電子支付作業環境之脆弱性管理應符合下列要求:
一、應偵測網頁與程式異動,紀錄並通知相關人員處理。
二、應偵測惡意網站連結並定期更新惡意網站清單。
三、應建立入侵偵測或入侵防禦機制並定期更新惡意程式行為特徵。
四、應建立病毒偵測機制並定期更新病毒碼。
五、應建立上網管制措施,限制連結非業務相關網站,以避免下載惡意程式。
六、應隨時掌握資安事件,針對高風險或重要項目立即進行清查與應變。
七、應針對系統維運人員定期執行電子郵件社交工程演練與教育訓練,至少每年一次。
八、每季應進行弱點掃描,並針對其掃描或測試結果進行風險評估,針對不同風險訂定適當措施及完成時間,填寫評估結果與處理情形,採取適當措施並確保作業系統及軟體安裝經測試且無弱點顧慮之安全修補程式。
九、應避免採用已停止弱點修補或更新之系統軟體與應用軟體,如有必要應採用必要防護措施。
十、電子支付平臺上線前及每半年應針對異動程式進行程式碼掃描或黑箱測試,並針對其掃描或測試結果進行風險評估,針對不同風險訂定適當措施及完成時間,執行矯正、紀錄處理情形並追蹤改善。
十一、電子支付平臺每年應執行滲透測試,以加強資訊安全。