一、「非電子轉帳及交易指示類」:辦理帳務類、個人資料類之查詢應採
用第七條第一款至第三款之任一款、第七條第四款之任一項技術、或
第七條第五款至第七款之任一款安全設計進行身分確認。
二、「電子轉帳及交易指示類」之交易指示:辦理高風險交易每筆或每批
應採用第七條第一款硬體金融FXML憑證簽章安全設計,辦理低風險交
易應採用第七條第一款至第七款之任一款安全設計進行身分確認,其
中非約定轉帳交易每筆應採用第七條第一款至第四款之任一款安全設
計進行身分確認,但辦理下列業務,應遵循下列要求:
(一)辦理「限定性繳稅費」應遵循下列要求:
1.以本人帳戶繳納本人帳單者,其交易指示雖未經客戶事先約
定轉出帳戶,但因其轉入帳戶已限定為個別金融機構與個別
事業單位事先以契約約定規範之,故金融機構得不使用第七
條介面之安全設計;惟金融機構得斟酌透過帳務異動通知,
達成客戶事後覆核,以提高其安全控管層次。
2.進行消費扣款之入帳帳戶,事業單位應指定一用於款項收取
作業之活期性存款帳戶,客戶無需輸入該存款帳戶以避免遭
竄改,另以行動 APP進行每筆達等值新臺幣五千元以上之消
費扣款時,應以簡訊、 APP推播、電子郵件或其他方式通知
,若無法及時通知,應於如對帳單上提示請客戶提供及時聯
繫管道,以利後續帳務通知,確保客戶權益,另金融機構得
採用第七條第一款、第三款、第四款之任一款安全設計進行
客戶身分確認後提供取消通知機制。
3.客戶辦理事業單位或金融機構發動交易指示之扣款約定時,
扣款金融機構應採用第七條第一款至第四款之任一款安全設
計進行客戶身分確認。
4.金融機構接受事業單位或其他金融機構發動扣款約定或交易
指示時,應符合第五條交易面之安全需求。
5.客戶向事業單位或金融機構終止扣款約定後,無需承擔遭冒
用之損失,金融機構或事業單位應於十四日內返還帳款,客
戶應配合協助後續調查作業。
(二)辦理 ATM無卡提款業務,於申請時應採用第七條第一款硬體憑
證簽章、第二款晶片金融卡、第三款密碼搭配指定之硬體設備
產生一次性密碼或第四款『兩項以上技術』等安全設計進行身
分確認,於交易時應採用第七條第三款密碼搭配指定之硬體設
備產生一次性密碼或第四款『兩項以上技術』進行身分確認」
,其提款金額應符合第四條第一款第二目低風險交易之限額規
定,且與晶片金融卡之提款限額併計。
(三)個人辦理實體 ATM轉帳業務,每筆達等值新臺幣一萬元(含)
以上時,應以簡訊、 APP推播、電子郵件或其他方式通知,若
無法及時通知,應於如對帳單上提示請客戶提供及時聯繫管道
,以利後續帳務通知,確保客戶權益,另金融機構得採用第七
條第一款、第三款、第四款之任一款安全設計進行客戶身分確
認後提供取消通知機制。
(四)辦理「結構型商品交易」應遵循下列要求:
1.交易及扣款帳戶以同一統一編號為限。
2.限非首次辦理之同類型結構型商品交易。
3.金融機構應提供交易內容供客戶確認,並考量電子交易風險
承受度,單筆交易超過等值新臺幣一仟萬、每日累計交易金
額超過等值新臺幣三仟萬以上之交易應採用第七條第一款高
風險交易之安全設計進行客戶身分確認,以防止交易糾紛。
4.金融機構應留存客戶辦理交易指示及確認風險揭露相關紀錄
(如:日期、同意內容或版本及身分驗證結果等)。
(五)辦理「非約定轉入帳戶」應遵循下列要求:
1.ATM、POS等之低風險性交易,其限額應符合現行ATM作業及P
OS作業相關規定。
2.網際網路之低風險性交易,以每一帳戶每筆不超過等值新臺
幣五萬元、每天累積不超過等值新臺幣十萬元、每月累積不
超過等值新臺幣二十萬元為限。
3.透過網站、行動 APP、電子郵件、傳真、FTP或AP2AP等方式
傳送且未經金融機構人工確認客戶身分與指示內容者,其交
易限額同前一子目要求。
4.若採用之技術防護措施(如憑證簽章、晶片金融卡、非簡訊
傳送之一次性密碼、視訊會議、第三人覆核、簡訊簡碼回傳
、直接人臉辨識軌跡等),提供客戶確認該筆交易內容並能
防止身分確認資料與交易內容被竄改者,該筆非約定轉入帳
