| 法規名稱: | 金融機構辦理快速身分識別機制安全控管作業指引 |
|---|---|
| 公發布日: | 民國 112 年 04 月 25 日 |
| 附件圖表: |
第一點 為強化金融機構或其所屬公會(以下合稱金融機構)辦理跨機構
間之客戶快速身分識別機制(以下簡稱金融 FIDO) 之安全控管
,並有一致性之作業準則,特訂定本指引。
金融機構辦理金融 FIDO ,應依各金融業業務試辦作業要點向金
融監督管理委員會(下稱金管會)申請業務試辦,除應符合金管
會、金融機構所屬公會及周邊單位相關規定外,應依本指引辦理
。
金融機構辦理同業別跨機構間之客戶快速身分識別機制,已依各
業別業務試辦作業要點經金管會核准試辦並另為規範者,得不適
用本指引。
第二項所稱金融機構所屬公會及周邊單位,詳附表一。
第二點 本指引用詞定義如下:
一、快速身分識別機制:指金融機構依據國際 Fast IDentity
Online 標準(以下簡稱 FIDO 標準)提供客戶身分識別服
務,並由身分識別服務提供者、身分識別服務信賴者、身分
核驗者等角色共同運作。各角色應由金融機構擔任,其任務
如下:
(一)身分識別服務提供者(Identity Provider(IDP);以下
簡稱服務提供者):依據 FIDO 標準及本指引提供跨機構
間之客戶快速身分識別服務。
(二)身分識別服務信賴者(Relying Party(RP) ;以下簡稱
服務信賴者):應用金融 FIDO 進行身分識別以提供客戶
線上服務。
(三)身分核驗者:負責核驗客戶身分,並得透過金融資訊服務
事業、票據交換所平台進行跨行核驗。
二、金融 FIDO 平臺:指辦理快速身分識別機制相關作業之應用
軟體、系統軟體及其硬體設備。
三、金融 FIDO 作業環境:指金融 FIDO 平臺及用於管理或防護
金融 FIDO 平臺及其系統維運人員之應用軟體、系統軟體及
其硬體設備。
四、系統維運人員:指金融 FIDO 平臺之作業人員,負責管理或
操作營運環境之應用軟體、系統軟體、硬體、網路、資料庫
、客戶服務、業務推廣、帳務管理或會計管理等作業。
五、接觸式介面:指使用裝置內的探針以物理方式接觸另一設備
(如卡片),進行資料交換。
六、非接觸式介面:指使用裝置內的感應設備(如 NFC 近場通
訊、藍芽等)以非接觸方式靠近另一設備(如卡片),進行
資料交換。
七、行動裝置:指包含但不限於智慧型手機、平板電腦等具通信
及連網功能之設備。
八、網路型態區分如下:
(一)專屬網路:指利用電子設備或通訊設備直接以連線方式(
撥接(Dial-Up) 、專線(Leased-Line) 或虛擬私有網
路(Virtual Private Network;VPN)等)進行訊息傳輸
。
(二)網際網路(Internet):指利用電子設備或通訊設備,透
過網際網路服務業者進行訊息傳輸。
(三)行動網路:指利用電子設備或通訊設備,透過電信服務業
者行動通信服務進行訊息傳輸。
九、訊息防護措施區分如下:
(一)訊息隱密性(Confidentiality) :指訊息不會遭截取、
窺竊而洩漏資料內容致損害其秘密性。
(二)訊息完整性(Integrity) :指訊息內容不會遭篡改而造
成資料不正確,即訊息如遭篡改時,該筆訊息無效。
(三)訊息來源辨識性(Authentication):指傳送方無法冒名
傳送資料。
(四)訊息不可重複性(Non-duplication) :指訊息內容不得
重複。
(五)訊息不可否認性(Non-repudiation) :指無法否認其傳
送或接收訊息行為。
十、常用密碼學演算法如下:
(一)對稱性加解密演算法:指三重資料加密標準(Triple DES
;以下簡稱 3DES) 、進階資料加密標準(Advanced
Encryption Standard ;以下簡稱 AES)。
