電子票證應用安全強度準則  ( 105 年 07 月 20 日)
第14條
前條發行機構電子票證安全需求之安全設計應符合下列要求:

一、電子票證須具有獨立且唯一之識別碼或具有認證之功能,以確保其合 法性。

二、若採用戶代號及固定密碼者,應具有下列之安全設計:

(一)用戶代號之安全設計: 1.發行機構如使用客戶之顯性資料(如統一編號、身分證號、手機 號碼、電子郵件帳號、電子票證編號)作為唯一之識別,應另行 增設持卡人代號以資識別。 2.不得少於六位。 3.不得訂為相同之英文字或數字、連續英文字或連號數字。 4.客戶於申請後若未於一個月內變更密碼,則不得再以該用戶代號 執行簽入。 5.客戶同一時間內只能登入一次密碼。 6.如增設持卡人代號,至少應依下列方式辦理: (1)不得為客戶之顯性資料。 (2)如輸入錯誤達五次,發行機構應做妥善處理。 (3)新建立時不得與用戶代號相同;變更時,亦同。

(二)密碼之安全設計: 1.不應少於六位。若搭配交易密碼使用則不得少於四位。 2.建議採英文字或數字混合使用,且宜包含大小寫英文字母或符號 。 3.不應訂為相同之英文字或數字、連續英文字或連號數字,預設密 碼不在此限。 4.密碼與代號不得相同。 5.密碼連續錯誤達五次,不得再繼續執行交易。 6.變更密碼不得與前一次相同。 7.首次登入時,應強制變更預設密碼。 8.密碼超過一年未變更,電子票證機構應做妥善處理。

三、儲存於電子票證之個資必須保護:若使用電子票證儲存個人資料,應 設計存取控制或持卡人確認之機制,以限制其讀取。

四、制定電子票證交貨控管流程:發行機構應針對電子票證之生命週期進 行妥善之管理,應制定電子票證製發卡與交貨控管流程、管制外包製 卡作業及落實實體電子票證之安全控管。