。 （四）應針對解析 QR Code 後進行格式檢查，如為網站連接應 進行網站安全性檢查。