(二)非對稱性加解密演算法:指 RSA 加密演算法(Rivest,
Shamir and Adleman Encryption Algorithm ;以下簡稱
RSA) 、橢圓曲線密碼學(Elliptic Curve
Cryptography;以下簡稱 ECC)。
(三)雜湊函數:指安全雜湊演算法(Secure Hash Algorithm
;以下簡稱 SHA)。
十一、申請指示類業務:係指線上開戶、銷戶;查詢帳務及個人
資料;申辦、授權同意;線上變更資料;交易額度調整等
業務,各業可適用業務項目/服務等請詳附表二。
十二、交易指示類業務:係指客戶交易指示(如轉帳交易等);
證券、期貨下單登入;交割專戶分戶帳戶款項、保證金專
戶出金;行動投保等業務,各業可適用業務項目/服務等
請詳附表二。
十三、個人資料:指個人資料保護法第二條第一款規定之資料。
十四、機敏資料:指包含但不限於個人資料、身分驗證資料(如
密碼)或個人化資料(如註冊檔)等。
十五、評估單位:指具備資訊安全管理知識(如 CISM、ISO
27001LA 等)、資訊安全技術能力(如 CISSP)、模擬駭
客攻擊能力(如 CEH、CIH 等)及熟悉金融領域載具應用
、系統開發或稽核經驗(如 CISA) 之外部專業機構或金
融機構內部之個人或團隊。
第三點 金融機構於客戶首次申請金融 FIDO 前,應先進行身分核驗。
金融機構辦理客戶身分核驗,應採用下列任一款安全設計:
一、客戶臨櫃核驗身分,其安全設計應符合下列要求:
(一)辨識客戶與其所持之身分證明文件相符。
(二)留存影像。
(三)留存客戶意思表示之確認(如印鑑、簽名、電子簽名或生
物辨識等)。
二、客戶使用晶片自然人憑證核驗身分,其安全設計應符合下列
要求:
(一)應確認憑證之正確性、有效性。
(二)應採用接觸式介面存取,以避免資料外洩,如具有存取控
制(如密碼)者,得採用非接觸式介面存取。
三、客戶使用晶片金融卡核驗身分,該卡限經臨櫃申請開戶或經
線上申請第一類高風險數位存款帳戶後取得者,其安全設計
應符合下列要求:
(一)應先由原發卡行驗證交易驗證碼。
(二)系統應依每筆交易動態產製不可預知之端末設備查核碼,
並檢核網頁回傳資料之正確性及有效性。
(三)系統應每次輸入卡片密碼產生交易驗證碼。
(四)元件於存取卡片時應設計防止第三者存取。
(五)應提示客戶收回卡片妥善保管。
(六)應採用接觸式介面存取,以避免資料外洩,如具有存取控
制(如密碼)者,得採用非接觸式介面存取。
第四點 金融機構辦理客戶註冊、註銷、異動等作業,應依據 FIDO 標準
符合下列安全規定:
一、註冊作業:客戶於同一設備且同一連線階段(session) 下
完成身分核驗後,並在該設備內進行生物特徵設定或綁定、
產生 FIDO 金鑰對、私鑰妥善儲存於該設備內及公鑰儲存於
FIDO 伺服器,完成註冊作業。客戶如未能於同一設備且同
一連線階段(session) 下完成者,得將身分核驗結果產製
一啟用碼,供客戶接續完成註冊作業。啟用碼應搭配如簡訊
OTP 或軟體 OTP 等機制再次核驗客戶身分,並訂定三天內
之有效期限,且在期限內以使用一次為限。
二、註銷作業:應採用適當身分核驗方式後辦理註銷(如密碼、
知識詢問)。
三、異動作業:應驗證有效之原金鑰或依第三點規定重新辦理身
分核驗後異動。
第五點 金融機構進行 FIDO 驗證,對於不同交易類型,應依其不同應用
範圍,採用下列安全設計:
一、辦理申請指示類業務,應採用客戶所指定之設備及其生物特
徵進行 FIDO 驗證,惟辦理非首次申請約定非同一統一編號
之約定轉入帳戶時,應逐筆進行 FIDO 驗證。
二、辦理交易指示類業務,應採用客戶所指定之設備及其生物特
徵進行 FIDO 驗證,惟辦理非約定轉帳交易時,應逐筆進行
FIDO 驗證。
各業別適用金融 FIDO 機制之相關業務及應採用之強化機制,詳
