前條發行機構端末設備與環境面安全需求之安全設計應符合下列要求:
一、保持端末設備與環境之實體完整性,應採用下列各項安全設計:
(一)定期檢視是否有增減相關裝置:
1.原始設施確實逐項編號。
2.比對現場相關設施及裝置是否與原始狀態一致。
3.建立檢視清單(Checklist ),並應定期覆核並追蹤考核。
(二)應確定與端末設備合作廠商簽訂資料保密契約,並應將參與端末設備安裝、維護作業之人員名單交付造冊列管,如有異動,應隨時主動通知發行機構更新之。
(三)端末設備安裝、維護作業人員至現場作業時,均應出示經認可之識別證件。除安裝、維護作業外,並應配合隨時檢視端末設備硬體是否遭到不當外力入侵或遭裝置側錄設備。
(四)發行機構應不定時派員抽檢安裝於特約機構或加值機構之端末設備,檢視該硬體是否遭到不當外力入侵,並檢視其軟體是否遭到不法竄改。
二、確保端末設備交易之安全性,應符合下列規範:
(一)電子票證內含錄碼及資料,除帳號、卡號、有效期限、交易序號及查證交易是否發生之相關必要資料外,其他資料一律不得儲存於端末設備。
(二)應確保端末設備之合法性,另端末設備應有唯一之端末設備代號。
(三)應用範圍屬第二級之交易,端末設備之安全模組應個別化(即每一端末設備之認證金鑰皆不相同)。
三、為有效防範非法電子票證進行交易,發行機構應建置管控名單管理機制,對於線上即時交易應即時驗證,非線上即時交易應每日更新管控名單。
四、發行機構應有效防止特約機構不當扣款,其端末設備應包含下列設計,以降低非接觸式電子票證在持卡人無交易之意願下,交易被意外觸發之機率:
(一)感應距離限縮至十公分(含)以下。
(二)交易過程應有聲音、燈號或圖像等之提示。
五、非線上即時加值交易之端末設備應具有安全模組之設計,進行加值交易另應包含下列設計:
(一)逐筆授權加值交易。
(二)限制其單筆加值金額。
(三)限制其加值總額(如:日限額),額度用罊應連線至發行機構重新授權可加值額度。
(四)安全模組應進行妥善之管理,如製發卡與交貨控管流程、管制製卡作業、落實安全模組之安全控管等。
六、應用範圍等級第一級之電子票證於提供第二類商品或服務之特約機構之交易,如管控名單之驗證未送回發行機構進行即時驗證者,發行機構應要求特約機構設置錄影監視設備且於營業時間內保持全時錄影,或採取其他必要之措施以降低偽卡交易。
七、端末設備若係持卡人個人持有之電子設備或通訊設備者(如晶片讀卡機、具備可模擬電子票證卡讀卡機模式(readermode)之行動裝置等),可不適用第一款、第二款第二目、第三目及第五款之規定。
八、提高系統可用性之措施,如備用設備、備援線路、備援電路、不斷電系統(UninterruptiblePowerSupply;簡稱UPS)或其他可確保提高系統可用性之措施等措施。
九、應制定端末設備管理規章,含設備規格、安控機制說明、安控程序說明、安全模組控管作業原則、管控名單管理機制、特約機構與加值機構簽約與管理辦法等。