前條發行機構端末設備與環境面安全需求之安全設計應符合下列要求：

一、保持端末設備與環境之實體完整性，應採用下列各項安全設計：

（一）定期檢視是否有增減相關裝置： 1.原始設施確實逐項編號。 2.比對現場相關設施及裝置是否與原始狀態一致。 3.建立檢視清單（Checklist） ，並應定期覆核並追蹤考核。

（二）應確定與端末設備合作廠商簽訂資料保密契約，並應將參與端末設 備安裝、維護作業之人員名單交付造冊列管，如有異動，應隨時主 動通知發行機構更新之。

（三）端末設備合作廠商人員至現場作業時，均應出示經認可之識別證件 。除安裝、維護作業外，並應配合隨時檢視端末設備硬體是否遭到 不當外力入侵或遭裝置側錄設備。

（四）發行機構應不定時派員抽檢安裝於特約機構或加值機構之端末設備 ，檢視該硬體是否遭到不當外力入侵，並檢視其軟體是否遭到不法 竄改。

二、確保端末設備交易之安全性，應符合下列規範：

（一）電子票證內含錄碼及資料，除帳號、卡號、有效期限、交易序號及 查證交易是否發生之相關必要資料外，其他資料一律不得儲存於端 末設備。

（二）應確保端末設備之合法性，另端末設備應有唯一之端末設備代號。

（三）應用範圍屬第二級之交易，端末設備之安全模組應個別化（即每一 端末設備之認證金鑰皆不相同）。

三、為有效防範非法電子票證進行交易，發行機構應建置管控名單管理機 制，對於線上即時交易應即時更新，非線上即時交易應每日更新。

四、端末設備應包含下列設計，以降低非接觸式電子票證在持卡人無交易 之意願下，交易被意外觸發之機率：

（一）感應距離限縮至六公分（含）以下。但發行機構如係共用信用卡收 單機構之端末設備或特約機構係提供公共運輸服務者者，其端末設 備感應距離限縮至十公分（含）以下。

（二）交易過程應有聲音、燈號或圖像等之提示。

五、非線上即時加值交易之端末設備應具有安全模組之設計，進行加值交 易另應包含下列設計：

（一）逐筆授權加值交易。

（二）限制其單筆加值金額。

（三）限制其加值總額（如：日限額），額度用罊應連線至發行機構重新 授權可加值額度。

（四）安全模組應進行妥善之管理，如製發卡與交貨控管流程、管制製卡 作業、落實安全模組之安全控管等。

六、應用範圍等級第一級之電子票證，若使用於提供第二類商品或服務之 特約機構進行非線上即時交易，發行機構應要求特約機構設置錄影監 視設備且於營業時間內保持全時錄影，或採取其他必要之措施以降低 偽卡交易。

七、提高系統可用性之措施，應以下列方式處理及管控：

（一）規劃備援線路或其他可確保提高系統可用性之措施。

（二）規劃備援電路或不斷電系統（Uninterruptible Power Supply；簡 稱 UPS）。

八、應制定端末設備管理規章，含設備規格、安控機制說明、安控程序說 明、安全模組控管作業原則、管控名單管理機制、特約機構與加值機 構簽約與管理辦法等。