附表二。
第六點 金融 FIDO 平臺之軟硬體設備間於不同網路型態進行訊息傳輸,
應具備下列訊息安全設計:
一、專屬網路:應符合訊息完整性、訊息來源辨識性及訊息不可
重複性之訊息防護措施。
二、網際網路或行動網路:應符合訊息隱密性、訊息完整性、訊
息來源辨識性及訊息不可重複性之訊息防護措施。
第七點 前點所稱訊息隱密性、訊息完整性、訊息來源辨識性及訊息不可
重複性之安全設計,應符合下列要求:
一、訊息隱密性:應採用 AES 128bits、RSA 2048bits、ECC
256bits 以上或其他安全強度相同(含)以上之演算法進行
加密運算,應採用 TLS 1.2(含)以上之通訊協定並使用
Elliptic Curve Diffie-Hellman Exchange 方式進行金鑰
交換。
二、訊息完整性:應採用 SHA 256bits、AES 128bits、RSA
2048bits、ECC 256bits 以上或其他安全強度相同(含)以
上之演算法進行押碼或加密運算。
三、訊息來源辨識性:應採用 SHA 256bits、AES 128bits、
RSA 2048bits、ECC 256bits 以上或其他安全強度相同(含
)以上之演算法進行押碼、加密運算或數位簽章。
四、訊息不可重複性:應採用序號、一次性亂數、時間戳記等機
制。
五、訊息不可否認性:應採用 SHA256 以上或其他安全強度相同
(含)以上之演算法進行押碼,及採用 RSA 2048bits、
ECC 256bits 以上或其他安全強度相同(含)以上之演算法
進行數位簽章。
第八點 金融 FIDO 平臺提供或使用下列應用系統或技術時,應符合下列
設計要求:
一、網際網路應用系統:
(一)機敏資料於網際網路傳輸時應全程加密。
(二)應設計連線控制及網頁逾時中斷機制,客戶超過十分鐘未
使用應中斷其連線;使用同一連線並應用於交易指示類業
務時,無須再次核驗身分,惟非約定轉帳除外。
(三)應辨識外部網站及其所傳送交易資料之訊息來源及交易資
料正確性。
(四)應設計個人資料顯示之隱碼機制。
(五)應設計個人資料檔案及資料庫之存取控制與保護監控措施
。
二、客戶端電腦應用程式:
(一)可執行程式(如 EXE,COM 等)應採用被作業系統認可之
數位憑證進行程式碼簽章(CodeSign)且安裝過程不應出
現憑證相關安全警告。
(二)執行時應先驗證連結的網站正確性。
(三)應避免儲存機敏資料,如有必要應採取加密或代碼化等相
關機制保護並妥善保護加密金鑰,且能有效防範相關資料
被竊取。
三、行動裝置應用程式:
(一)於發布前檢視行動裝置應用程式所需權限應與提供服務相
當;首次發布或權限變動,應經資安、法遵及風控等單位
同意,以利評估是否符合個人資料保護法之告知義務。
(二)應於官網上提供行動裝置應用程式之名稱、版本與下載位
置。
(三)啟動行動裝置應用程式時,如偵測行動裝置疑似遭提權、
越獄及破解,應提示客戶注意風險。
(四)應於顯著位置(如行動裝置應用程式下載頁面等)提示客
戶於行動裝置上安裝防護軟體。
(五)採用憑證技術進行傳輸加密時,行動裝置應用程式應建立
可信任憑證清單並驗證完整憑證鏈及其憑證有效性。
(六)採用 NFC、藍牙或 QRCode 技術進行傳輸資料時,應經由
客戶人工確認(如密碼、圖形驗證碼)。
(七)應偵測客戶所指定設備之生物特徵,如發現有設定異動應
及時通知客戶。
(八)每年應依據經濟部工業局制定之「行動應用 APP 基本資
安檢測基準」辦理檢測並取得證書。
四、透過 QR Code 進行資料傳輸:
(一)QRCode表 示的資料應為辦理該業務所需最小化為原則。
(二)應用於申請指示類業務或交易指示類業務時,應設計合理
使用時效,且在時效內以使用一次為限。
(三)所產生之 QR Code,如具客戶個人資料應符合訊息隱密性
