修正「電子支付機構資訊系統標準及安全控管作業基準辦法」

日期 2016/10/3 14:26:00 | 新聞分類: 法令新訊

金融監督管理委員會令
修正「電子支付機構資訊系統標準及安全控管作業基準辦法」

公(發)布日期: 105-09-10
內  文
中華民國一百零五年九月十日金融監督管理委員會金管銀票字第 10540
002770 號令修正發布第 3、4、6 條條文


第 3 條 本辦法用詞定義如下:
一、電子支付機構業務:指本條例第三條第一項各款業務。
二、電子支付平臺:指辦理電子支付機構業務相關之應用軟體、系統軟體
及硬體設備。
三、電子支付作業環境:指電子支付平臺、網路、作業人員及與該電子支
付平臺網路直接連結之應用軟體、系統軟體及硬體設備。
四、網路型態區分如下:
(一)專屬網路:指利用電子設備或通訊設備直接以連線方式(撥接(
Dial-Up)、專線(Leased-Line)或虛擬私有網路(Virtual
Private Network,VPN)等)進行訊息傳輸。
(二)網際網路(Internet):指利用電子設備或通訊設備,透過網際網
路服務業者進行訊息傳輸。
(三)行動網路:指利用電子設備或通訊設備,透過電信服務業者進行訊
息傳輸。
五、訊息防護措施區分如下:
(一)訊息隱密性(Confidentiality) :指訊息不會遭截取、窺竊而洩
漏資料內容致損害其秘密性。
(二)訊息完整性(Integrity) :指訊息內容不會遭篡改而造成資料不
正確,即訊息如遭篡改時,該筆訊息無效。
(三)訊息來源辨識性(Authentication):指傳送方無法冒名傳送資料

(四)訊息不可重複性(Non-duplication) :指訊息內容不得重複。
(五)訊息不可否認性(Non-repudiation) :指無法否認其傳送或接收
訊息行為。
六、常用密碼學演算法如下:
(一)對稱性加解密演算法:指資料加密標準(Data Encryption
Standard;以下簡稱 DES)、三重資料加密標準(Triple DES;以
下簡稱 3DES) 、進階資料加密標準(Advanced Encryption
Standard;以下簡稱 AES)。
(二)非對稱性加解密演算法:指 RSA 加密演算法(Rivest, Shamir
and Adleman Encryption Algorithm;以下簡稱 RSA)、橢圓曲線
密碼學(Elliptic Curve Cryptography ;以下簡稱 ECC)。
(三)雜湊函數:指安全雜湊演算法(Secure Hash Algorithm; 以下簡
稱 SHA)。
七、系統維運人員:指電子支付平臺之作業人員,其管理或操作營運環境
之應用軟體、系統軟體、硬體、網路、資料庫、使用者服務、業務推
廣、帳務管理或會計管理等作業。
八、一次性密碼(One Time Password ;以下簡稱 OTP):指運用動態密
碼產生器、晶片金融卡或以其他方式運用 OTP原理,產生限定一次使
用之密碼。
九、行動裝置:指包含但不限於智慧型手機、平板電腦等具通信及連網功
能之設備。
十、機敏資料:指包含但不限於密碼、個人資料、身分認證資料、信用卡
卡號、信用卡驗證碼或個人化資料等。
十一、近距離無線通訊(Near Field Communication;以下簡稱 NFC):
指利用點對點功能,使行動裝置在近距離內與其他設備進行資料傳
輸。
十二、實體通路支付服務(Online To Offline,O2O):指電子支付機構
就電子支付機構業務,利用行動裝置或其他可攜式設備於實體通路
提供服務。
十三、約定連結存款帳戶付款:指電子支付機構辦理電子支付機構業務,
依使用者與開戶金融機構間之約定,向開戶金融機構提出扣款指示
,連結該使用者存款帳戶進行轉帳,由電子支付機構收取支付款項
,並於該使用者電子支付帳戶記錄支付款項金額及移轉情形之服務
,作業機制如下:
(一)直接連結機制:指電子支付機構直接向開戶金融機構提出扣款指
示,連結使用者存款帳戶進行轉帳之機制。
(二)間接連結機制:指電子支付機構經由專用存款帳戶銀行介接金融
資訊服務事業或票據交換所,間接向開戶金融機構提出扣款指示
,連結使用者存款帳戶進行轉帳之機制。

第 4 條 電子支付機構於受理使用者註冊時,所採用之身分確認程序之安全設計如
下:
一、確認行動電話號碼:應確認使用者可操作並接收訊息通知。
二、確認金融支付工具之持有人與電子支付帳戶使用者相符,方式如下:
(一)確認存款帳戶持有人:應向金融機構查詢或確認存款帳戶持有人身
分證統一編號或商業統一編號。個人使用者無身分證統一編號者,
應提供其他身分證明文件及其號碼等資料供金融機構確認。
(二)確認信用卡持有人:應向信用卡發卡機構查詢或確認持有人身分證
統一編號。
三、確認證明文件影本:得採上傳或拍照方式取得完整清晰可辨識之影像
檔。
四、臨櫃確認身分:臨櫃受理使用者註冊,應了解使用者動機、查證電話
與住址、辨識具照片之身分證明文件、留存影像、留存印鑑或簽名、
約定收付款限額及注意周邊環境。
五、以電子簽章確認身分:應透過憑證進行簽章、驗證憑證有效性,並確
認該憑證之身分與電子支付帳戶使用者相符。

第 6 條 電子支付機構對於不同交易類型,應依其不同交易限額,採用下列交易安
全設計:
一、辦理代理收付實質交易款項(含實體通路支付服務交易),於使用者
以電子支付帳戶款項支付、以約定連結存款帳戶付款支付、提出提前
付款請求或提出取消暫停支付請求時,及使用者以約定連結存款帳戶
付款支付儲值款項時,應依其不同交易限額,採用下列交易安全設計

(一)每筆交易金額未達等值新臺幣五千元,或每日交易金額未達等值新
臺幣二萬元,或每月交易金額未達等值新臺幣五萬元者,應採用 A
類交易安全設計。
(二)每筆交易金額達等值新臺幣五千元且未達等值新臺幣五萬元,或每
日交易金額達等值新臺幣二萬元且未達等值新臺幣十萬元,或每月
交易金額達等值新臺幣五萬元且未達等值新臺幣二十萬元者,應採
用 B 類交易安全設計。
(三)每筆交易金額達等值新臺幣五萬元以上,或每日交易金額達等值新
臺幣十萬元以上,或每月交易金額達等值新臺幣二十萬元以上者,
應採用 C 類交易安全設計。
二、於使用者進行電子支付帳戶間款項移轉之支付時,應依其不同交易限
額,採用下列交易安全設計:
(一)每筆交易金額未達等值新臺幣五萬元,或每日交易金額未達等值新
臺幣十萬元,或每月交易金額未達等值新臺幣二十萬元者,應採用
C 類交易安全設計。
(二)每筆交易金額達等值新臺幣五萬元,或每日交易金額達等值新臺幣
十萬元以上,或每月交易金額達等值新臺幣二十萬元以上者,應採
用 D 類交易安全設計。
前項 D 類交易安全設計得替代 C 類交易安全設計,C 類交易安全設計
得替代 B 類交易安全設計,B 類交易安全設計得替代 A 類交易安全設
計。




This article comes from 中華企業會計協會
http://www.baa.org.tw/xoops

這篇文章的連結位址是:
http://www.baa.org.tw/xoops/article.php?storyid=624