第14條
前條發行機構電子票證安全需求之安全設計應符合下列要求:
一、電子票證須具有獨立且唯一之識別碼或具有認證之功能,以確保其合
法性。
二、若採用戶代號及固定密碼者,應具有下列之安全設計:
(一)用戶代號之安全設計:
1.發行機構如使用客戶之顯性資料(如統一編號、身分證號、手機
號碼、電子郵件帳號、電子票證編號)作為唯一之識別,應另行
增設持卡人代號以資識別。
2.不得少於六位。
3.不得訂為相同之英文字或數字、連續英文字或連號數字。
4.客戶於申請後若未於一個月內變更密碼,則不得再以該用戶代號
執行簽入。
5.客戶同一時間內只能登入一次密碼。
6.如增設持卡人代號,至少應依下列方式辦理:
(1)不得為客戶之顯性資料。
(2)如輸入錯誤達五次,發行機構應做妥善處理。
(3)新建立時不得與用戶代號相同;變更時,亦同。
(二)密碼之安全設計:
1.不應少於六位。若搭配交易密碼使用則不得少於四位。
2.建議採英文字或數字混合使用,且宜包含大小寫英文字母或符號
。
3.不應訂為相同之英文字或數字、連續英文字或連號數字,預設密
碼不在此限。
4.密碼與代號不得相同。
5.密碼連續錯誤達五次,不得再繼續執行交易。
6.變更密碼不得與前一次相同。
7.首次登入時,應強制變更預設密碼。
8.密碼超過一年未變更,電子票證機構應做妥善處理。
三、儲存於電子票證之個資必須保護:若使用電子票證儲存個人資料,應
設計存取控制或持卡人確認之機制,以限制其讀取。
四、制定電子票證交貨控管流程:發行機構應針對電子票證之生命週期進
行妥善之管理,應制定電子票證製發卡與交貨控管流程、管制外包製
卡作業及落實實體電子票證之安全控管。