、如應用於申請指示類業務或交易指示類業務時,應符合
訊息完整性、訊息來源辨識性與訊息不可重複性。
(四)應針對解析 QR Code 後進行格式檢查,如為網站連接應
進行網站安全性檢查。
第九點 金融機構之資訊安全政策、內部組織及資產管理應符合下列要求
:
一、資訊安全政策應經董事會、常務董事會決議或經其授權之經
理部門核定。但外國金融機構在臺分支機構、獨資企業或未
設董(理)事會者,應由其負責人簽署。
二、前款資訊安全政策應對所有員工及相關外部各方公布與傳達
。
三、應訂定資訊作業相關管理及操作規範。
四、第一款資訊安全政策及前款管理及操作規範應每年檢討修訂
,並於發生重大變更(如新頒布法令法規)時審查,以持續
確保其合宜性、適切性及有效性。
五、應依據金融 FIDO 平臺之作業流程,識別人員、表單、設備
、軟體、系統等資產,建立資產清冊、作業流程、網路架構
圖、組織架構圖及負責人,並定期清點以維持其正確性。
六、應定義人員角色與責任並區隔相互衝突的角色。
七、應依據作業風險與專業能力選擇適當人員擔任其角色並定期
提供必要教育訓練。
第十點 金融 FIDO 平臺之系統維運人員管理應符合下列要求:
一、應建立人員之註冊、異動及撤銷註冊程序,用以配置適當之
存取權限,針對重要作業(如程式異動)應由另一位人員進
行審核與放行。
二、應至少每年定期審查帳號與權限之合理性,人員離職或調職
時應盡速移除權限,以符合職務分工與牽制原則。
三、硬體設備、應用軟體、系統軟體之最高權限帳號或具程式異
動、參數變更權限之帳號應列冊保管;最高權限帳號使用時
須先取得權責主管同意,並保留稽核軌跡。
四、應確認人員之身分與存取權限,辦理特定作業(如程式異動
)必要時得限定其使用之機器與網路位置(IP)。
五、人員超過十分鐘未操作電腦時,應設定密碼啟動螢幕保護程
式或登出系統。
六、除代登系統外,於登入作業系統進行系統異動或資料庫存取
時,應留存人為操作紀錄(如檔案之新增/刪除/修改/複
製/貼上/下載/上傳、資料庫查詢、服務啟動/中止等動
作),並於使用後儘速變更密碼;但因故無法變更密碼者,
應建立監控機制,避免未授權變更,並於使用後覆核其操作
紀錄。此人為操作紀錄應於使用後由另一人員進行覆核。
七、帳號應採一人一號管理,避免多人共用同一個帳號為原則,
如有共用需求,申請與使用須有其他補強管控方式,並留存
操作紀錄且應能區分人員身分。
八、採用固定密碼者,應定期變更密碼:提供人員使用之帳號至
少三個月一次;提供系統連線之帳號,至少每三個月一次或
其他補強管控方式(如限制人工登入)。
九、加解密程式或具變更權限之公用程式(如資料庫存取程式)
應列冊管理並限制使用,該程式應設定存取權限,防止未授
權存取,並保留稽核軌跡。
第十一點 金融 FIDO 作業環境之個人資料保護應符合下列要求:
一、為維護所保有個人資料之安全,應採取下列資料安全管理
措施:
(一)訂定各類設備或儲存媒體之使用規範,及報廢或轉作他
用時,應採取防範資料洩漏之適當措施。
(二)針對所保有之個人資料內容,有加密之需要者,於蒐集
、處理或利用時,採取適當之加密措施。
(三)作業過程有備份個人資料之需要時,對備份資料予以適
當保護。
二、保有個人資料存在於紙本、磁碟、磁帶、光碟片、微縮片
、積體電路晶片、電腦、自動化機器設備或其他媒介物者
,應採取下列設備安全管理措施:
(一)實施適宜之存取管制。
(二)訂定妥善保管媒介物之方式。
(三)依媒介物之特性及其環境,建置適當之保護設備或技術
。
三、為維護所保有個人資料之安全,應依執行業務之必要,設
定相關人員接觸個人資料之權限及控管其接觸情形,並與
所屬人員約定保密義務 。
四、應針對金融 FIDO 作業環境,包含資料庫、資料檔案、報
表、文件、傳檔伺服器及個人電腦等進行清查盤點是否含
