| 第 5 條 |
發行機構對於電子票證各項交易類型,應依電子票證應用之範圍,考量商
品或服務之性質與交易金額等因素,區分應用範圍等級(如下表),並依
據本準則之規定辦理。
一、商品或服務之性質
┌────┬───────────────────────┐
│商品或服│說明 │
│務之性質│ │
├────┼───────────────────────┤
│第一類 │(一)繳納政府部門規費、稅捐、罰鍰或其他費用及│
│ │ 支付公用事業(依據民營公用事業監督條例第│
│ │ 二條定義)服務費、電信服務費、學雜費、醫│
│ │ 藥費、公共運輸(依據發展大眾運輸條例第二│
│ │ 條定義及纜車、計程車、公共自行車)、停車│
│ │ 等服務費用、依公益勸募條例辦理勸募活動之│
│ │ 捐贈金,或配合政府政策且具公共利益性質經│
│ │ 主管機關核准者屬之。 │
│ │(二)支付特約機構受各級政府委託代徵收之規費、│
│ │ 稅捐與罰鍰及受公用事業委託代收之服務費。│
├────┼───────────────────────┤
│第二類 │支付各項商品或服務之費用 │
└────┴───────────────────────┘
二、交易金額
┌──────┬─────────────────────┐
│交易金額 │說明 │
├──────┼─────────────────────┤
│小額交易 │電子票證僅支付於單筆消費金額新臺幣壹千元以│
│ │下之交易。 │
├──────┼─────────────────────┤
│不限金額交易│電子票證非僅支付於小額交易。 │
└──────┴─────────────────────┘
三、應用範圍等級
┌──┬───────────┬──────┬──────┐
│ │商品或服務之性質 │第一類 │第二類 │
├──┼───────────┼──────┼──────┤
│交易│小額交易 │第一級 │第一級 │
│金額├───────────┼──────┼──────┤
│ │不限金額交易 │第一級 │第二級 │
└──┴───────────┴──────┴──────┘ |
| 第 9 條 |
前條發行機構管理面安全需求之安全設計應符合下列要求:
┌────────┬─────────────────────┐
│安全需求 │安全設計 │
├────────┼─────────────────────┤
│建立電腦資源存取│應防範未經授權存取系統資源,並降低非法入侵│
│控制機制與安全防│之可能性。應以下列方式處理及管控: │
│護措施 │一、建置安全防護軟硬體,如防火牆(Firewall│
│ │ )、安控軟體、偵測軟體等。 │
│ │二、控制密碼錯誤次數。 │
│ │三、電腦系統密碼檔加密。 │
│ │四、留存交易紀錄(Transaction Log )及稽核│
│ │ 追蹤紀錄(Audit Trail )。 │
│ │五、設計存取權控制(Access Control)如使用│
│ │ 密碼、晶片卡等。 │
│ │六、簽入(Login )時間控制。 │
│ │七、遠端存取應使用虛擬私有網路(VPN )。 │
│ │八、系統資源應依其重要性與敏感性分級管理。│
│ │九、強制更換應用軟體及網路作業系統之預設密│
│ │ 碼。 │
│ │十、系統提供各項服務功能時,應確保個人資料│
│ │ 保護措施。 │
├────────┼─────────────────────┤
│交易必須可被追蹤│交易紀錄明細應包含下列資訊,並留存於發行機│
│ │構主機備查: │
│ │一、用戶代號或卡號。 │
│ │二、交易金額。 │
│ │三、端末設備代號。 │
│ │四、交易序號或交易日期、時間。 │
├────────┼─────────────────────┤
│監控非法交易 │發行機構應監控非法交易。 │
├────────┼─────────────────────┤
│須防止小規模之特│一、實收資本額低於新臺幣八千萬元且年營業額│
│約機構不當扣款 │ 低於新臺幣六千萬元之特約機構應以下列任│
│ │ 一方式進行交易: │
│ │(一)刷卡或插卡。 │
│ │(二)輸入密碼。 │
│ │(三)任何由系統所提供予持卡人進行確認之設│
│ │ 計。 │
│ │(四)感應距離限縮至四公分(含)以下。 │
│ │二、特約機構符合下列情形之一者,得不適用前│
│ │ 目規定: │
│ │(一)提供第一類商品或服務。 │
│ │(二)加盟經營關係中,加盟業主實收資本額高│
│ │ 於新臺幣八千萬元或年營業額高於新臺幣│
│ │ 六千萬元之加盟店。 │
│ │三、發行機構與前目加盟業主及加盟店間應簽訂│
