行动支付大喷发哔出2157亿 金管会祭出4大措施强化资安
▲根据金管会统计,截至今年2月底,行动支付总交易金额达2,157亿元。(示意图/达志影像)
根据金管会统计,截至今年2月底,行动支付总交易金额达2,157亿元。为强化行动支付的资安风险,金管会订定4大机制因应,包括行动装置应用程式伪冒侦测机制、QR Code扫描支付专码专用等规范,以维护使用者权益。
金管会主委顾立雄明天出席立法院财委会提出专题报告「我国推动行动支付的相关规范与面临可能资讯安全风险的因应机制」,并列席备询。
根据金管会报告内容指出,随着民众持有手机等行动装置普及,行动支付服务也逐渐改变消费者的支付习惯。国内金融机构已推出不同态样的行动支付服务,包括行动信用卡、行动金融卡、行动电子票证、电子支付机构实体通路支付服务(O2O)、行动收单(mPOS)等,截至今年2月底,总交易金额已达2,157亿元。
为强化金融机构办理行动支付相关业务的资安防护,金管会表示,与银行公会已订定4大资安规定及自律规范,首先是「金融机构提供行动装置应用程式作业规范」,要求金融机构应建立APP发布程序,应提醒使用者注意风险,也应建立伪冒应用程式侦测机制,以维客户权益。
第二,「金融机构提供QR Code扫描支付应用安全控管规范」,金管会明订QR Code讯息传输安全及APP设计要求、商家收款跟付款不能使用同一组QR Code ,应以「专码专用」为原则,而付款客户行动装置产生供收款单位扫描的QR Code,应限定使用时效且最多仅能使用一次,避免QR Code被拦截。
第三,「金融机构办理行动金融卡安全控管作业规范」,金管会要求线上申办行动金融卡时,金融机构须进行身分认证,并明订各类行动金融卡应用范围及交易限额,且下载个人化资料前,也要确认使用的行动装置,为申请人申办时指定的行动装置。
第四,「信用卡业务机构办理行动信用卡业务安全控管作业基准」,金管会也要求行动信用卡的安全设计,包含讯息隐密性、讯息完整性、来源辨识性、不可重复性等,而发卡机构应提供行动信用卡相关操作与使用说明,并在完整合约说明与行动信用卡持卡人间权利义务关系。