有個人資料並編製個人資料清冊,並進行風險評估與控管
。
五、應建置留存個人資料使用稽核軌跡(如登入帳號、系統功
能、時間、系統名稱、查詢指令或結果)或辨識機制,以
利個人資料外洩時得以追蹤個人資料使用狀況,包括檔案
、螢幕畫面、列表。
六、應建立資料外洩防護機制,管制個人資料檔案透過輸出入
裝置、通訊軟體、系統操作複製至網頁或網路檔案、或列
印等方式傳輸,並應留存相關紀錄、軌跡與數位證據。
七、如刪除、停止處理或利用所保有之個人資料後,應留存下
列紀錄:
(一)刪除、停止處理或利用之方法、時間。
(二)將刪除、停止處理或利用之個人資料移轉其他對象者,
其移轉之原因、對象、方法、時間,及該對象蒐集、處
理或利用之合法依據。
八、為持續改善個人資料安全維護,其所屬個人資料管理單位
或人員,應定期提出相關自我評估報告,並訂定下列機制
:
(一)檢視及修訂相關個人資料保護事項。
(二)針對評估報告中有違反法令之虞者,規劃、執行改善及
預防措施。
九、前款自我評估報告,應經董(理)事會、常務董(理)事
會決議或經其授權之經理部門核定。但外國金融機構在臺
分支機構、獨資企業或未設董(理)事會者,應由其負責
人簽署。
第十二點 金融 FIDO 平臺之機敏資料隱密及金鑰管理,應符合下列要求
:
一、如有下列情形者,應建立訊息隱密性機制:
(一)機敏資料儲存於客戶端操作環境。
(二)機敏資料於網際網路上傳輸。
(三)客戶身分識別資料(如密碼、個人化資料)儲存於系統
內,不得儲存生物特徵資料於系統中(如指紋、臉部、
虹膜、聲音、掌紋、靜脈、簽名等),並應遵循金融機
構所屬公會所訂定之生物特徵相關自律規範辦理。
二、客戶身分識別資料如為固定密碼者,於儲存時應先進行不
可逆運算(如雜湊演算法),另為防止透過預先產製雜湊
值推測密碼,應進行加密保護或加入不可得知之資料運算
;採用加密演算法者,其金鑰應儲存於硬體安全模組內並
限制匯出功能。
三、採用硬體安全模組保護金鑰者,該金鑰應由非系統開發與
維護單位(如客服、會計、業管等)之二個單位(含)以
上產製並分持管理其產製之基碼單,另金鑰得以加密方式
分持匯出至安全載具(如晶片卡)或備份至具存取權限控
管之位置,供維護單位緊急使用。
四、應減少金鑰儲存的地點,並僅允許必要之管理人員存取金
鑰,以利管理並降低金鑰外洩之可能性。
五、當金鑰使用期限將屆或有洩漏疑慮時,應進行金鑰替換。
第十三點 金融 FIDO 平臺之實體安全應符合下列要求:
一、主機房與異地機房應避免同時在地震斷層帶、海岸線、山
坡地、海平面下、機場飛航下、土石流好發區域、百年洪
水氾濫區域、核災警戒範圍區域、工安高風險區域,並應
有相關防護措施,以避免受到地震、海嘯、洪水、火災或
其他天然或人為災難之損害。
二、營運設備應集中於機房內,機房應建立門禁管制,宜採用
兩項以上身分確認,以確保僅允許經授權人員進出;非授
權人員進出應填寫進出登記,並由內部人員陪同與監督;
進出登記紀錄應定期審查,如有異常應適當處置。
三、應於主機房及異地機房內建立全天候監視設備並確保監視
範圍無死角。
四、應有足夠營運使用之電力、供水、用油等供應措施,當發
生供應措施中斷時,應至少維持七十二小時運作時間,並
應介接二家以上或異地二線以上網際網路電信營運商互為
備援。
五、油槽儲存及消防安全應符合相關法令法規,應設置全自動
滅火系統,得設置極早期火災預警系統。
六、應設置環境監控機制,以管理電信、空調、電力、消防、
門禁、監視及機房溫濕度等,並自動告警與通知;人員應
於接獲通知後,盡速到達現場並採取適當措施。
七、機房管理應具備與機房相當之操作環境,或獨立可管制人
員操作系統與設備之監控室。
前項第七款監控室應符合下列要求:
一、應具門禁與監視設備,且必須留存連線及使用軌跡,並定
期稽核管理。
二、系統維運人員應經授權進入監控室使用監控室內專屬電腦
