五、金融服務業辦理數位身分驗證，其「應用場景之風險等級」與「驗證 機制之信賴等級」應依風險基礎原則相互適配，並依以下評估作業辦 理，金融服務業運用其他金融服務業之身分驗證機制提供數位金融服 務者，亦同： （一）數位身分驗證「應用場景之風險等級」評估作業：金融服務業應要 求其業務單位於規劃數位金融服務之應用場景時，就身分驗證機制 可能產生之風險進行評估，並評定所屬風險等級，做成「數位身分 驗證應用場景之風險評估報告」。風險評估面向可包括該應用場景 於採用之身分驗證機制失效時，可能造成客戶、公司營運、財務、 名譽與法令遵循等風險。 （二）數位身分「驗證機制之信賴等級」評估作業：金融服務業就各該應 用場景之需求，針對可能採用之數位身分驗證機制進行信賴等級評 估，並依身分登錄、信物管理及身分驗證等三階段，分別評估並得 出整體綜合性之信賴等級，做成「數位身分驗證機制之信賴等級評 估報告」。 （三）適配「應用場景之風險等級」與「驗證機制之信賴等級」：金融服 務業完成前兩項「數位身分驗證應用場景之風險評估報告」及「數 位身分驗證機制之信賴等級評估報告」，於權衡其他因素（例如公 司規模、成本、市場、複雜性及法律遵循等考量）後，就該「應用 場景之風險等級」，依「驗證機制之信賴等級」選擇適當之身分驗 證機制。 現行法規、各業別自律規範及金融周邊單位相關規章對金融服務業辦 理客戶之數位身分驗證已有規範者，金融服務業免依前項規定辦理評 估作業；現有規範未規定之新式數位金融服務應用場景或新式數位身 分驗證方式，金融服務業除應依前項規定辦理評估作業外，開辦前並 應洽詢主管機關是否須提出業務試辦之申請。

身分核驗安全設計及信賴等級對應機制 單一使用視訊驗證機制為信賴等級三之高信賴等級；其餘各類別所列之任 一因子單獨使用時為信賴等級二之中信賴等級。 第一類知識因子信賴等級對應機制包含下列身分核驗安全設計： 一、固定密碼。 二、圖形鎖或手勢。 三、銀行存款帳號驗證。 四、保險存摺帳號密碼。 五、國民身分證領補換發。 第二類生物特徵因子信賴等級對應機制包含下列身分核驗安全設計： 一、直接生物辨識。 二、間接生物辨識。 第三類持有因子信賴等級對應機制包含下列身分核驗安全設計： 一、金融行動身分識別標準化機制。 二、一次性密碼。 三、行動身分識別（Mobile ID ）。 四、金融憑證。 五、客戶約定之設備。 六、信用卡驗證。 七、晶片金融卡。 八、自然人憑證。 第四類多因子信賴等級對應機制之身分核驗安全設計：視訊驗證機制。 各會員公司採用第二項至第五項所定第一類至第四類對應機制之身分核驗 安全設計時，，應建立連線（Session ）控制及網頁逾時（TimeOut ）中 斷機制，當客戶逾時於一定限制時間內未進行任何操作時系統應自動中斷 連線，並透過不同身分核驗安全設計配合，分別可達到之信賴等級如下： 一、除第一類對應機制之身分核驗安全設計不得互用外，如第一類至第三 類對應機制之身分核驗安全設計互相配合；或逕採用其他主管機關核 准方式等擇一方式時，可達等級三之高信賴等級，下列第二款除外。 二、第三類身分核驗安全設計之晶片金融卡或自然人憑證，並配合第一類 至第四類任一身分核驗安全設計；或逕採用前款以外之其他主管機關 核准方式或者，可達等級四之極高信賴等級。 除前項機制，各會員公司得採行符合第七條第一項第二款至第四款之身分 核驗安全設計，可達等級二至等級四之信賴等級。 當原先身分驗證階段驗證機制信賴等級低於後續應用服務之風險場景者， 應於同一連線及有效工作階段內，遵循本規範第八條第二項至第五項規定 ，補足以達成相應信賴等級之身分驗證機制，以確保應用場景之風險等級 與驗證機制之信賴等級相互適配性；若同一連線及有效工作階段內，身分 驗證階段驗證機制信賴等級高於或等於後續應用服務之風險場景者，則無 須再次驗證。 本條身分核驗安全設計及信賴等級對應機制詳如附表二。