發行機構於交易面應確保電子票證交易符合下列安全規定:
一、線上即時消費交易
(一)訊息隱密性:採用網際網路或行動網路者應符合 A 要求。
(二)訊息完整性:採用專屬網路者應符合 B1 要求;採用網際網路或行
動網路者應符合 B2 要求。
(三)來源辨識性:應用於第一級應用範圍等級者應符合 C1 或 C3 要求
;應用於第二級應用範圍等級者應符合 C2 要求。
(四)不可重覆性:應符合 F 要求。
二、非線上即時消費交易
(一)訊息隱密性:採用網路或其他離線方式者應符合 A 要求。
(二)訊息完整性:採用接觸式或非接觸式介面且應用於第一級應用範圍
等級者應符合 B1 要求;採用接觸式或非接觸式介面且應用於第二
級應用範圍等級者應符合 B2 要求;採用網路或其他離線方式者應
符合 B2 要求。
(三)來源辨識性之電子票證認證:採用接觸式或非接觸式介面且應用於
第一級應用範圍等級者應符合 D1 要求;採用接觸式或非接觸式介
面且應用於第二級應用範圍等級者應符合 D2 要求;採用網路或其
他離線方式者應符合 D2 要求。
(四)來源辨識性之端末認證:採用接觸式或非接觸式介面且應用於第一
級應用範圍等級者應符合 E1 要求;採用接觸式或非接觸式介面且
應用於第二級應用範圍等級者應符合 E2 要求;採用網路或其他離
線方式者應符合 E2 要求。
(五)不可重覆性:應符合 F 要求。
三、線上即時加值交易
(一)訊息隱密性:採用網際網路或行動網路者應符合 A 要求。
(二)訊息完整性:採用專屬網路者應符合 B1 要求;採用網際網路或行
動網路者應符合 B2 要求。
(三)來源辨識性之發卡端認證:採用專屬網路且應用於第一級應用範圍
等級者應符合 E1 要求;採用專屬網路且應用於第二級應用範圍等
級者應符合 E2 要求;採用網際網路或行動網路者應符合 E2 要求
。
(四)不可重覆性:應符合 F 要求。
四、非線上即時加值交易
(一)訊息隱密性:採用網路或其他離線方式者應符合 A 要求。
(二)訊息完整性:採用接觸式或非接觸式介面且應用於第一級應用範圍
等級者應符合 B1 要求;採用接觸式或非接觸式介面且應用於第二
級應用範圍等級者應符合 B3 要求;採用網路或其他離線方式者應
符合 B3 要求。
(三)來源辨識性之端末認證:採用接觸式或非接觸式介面且應用於第一
級應用範圍等級者應符合 E1 要求;採用接觸式或非接觸式介面且
應用於第二級應用範圍等級者應符合 E2 要求;採用網路或其他離
線方式者應符合 E2 要求。
(四)不可重覆性:應符合 F 要求。
五、票證款項移轉交易
(一)訊息隱密性:採用網際網路或行動網路者應符合 A 要求。
(二)訊息完整性:採用專屬網路者應符合 B1 要求;採用網際網路或行
動網路者應符合 B2 要求。
(三)來源辨識性:應用於第一級應用範圍等級者應符合 C1 或 C3 要求
;應用於第二級應用範圍等級者應符合 C2 要求。
(四)不可重覆性:應符合 F 要求。
六、帳務清算及結算交易
(一)訊息隱密性:採用網際網路或行動網路者應符合 A 要求。
(二)訊息完整性:採用專屬網路者應符合 B1 要求;採用網際網路或行
動網路者應符合 B2 要求。
(三)來源辨識性之訊息認證:採用網際網路或行動網路者應符合 C2 要
求。
(四)不可重覆性:應符合 F 要求。
七、本條第一款至第六款之交易訊息中若包含個人資料保護法所定義之個
人資料,為確保其隱密性,應採對稱性加解密系統或非對稱性加解密
系統進行個人資料之加密,以防止未經授權者取得個人資料,其安全
強度應不得低於第七條第一款訊息隱密性 A 之規定。 |