設備;或應使用指定設備由內部網路以一次性密碼登入並
經服務管控設備(如防火牆)使用監控室內專屬電腦設備
。
三、連線過程須以內部網路、專線或虛擬私有網路進行。
四、監控室之網路設備與電腦設備如為金融 FIDO 作業環境之
範圍,應符合本指引相關規定。
第十四點 金融 FIDO 作業環境之營運管理應符合下列要求:
一、應避免於營運環境安裝程式原始碼。
二、應建立定期備份機制及備份清冊,備份媒體或檔案應妥善
防護,確保資訊之可用性及防止未授權存取。
三、應建立回存測試機制,以驗證備份之完整性及儲存環境的
適當性。
四、相關留存紀錄應確保數位證據之蒐集、保護與適當管理程
序,至少留存二年。
五、應訂定系統安全強化標準,建立並落實金融 FIDO 作業環
境之系統安全設定。
第十五點 金融 FIDO 作業環境之脆弱性管理應符合下列要求:
一、應偵測網頁與程式異動,紀錄並通知相關人員處理。
二、應偵測惡意網站連結並定期更新惡意網站清單。
三、應建立入侵偵測或入侵防禦機制並定期更新惡意程式行為
特徵。
四、應建立病毒偵測機制並定期更新病毒碼。
五、應建立上網管制措施,限制連結非業務相關網站,以避免
下載惡意程式。
六、應隨時掌握資安事件,針對高風險或重要項目立即進行清
查與應變。
七、應針對系統維運人員定期執行電子郵件社交工程演練與教
育訓練,至少每年一次。
八、每季應進行弱點掃描,並針對其掃描或測試結果進行風險
評估,針對不同風險訂定適當措施及完成時間,填寫評估
結果與處理情形,採取適當措施並確保作業系統及軟體安
裝經測試且無弱點顧慮之安全修補程式。
九、應避免採用已停止弱點修補或更新之系統軟體與應用軟體
,如有必要應採用必要防護措施。
十、金融 FIDO 平臺上線前及每半年應針對異動程式進行程式
碼掃描或黑箱測試,並針對其掃描或測試結果進行風險評
估,針對不同風險訂定適當措施及完成時間,執行矯正、
紀錄處理情形並追蹤改善。
十一、金融 FIDO 平臺每年應執行滲透測試,以加強資訊安全
。
第十六點 金融 FIDO 作業環境之網路管理應符合下列要求:
一、網路應區分網際網路、非武裝區(Demilitarized Zone;
以下簡稱 DMZ)、營運環境及其他(如內部辦公區)等區
域,並使用防火牆進行彼此間之存取控管。機敏資料僅能
存放於安全的網路區域,不得存放於網際網路及 DMZ 等
區域。對外網際網路服務僅能透過 DMZ 進行,再由 DMZ
連線至其他網路區域。
二、金融 FIDO 作業環境與其他網段間之連線必須透過防火牆
或路由器進行區隔與控管;同一網段與其他系統應有存取
控管。
三、系統僅得開啟必要之服務及程式,客戶僅能存取已被授權
使用之網路及網路服務。內部網址及網路架構等資訊,未
經授權不得對外揭露。
四、應檢視防火牆及具存取控制(Access control list,ACL
)網路設備之設定,至少每年一次;針對高風險設定及六
個月內無流量之防火牆規則應評估其必要性與風險;針對
已下線系統應立即停用防火牆規則。
五、為能維持系統可用度,系統維運人員得使用遠端連線進行
系統管理作業,資料傳輸應使用足夠強度之加密通訊協定
,並不得將密碼紀錄於工具軟體內,惟應避免將連線固定
密碼紀錄於工具軟體內,防止惡意程式竊取;另得評估採
用兩項以上技術或一次性密碼等安全設計,登入金融
FIDO 平臺之作業系統。
六、應管控內部無線網路之使用,不得以內部無線網路直接連
線至金融 FIDO 平臺,並應加強必要防護措施進行隔離或
限制。
七、經由網際網路連接至內部網路進行遠距之系統管理工作,
應遵循下列措施:
(一)應審查其申請目的、期間、時段、網段、使用設備、目
的設備或服務,至少每年一次。
(二)應建立授權機制,依據其申請項目提供必要授權,至少
每年檢視一次。
(三)變更作業應加強身分驗證,每次登入可採用照會或二項
