行動支付大噴發嗶出2157億 金管會祭出4大措施強化資安
▲根據金管會統計,截至今年2月底,行動支付總交易金額達2,157億元。(示意圖/達志影像)
根據金管會統計,截至今年2月底,行動支付總交易金額達2,157億元。爲強化行動支付的資安風險,金管會訂定4大機制因應,包括行動裝置應用程式僞冒偵測機制、QR Code掃描支付專碼專用等規範,以維護使用者權益。
金管會主委顧立雄明天出席立法院財委會提出專題報告「我國推動行動支付的相關規範與面臨可能資訊安全風險的因應機制」,並列席備詢。
根據金管會報告內容指出,隨着民衆持有手機等行動裝置普及,行動支付服務也逐漸改變消費者的支付習慣。國內金融機構已推出不同態樣的行動支付服務,包括行動信用卡、行動金融卡、行動電子票證、電子支付機構實體通路支付服務(O2O)、行動收單(mPOS)等,截至今年2月底,總交易金額已達2,157億元。
爲強化金融機構辦理行動支付相關業務的資安防護,金管會表示,與銀行公會已訂定4大資安規定及自律規範,首先是「金融機構提供行動裝置應用程式作業規範」,要求金融機構應建立APP發佈程序,應提醒使用者注意風險,也應建立僞冒應用程式偵測機制,以維客戶權益。
第二,「金融機構提供QR Code掃描支付應用安全控管規範」,金管會明訂QR Code訊息傳輸安全及APP設計要求、商家收款跟付款不能使用同一組QR Code ,應以「專碼專用」爲原則,而付款客戶行動裝置產生供收款單位掃描的QR Code,應限定使用時效且最多僅能使用一次,避免QR Code被攔截。
第三,「金融機構辦理行動金融卡安全控管作業規範」,金管會要求線上申辦行動金融卡時,金融機構須進行身分認證,並明訂各類行動金融卡應用範圍及交易限額,且下載個人化資料前,也要確認使用的行動裝置,爲申請人申辦時指定的行動裝置。
第四,「信用卡業務機構辦理行動信用卡業務安全控管作業基準」,金管會也要求行動信用卡的安全設計,包含訊息隱密性、訊息完整性、來源辨識性、不可重複性等,而髮卡機構應提供行動信用卡相關操作與使用說明,並在完整合約說明與行動信用卡持卡人間權利義務關係。