│ │ 三方之特約機構契約,或分別與前目加盟業│
│ │ 者及加盟店簽定特約機構契約,並應依下列│
│ │ 規定辦理: │
│ │(一)發行機構應訂定防止加盟店不當扣款之內│
│ │ 部控制制度。 │
│ │(二)發行機構應於三方契約中或與加盟業主之│
│ │ 契約中,要求加盟業主對加盟店及其受僱│
│ │ 人員因故意或過失致發生不當扣款情事,│
│ │ 對持卡人負同一責任。 │
├────────┼─────────────────────┤
│完善之金鑰管理 │金鑰管理應有下列之安全考量: │
│ │一、應確保金鑰品質(避免產生弱金鑰)。 │
│ │二、金鑰之使用、儲存、傳送與銷毀,應確保金│
│ │ 鑰之內容無洩露之虞。 │
│ │三、金鑰應備份以確保其可用性。 │
│ │四、保存金鑰之設備或媒體,於更新或報廢時,│
│ │ 應具適當之存取控管程序,以確保金鑰無洩│
│ │ 露之虞。 │
├────────┼─────────────────────┤
│提昇電腦系統之安│應建立異地備援及故障預防措施,包含: │
│全及可用性 │一、預備主機、伺服器、通訊設備、線路、週邊│
│ │ 設備等備援裝置。 │
│ │二、建置病毒偵測軟體(Virus Detection │
│ │ Software),定期對網路節點及伺服器進行│
│ │ 掃毒。 │
│ │三、定期更新系統修補程式(Patch, Hotfix )│
│ │ 。 │
│ │四、確保伺服器、網路設備之實體安全。 │
├────────┼─────────────────────┤
│制定作業管理規範│應確定發行機構、特約機構與加值機構內部之責│
│ │任制度、核可程序及與持卡人之間之責任歸屬,│
│ │應包含: │
│ │一、制定安全控管規章含設備規格。 │
│ │二、安控機制說明、安控程序說明。 │
│ │三、金鑰管理措施或辦法。 │
│ │四、制定持卡人使用安全須知及完整合約。 │
└────────┴─────────────────────┘ |
| 第 10 條 |
發行機構於端末設備與環境面應採取下列防護措施:
┌────────┬─────────────────────┐
│防護措施 │安全需求 │
├────────┼─────────────────────┤
│建立安全防護策略│一、保持端末設備與環境之實體完整性 │
│ │二、確保端末設備交易之安全性 │
│ │三、建置有效或即時之管控名單管理機制 │
│ │四、非接觸式電子票證應降低交易被意外觸發之│
│ │ 機率 │
│ │五、非線上即時加值應具有端末安全模組之設計│
│ │六、非線上即時交易,若採用應用範圍等級第一│
│ │ 級之電子票證,且使用於提供第二類商品或│
│ │ 服務之特約機構,應採取降低偽卡交易之必│
│ │ 要措施 │
│ │七、網際網路應用系統開發注意事項 │
├────────┼─────────────────────┤
│提高系統可用性之│提高系統可用性之措施 │
│措施 │ │
├────────┼─────────────────────┤
│制定作業管理規範│制定作業管理規範:內部環境管理部分應落實管│
│ │理規則之規範。 │
└────────┴─────────────────────┘ |
| 第 11 條 |
前條發行機構端末設備與環境面安全需求之安全設計應符合下列要求:
┌────────┬─────────────────────┐
│安全需求 │安全設計 │
├────────┼─────────────────────┤
│保持端末設備與環│應採用下列各項安全設計: │
│境之實體完整性 │一、定期檢視是否有增減相關裝置: │
│ │(一)原始設施確實逐項編號。 │
│ │(二)比對現場相關設施及裝置是否與原始狀態│
│ │ 一致。 │
│ │(三)建立檢視清單(Checklist ),並應定期│
│ │ 覆核並追蹤考核。 │
│ │二、應確定與端末設備合作廠商簽訂資料保密契│
│ │ 約,並應將參與端末設備安裝、維護作業之│
│ │ 人員名單交付造冊列管,如有異動,應隨時│
│ │ 主動通知發行機構更新之。 │
│ │三、端末設備合作廠商人員至現場作業時,均應│
│ │ 出示經認可之識別證件。除安裝、維護作業│
│ │ 外,並應配合隨時檢視端末設備硬體是否遭│
│ │ 到不當外力入侵或遭裝置側錄設備。 │
│ │四、發行機構應不定時派員抽檢安裝於特約機構│
│ │ 或加值機構之端末設備,檢視該硬體是否遭│
│ │ 到不當外力入侵,並檢視其軟體是否遭到不│
│ │ 法竄改。 │
├────────┼─────────────────────┤
│確保端末設備交易│運用端末設備處理交易時,應符合下述規範: │
