行動支付發展五大樣態 總交易2157億元續創新高 金管會訂資安規範

行動支付發展五大樣態 總交易金額2157億元續創新高 金管會訂資安規範。(鉅亨網資料照)
行動支付發展五大樣態 總交易金額2157億元續創新高 金管會訂資安規範。(鉅亨網資料照)

金管會統計,截至今 (2020) 年 2 月底止,行動支付已發展出五大樣態,總交易金額新台幣 2157 億元、續創新高。為防範交易衍生風險,特訂定要求金融機構應建立 APP 發布程序等資安規範。

金管會主委顧立雄明 (14) 日將赴立法院財委會就「我國推動行動支付的相關規範與面臨可能資訊安全風險的因應機制」進行專題報告。

根據書面報告書,我國民眾持有手機等行動裝置普及,行動支付服務也逐漸改變消費者的支付習慣。我國金融機構已推出包括:行動信用卡、行動金融卡、行動電子票證、電子支付機構實體通路支付服務 (Online To Offline, O2O)、行動收單 (mPOS) 等五大不同態樣行動支付服務,截至今年 2 月底,總交易金額已達 2157 億元,續創新高。

為強化行動支付的資安防護,金管會會已訂定四大相關資安規定及自律規範,包含一、 「金融機構提供行動裝置應用程式作業規範」:要求金融機構應建立 APP 發布程序;APP 所需權限應與提供服務相當;啟動 APP 時,如偵測行動裝置疑似遭破解,應提示使用者注意風險並限制辦理非約定轉帳服務;應建立偽冒應用程式偵測機制,以維客戶權益。另外,採用憑證技術進行傳輸加密時,APP 應建立可信任憑證清單並驗證完整憑證鏈及其憑證有效性。且金融機構提供客戶使用的 APP,每年應委由專業機構完成安全檢測,新功能上線或異動時,亦應辦理相關檢測,以確保 APP 的安全。

二、「金融機構提供 QR Code 掃描支付應用安全控管規範」:明訂 QR Code 訊息傳輸安全及 APP 設計要求;收款跟付款不能使用同一組 QR Code,應以專碼專用為原則;以及由付款客戶行動裝置產生供收款單位掃描的 QR Code,應限定使用時效且最多僅能使用一次,以避免 QR Code 被攔截。

三、「金融機構辦理行動金融卡安全控管作業規範」:要求線上申辦行動金融卡應依據相關安全設計進行身分認證,並明訂各類行動金融卡應用範圍及交易限額,且於下載個人化資料前,應確認使用的行動裝置,為申請人申辦時指定的行動裝置,以及行動金融卡下載後,應以原留存發卡行的通訊管道通知申請人。

四、「信用卡業務機構辦理行動信用卡業務安全控管作業基準」:明定行動信用的安全設計包含訊息隱密性、訊息完整性、來源辨識性、不可重覆性等安全要求。另發卡機構應提供行動信用卡相關操作與使用說明,並訂定完整合約述明與行動信用卡持卡人間權利義務關係等相關規定。