前條發行機構電子票證安全需求之安全設計應符合下列要求:
一、電子票證須具有獨立且唯一之識別碼或具有認證之功能,以確保其合
法性。
二、若採用戶代號及固定密碼者,應具有下列之安全設計:
(一)用戶代號如使用顯性資料(如商業統一編號、身分證統一編號、行
動電話號碼、電子郵件帳號、電子票證編號等)作為唯一之識別,
應另行增設持卡人代號以資識別。持卡人代號亦不得為上述顯性資
料。
(二)密碼不應少於六位。
(三)密碼不應與用戶代號相同,亦不得與持卡人代號相同。
(四)密碼不應訂為相同之英數字、連續英文字或連號數字,預設密碼不
在此限。
(五)密碼建議採英數字混合使用,且宜包含大小寫英文字母或符號。
(六)密碼連續錯誤達五次時應限制使用,須重新申請密碼。
(七)變更後之密碼不得與變更前一次密碼相同。
(八)密碼超過一年未變更,發行機構應做妥善處理。
(九)持卡人註冊時係由發行機構發予預設密碼者,於持卡人首次登入時
,應強制變更預設密碼。
三、儲存於電子票證之個資必須保護:若使用電子票證儲存個人資料,應
設計存取控制或持卡人確認之機制,以限制其讀取。
四、制定電子票證交貨控管流程:發行機構應針對電子票證之生命週期進
行妥善之管理,應制定電子票證製發卡與交貨控管流程、管制外包製
卡作業及落實實體電子票證之安全控管。 |