客戶發送訊息時，其介面及訊息之通訊傳輸應達到之安全防護措施，相關
安全設計區分如下，並應符合第九條規定：
一、使用憑證簽章，其安全設計應簽署適當內容並確認該憑證之合法性、
    正確性、有效性、保證內容及用途限制。
二、使用晶片金融卡，其安全設計應符合晶片金融卡交易驗證碼之安全設
    計。
三、使用一次性密碼（One Time Password，OTP），其安全設計係運用動
    態密碼產生器（Key Token）、晶片金融卡或以其他方式運用OTP原理
    ，產生限定一次使用之密碼者。
四、使用「兩項以上技術」，其安全設計應具有下列三項之任兩項以上技
    術：
    （一）客戶與金融機構所約定之資訊，且無第三人知悉（如密碼、圖
          形鎖、手勢等）。
    （二）客戶所持有之設備，金融機構應確認該設備為客戶與金融機構
          所約定持有之實體設備（如密碼產生器、密碼卡、晶片卡、電
          腦、行動裝置、憑證載具、SIM卡認證等）。
    （三）客戶提供給金融機構其所擁有之生物特徵（如指紋、臉部、虹
          膜、聲音、掌紋、靜脈、簽名等），金融機構應直接或間接驗
          證該生物特徵。間接驗證係指由客戶端設備（如行動裝置）驗
          證或委由第三方驗證，金融機構僅讀取驗證結果，必要時應增
          加驗證來源辨識。
五、使用視訊會議，其安全設計應由金融機構人工與客戶確認其身分與指
    示內容。
六、使用知識詢問，其應用範圍應符合第九條第六款之要求；其安全設計
    應利用客戶之其他資訊（如保單資訊、信用卡繳款方式等），以利有
    效識別客戶身分。
七、使用固定密碼，其應用範圍應符合第九條第六款之要求；
    （一）透過網際網路傳輸途徑並採用戶代號及固定密碼進行唯一驗證
          之簽入介面，其安全設計應具備之安全設計原則如下：
          1.用戶代號之安全設計：
           (1)不得使用客戶之顯性資料（如統一編號、身分證號、手機
              號碼、電子郵件帳號、信用卡號、存款帳號等）作為唯一
              之識別，否則應另行增設使用者代號以資識別。
           (2)不應少於六位。
           (3)不應訂為相同之英數字、連續英文字或連號數字。
           (4)同一用戶代號在同一時間內僅能登入一個連線（ session
              ）控制之系統。
           (5)如增設使用者代號，至少應依下列方式辦理：
              甲、不得為金融機構已知之客戶顯性資料。
              乙、如輸入錯誤達五次，金融機構應做妥善處理。
              丙、新建立時不得相同於用戶代號及密碼；變更時，亦同
                  。
          2.固定密碼之安全設計：
           (1)不應少於六位，若搭配交易密碼使用則不應少於四位且交
              易密碼應符合本目相關規定。
           (2)建議採英數字混合使用，且宜包含大小寫英文字母或符號
              。
           (3)不應訂為相同之英數字、連續英文字或連號數字，系統預
              設密碼不在此限。
           (4)不應與用戶代號、使用者代號、交易密碼相同。
           (5)密碼連續錯誤達五次，不得再繼續執行交易。
           (6)變更密碼不得與原密碼相同。
           (7)首次登入時，應強制變更系統預設密碼；若未於30日內變
              更者，則不得再以該密碼執行簽入。
           (8)密碼超過一年未變更，金融機構應做妥善處理。
           (9)密碼於儲存時應先進行不可逆運算（如雜湊演算法），另
              為防止透過預先產製雜湊值推測密碼，可進行加密保護或
              加入不可得知的資料運算；採用加密演算法者，其金鑰應
              儲存於經第三方認證（如FIPS 140-2 Level 3以上）之硬
              體安全模組內並限制明文匯出功能。
          3.採用圖形鎖或手勢之安全設計者，準用前一子目之（ 5）及
            （6）規定。
    （二）透過公眾交換電話網路傳輸途徑並採用戶代號及固定密碼進行
          唯一驗證之簽入介面，其安全設計應符合前目第一子目用戶代
          號之（ 5）之乙與丙及第二子目固定密碼之安全設計，惟密碼
          長度不應少於四位。
八、採用存款帳戶，其安全設計應確認申請人與該帳戶持有人為同一統一
    編號且係透過臨櫃方式開立，以確認該帳戶之有效性；驗證他行存款
    帳戶有效性時，應採用符合財金公司之「跨行金融帳戶資訊核驗」機
    制辦理，以有卡方式核驗者應驗證晶片金融卡交易驗證碼，以無卡方
    式核驗者應發送簡訊或推播驗證一次性密碼。
九、採用信用卡，其安全設計應確認申請人與信用卡持卡人為同一統一編
    號且係透過信用卡授權交易方式，以確認該卡片之有效性（如預授權
    ）；驗證他行信用卡有效性時，應透過聯合信用卡處理中心及財金公
    司之「信用卡輔助持卡人身分驗證平臺」辦理。
十、採用電信認證，其安全設計應確認申請人與該門號租用人為同一統一
    編號且係透過用戶身分模組（ Subscriber Identity Module，SIM）
    連線至該電信業者，確認該 SIM之有效性並應要求電信業者或電信認
    證服務提供者遵循下列事項：
    （一）應為客戶至電信業者直營門市臨櫃申辦，交付國民身分證及具
          辨識力之第二身分證明文件並完成親簽後申辦之門號，且應排
          除儲值卡、親子卡、預付卡、企業卡、委託代辦等無法辨識本
          人親辦親簽之門號。
    （二）如自電信業者取得門號相關個人資料（如姓名、住址、電話、
          電子郵箱、繳款紀錄、電信評分等）者，金融機構應要求電信
          業者或電信認證服務提供者須取得門號租用人個資提供第三人
          之同意，金融機構亦需向客戶取得個資蒐集、處理及利用之同
          意。