跳至主要內容
:::

加入資料夾:

條文內容

法規名稱: 電子支付機構資訊系統標準及安全控管作業基準辦法 EN
法規類別: 行政 > 金融監督管理委員會 > 銀行目
※歷史法規係提供九十年四月以後法規修正之歷次完整舊條文。
※如已配合行政院組織改造,公告變更管轄或停止辦理業務之法規條文,請詳見沿革
第 14 條
電子支付平臺之機敏資料隱密及金鑰管理,應符合下列要求:
一、如有下列情形者,應建立訊息隱密性機制:
(一)機敏資料儲存於使用者端操作環境。
(二)機敏資料於網際網路上傳輸。
(三)使用者身分識別資料(如密碼、個人化資料)儲存於系統內;如為生物特徵(如指紋、臉部、虹膜、聲音、掌紋、靜脈、簽名等),應遵循銀行公會所訂定之生物特徵相關自律規範辦理。
二、使用者身分識別資料如為固定密碼者,於儲存時應先進行不可逆運算(如雜湊演算法),另為防止透過預先產製雜湊值推測密碼,應進行加密保護或加入不可得知之資料運算;採用加密演算法者,其金鑰應儲存於硬體安全模組內並限制匯出功能。
三、採用硬體安全模組保護金鑰者,該金鑰應由非系統開發與維護單位(如客服、會計、業管等)之二個單位(含)以上產製並分持管理其產製之基碼單,另金鑰得以加密方式分持匯出至安全載具(如晶片卡)或備份至具存取權限控管之位置,供維護單位緊急使用。
四、應減少金鑰儲存之地點,並僅允許必要之管理人員存取金鑰,以利管理並降低金鑰外洩之可能性。
五、當金鑰使用期限將屆或有洩漏疑慮時,應進行金鑰替換。