(含)以上安全設計並取得主管授權。
(四)應定義允許可連結之遠端設備,並確保已安裝必要資訊
安全防護。
(五)應建立監控機制,留存操作紀錄,並由主管定期覆核。
第十七點 金融 FIDO 作業環境之系統生命週期管理應符合下列要求:
一、應訂定資訊安全開發設計規範並落實執行。
二、對於委外開發的應用軟體,應執行監督並確保其有效遵循
本指引規定。
三、應確保系統軟體和應用軟體安裝最新安全修補程式。
四、對於測試用之機敏資料(如 SSL 憑證金鑰),應先進行
資料遮蔽、加密或記號化,且不應與營運環境相同。
五、於開發階段起至營運階段,應遵循變更控制程序處理並留
存相關紀錄;營運環境變更(如執行、覆核)應由二人以
上進行,以相互牽制。
六、系統軟體變更應先進行技術審查並測試;套裝軟體不應自
行異動,並應先進行風險評估。程式不應由開發人員自行
換版或產製比對報表,應建立程式原始碼管理機制,以符
合職務分工與牽制原則。
第十八點 金融 FIDO 作業環境之委外管理應符合下列要求:
一、委外處理前應先對受託廠商進行適當之安全評估,並依據
最小權限及資訊最小揭露原則進行安全管控設計。
二、委託契約或相關文件中,應明確約定下列內容:
(一)受託廠商應遵守本指引及其他適當資訊安全國際標準要
求,確保委託人資料之安全。
(二)對受託廠商應依本指引內容進行適當監督。
(三)當委外業務安全遭到破壞時,受託廠商應主動、即時通
知委託人。
(四)交付之系統或程式應確保無惡意程式及後門程式,其放
置於網際網路之程式應通過程式碼掃描或黑箱測試。
三、應對委外廠商進行資訊安全稽核;亦可由委外廠商提交經
第三方出具資訊安全稽核報告。
第十九點 金融 FIDO 作業環境之資訊安全事故管理應符合下列要求:
一、應將各作業系統、網路設備及資安設備之日誌及稽核軌跡
集中管理,進行異常紀錄分析,設定合適告警指標並定期
檢討修訂。
二、應建立資訊安全事故通報、處理、應變及事後追蹤改善作
業機制,並應留存相關作業紀錄。
三、如有資訊安全事故發生時,其系統交易紀錄、系統日誌、
安全事件日誌應妥善保管,並應注意處理過程中軌跡紀錄
與證據留存之有效性。
第二十點 金融 FIDO 作業環境之營運持續管理應符合下列要求:
一、應進行營運衝擊分析,定義最大可接受系統中斷時間,設
定系統復原時間與資料復原時點,採取必要備援機制並應
考量如有系統復原時間限制狀況下,建立安全距離外之異
地備援機制,以維持交易可用性。
二、應建立對於重大資訊系統事件或天然災害之應變程序,並
確認相對應之資源,以確保重大災害對於重要營運業務之
影響在其合理範圍內。
三、應每年驗證及演練其營運持續性控制措施,以確保其有效
性,並應保留相關演練紀錄及召開檢討會議。
第二十一點 金融機構應盤點前開資訊安全相關規定,並將相關要求與內
部控制制度結合,定期進行法令遵循自評,以確保資訊安全
之法令遵循性。
本指引所訂之資訊系統及安全控管項目,應透過內部控制制
度進行定期檢核,並應依相關規範定期由評估單位進行檢視
,提出資訊系統及安全控管作業評估報告。
前項評估報告內容應至少包含評估人員資格、評估範圍、評
估時所發現之缺失項目、缺失嚴重程度、缺失類別、風險說
明、具體改善建議及社交演練結果,且應送稽核單位進行缺
失改善事項之追蹤覆查。該報告應併同缺失改善等相關文件
至少保存二年。
金融機構應確保其本身、主管機關,或其指定之人能取得辦
理金融 FIDO 之相關資訊,包括相關系統之查核報告及實地
查核權力。
為確保交易資料之隱密性及安全性,並維持資料傳輸、交換
或處理之正確性,金融機構於必要時應提高金融 FIDO 作業
環境相關資訊系統標準及加強安全控管作業。
金融機構應依金融機構作業委託他人處理相關規範,透過合
作契約約定機構間共同運作金融 FIDO 之權責關係。
第二十二點 本指引函報金管會核備後實施,修正時亦同。