跳至主要內容
:::

法條

法規名稱: 電子支付機構資訊系統標準及安全控管作業基準辦法 EN
電子支付平臺之系統維運人員管理應符合下列要求:
一、應建立人員之註冊、異動及撤銷註冊程序,用以配置適當之存取權限。
二、應至少每年定期審查帳號與權限之合理性,人員離職或調職時應盡速移除權限,以符合職務分工與牽制原則。
三、硬體設備、應用軟體、系統軟體之最高權限帳號或具程式異動、參數變更權限之帳號應列冊保管;最高權限帳號使用時須先取得權責主管同意,並保留稽核軌跡。
四、應確認人員之身分與存取權限,必要時得限定其使用之機器與網路位置(IP)。
五、人員超過十分鐘未操作電腦時,應限制使用者個人資料顯示於螢幕。
六、於登入作業系統進行系統異動或資料庫存取時,應留存人為操作紀錄,並於使用後儘速變更密碼;但因故無法變更密碼者,應建立監控機制,避免未授權變更,並於使用後覆核其操作紀錄。
七、帳號應採一人一號管理,避免多人共用同一個帳號為原則,如有共用需求,申請與使用須有其他補強管控方式,並留存操作紀錄且應能區分人員身分。
八、採用固定密碼者,應符合第五條第二項規定,並應定期變更密碼:提供人員使用之帳號至少三個月一次;提供系統連線之帳號,至少每三個月一次或其他補強管控方式(如限制人工登入)。
九、加解密程式或具變更權限之公用程式(如資料庫存取程式)應列冊管理並限制使用,該程式應設定存取權限,防止未授權存取,並保留稽核軌跡。
電子支付機構於使用者登入電子支付平臺時應進行身分確認,使用者應以帳號及第七條規定之 A 類、B 類、C 類或 D 類交易安全設計登入。
前項帳號及採用固定密碼之安全設計如下:
一、帳號如使用顯性資料(如商業統一編號、身分證統一編號、行動電話號碼、電子郵件帳號、信用卡卡號等)作為唯一之識別,應另行增設使用者代號以資識別。使用者代號亦不得為上述顯性資料。
二、密碼不應少於六位。
三、密碼不應與帳號相同,亦不得與使用者代號相同。
四、密碼不應訂為相同之英數字、連續英文字或連號數字,預設密碼不在此限。
五、密碼建議應採英數字混合使用,且宜包含大小寫英文字母或符號。
六、密碼連續錯誤達五次時應限制使用,須重新申請密碼。
七、變更後之密碼不得與變更前一次密碼相同。
八、密碼超過一年未變更,電子支付機構應做妥善處理。
九、使用者註冊時係由電子支付機構發予預設密碼者,於使用者首次登入時,應強制變更預設密碼。
第一項採用圖形鎖或手勢之安全設計,準用前項第六款及第七款規定。