│之安全性 │一、電子票證內含錄碼及資料,除帳號、卡號、│
│ │ 有效期限、交易序號及查證交易是否發生之│
│ │ 相關必要資料外,其他資料一律不得儲存於│
│ │ 端末設備。 │
│ │二、應確保端末設備之合法性,另端末設備應有│
│ │ 唯一之端末設備代號。 │
│ │三、應用範圍屬第二級之交易,端末設備之安全│
│ │ 模組應個別化(即每一端末設備之認證金鑰│
│ │ 皆不相同)。 │
├────────┼─────────────────────┤
│建置有效或即時之│為有效防範非法電子票證進行交易,發行機構應│
│管控名單管理機制│建置管控名單管理機制,對於線上即時交易應即│
│ │時更新,非線上即時交易應每日更新。 │
├────────┼─────────────────────┤
│非接觸式電子票證│端末設備應包含下列設計,以降低非接觸式電子│
│應降低交易被意外│票證在持卡人無交易之意願下,交易被意外觸發│
│觸發之機率 │之機率: │
│ │一、感應距離限縮至六公分(含)以下。 │
│ │二、交易過程應有聲音、燈號或圖像等之提示。│
├────────┼─────────────────────┤
│非線上即時加值應│非線上即時加值交易之端末設備應具有安全模組│
│具有端末安全模組│之設計,進行加值交易另應包含下列設計: │
│之設計 │一、逐筆授權加值交易。 │
│ │二、限制其單筆加值金額。 │
│ │三、限制其加值總額(如:日限額),額度用罊│
│ │ 應連線至發行機構重新授權可加值額度。 │
│ │四、安全模組應進行妥善之管理,如製發卡與交│
│ │ 貨控管流程、管制製卡作業、落實安全模組│
│ │ 之安全控管等。 │
├────────┼─────────────────────┤
│非線上即時交易,│應用範圍等級第一級之電子票證,若使用於提供│
│若採用應用範圍等│第二類商品或服務之特約機構進行非線上即時交│
│級第一級之電子票│易,發行機構應要求特約機構設置錄影監視設備│
│證,且使用於提供│且於營業時間內保持全時錄影,或採取其他必要│
│第二類商品或服務│之措施以降低偽卡交易。 │
│之特約機構,應採│ │
│取降低偽卡交易之│ │
│必要措施 │ │
├────────┼─────────────────────┤
│網際網路應用系統│若電子票證持卡人透過瀏覽器以網際網路進行交│
│開發注意事項 │易,網路應用系統之開發應有下列設計: │
│ │一、網站應採用網頁安全傳輸協定(Secure │
│ │ Sockets Layer ;簡稱 SSL)加密或其他安│
│ │ 全強度不得低於第七條對訊息隱密性之規定│
│ │ (A )之方式加密傳輸資料。 │
│ │二、系統應依每筆交易動態隨機變動端末設備查│
│ │ 核碼或以亂碼化保護。 │
│ │三、系統應設計具遮罩功能之圖形驗證碼( │
│ │ Graphic One Time Password ;簡稱 GOTP │
│ │ )或隨機按鈕等方式。 │
│ │四、系統應設計動態頁面呈現或限制滑鼠點選,│
│ │ 以防止模擬鍵盤控制(SendKey Control )│
│ │ 攻擊。 │
│ │五、系統應有連線(Session )控制及網頁逾時│
│ │ (Timeout )中斷機制。 │
│ │六、若有多網頁設計,系統應驗證前一網頁正確│
│ │ 性。 │
│ │七、客戶端元件應驗證網站正確性。 │
│ │八、客戶端元件應具有防盜用機制,以驗證正確│
│ │ 網站。 │
│ │九、客戶端元件應具有作業系統認可之程式碼簽│
│ │ 章憑證(CodeSign)。 │
│ │十、客戶端元件應具存取卡片時限定為獨占模式│
│ │ 之設計。 │
│ │十一、客戶端元件應具有需經人工介入以完成交│
│ │ 易之設計。 │
│ │十二、如有駭客入侵時,發行機構應即關閉網路│
│ │ 服務,以確保交易安全。 │
├────────┼─────────────────────┤
│提高系統可用性之│應以下列方式處理及管控: │
│措施 │一、規劃備援線路或其他可確保提高系統可用性│
│ │ 之措施。 │
│ │二、規劃備援電路或不斷電系統(Uninterrupt-│
│ │ ible Power Supply ;簡稱 UPS)。 │
├────────┼─────────────────────┤
│制定作業管理規範│應制定端末設備管理規章,含設備規格、安控機│
│ │制說明、安控程序說明、安全模組控管作業原則│
│ │、管控名單管理機制、特約機構與加值機構簽約│
│ │與管理辦法等。 │
└────────┴─────────────────────┘ |