戶之轉帳限額,可由個別金融機構視其風險承擔之能力斟酌
予以適當提高,最高該轉出帳號不超過當日累計等值新臺幣
三佰萬元為限,並留存該技術評估紀錄。
5.若經客戶事先以臨櫃或視訊會議申請指定照會人員且由金融
機構人工確認其指定人員之身分與指示內容者(如電話照會
),其交易限額由雙方依據風險承受度約定之。
三、「電子轉帳及交易指示類」之申請指示
(一)辦理存款業務應採用第七條第一款至第七款之任一款安全設計
,但辦理下列業務,應遵循下列要求:
1.臨櫃開立存款帳戶之存戶得線上首次申請晶片金融卡並親赴
銀行櫃檯確認身分後辦理領卡。
2.辦理已持有晶片金融卡舊戶申請補換發晶片金融卡者,客戶
應先登入網路銀行、行動銀行或網路 ATM並採用第七條第三
款一次性密碼或第四款「兩項以上技術」之安全設計進行身
分確認、再郵寄至原留存通訊住址、客戶須透過該銀行 ATM
以舊卡啟用新卡並以系統驗證新舊卡內帳戶號碼係為一致。
(如有一晶片金融卡設定多個帳戶號碼之情形,應以該卡片
之主要帳戶號碼做驗證。)
3.辦理申請網路銀行或晶片金融卡之非約定轉帳功能應採用第
七條第一款至第五款任一款進行設定,惟排除軟體 OTP或透
過簡訊傳送OTP之安全設計。
4.辦理申請約定非同一統一編號之約定轉入帳戶,須透過線上
逐筆採用第七條第一款至第五款任一款進行設定,並排除軟
體OTP或透過簡訊傳送OTP之安全設計設定,並應遵循下列要
求:
(1)首次設定非同一統一編號帳戶者須先經臨櫃或採用第七條
第五款視訊會議確認身分後方可為之。
(2)電話語音或網路銀行之新約定帳戶應於申辦日後次一日始
生效,惟同一統一編號帳戶經評估並無遭詐騙損失之虞者
除外。
(3)約定轉入帳戶之設定,其交易限額同第八條第二款第五目
之 2要求,若配合採用各種嚴密之技術防護措施,提供客
戶確認設定內容並能防止或偵測設定內容被竄改,其限額
可由個別金融機構視其風險承擔之能力斟酌予以適當提高
。
5.辦理開立數位存款帳戶業務應依「銀行受理客戶以網路方式
開立數位存款帳戶作業範本」之規定辦理;惟依據第七條第
十款電信認證辦理開立第三類數位存款帳戶時需搭配第七條
第五款視訊會議安全設計查驗本人並核對證件照片,另應確
認門號使用電信業者服務已超過半年且近 6個月內繳款正常
並沒有停話紀錄。
6.透過 VTM辦理開立新臺幣活期及定期存款帳戶業務應採用第
七條第五款視訊會議安全設計並遵循下列要求:
(1)依臨櫃存款開戶相關規定辦理。
(2)限具本國國籍成年自然人親自辦理。
(3)開立之存款帳號,應有相關區別機制。
(4)相關開戶及印鑑卡等業務書件親自簽名。
(5)開戶視訊過程進行錄音及錄影,並至少留存六個月,其他
交易文件保存期限則依各業務相關規範辦理。
(6)開戶初期設計有別於一般臨櫃開立帳戶之管控方式(如交
易功能、金額)。
(7)客戶輸入基本資料時,即時檢核客戶是否為高風險客戶,
俾引導至臨櫃辦理。
(8)VTM 提供蒐集、處理及利用各人資料告知事項內容,供客
戶審閱及確認等功能,並具備檢核機制。
(9)帳戶交易持續加強各項疑似洗錢或資恐交易表徵之監控。
7.辦理晶片金融卡密碼解鎖作業,應採用第七條第一款至第三
款任一款安全設計,惟排除以數位存款帳戶之安全設計解鎖
臨櫃帳戶之晶片金融卡、以第三類數位存款帳戶之安全設計
解鎖第一類及第二類數位存款帳戶之晶片金融卡、以第二類
數位存款帳戶或第一類低風險數位存款帳戶之安全設計解鎖
第一類高風險數位存款帳戶之晶片金融卡並排除軟體 OTP與
簡訊OTP,且應於發卡行之端末設備(如ATM、POS、VTM等)
進行,並針對解鎖用之敏感資料採用符合第五條訊息隱密性
要求,進行端點對端點加密防護。
(二)辦理個人授信業務應採用第七條第一款至第七款之任一款安全
設計,但辦理下列業務,應遵循下列要求:
1.辦理本行個人新戶(含借款人及保證人)同意金融機構查詢
聯徵中心信用資料(申請階段),應採用第七條第一款憑證
簽章之安全設計,但如為他行既有非數位存款客戶,得採用
下列任一方式之安全設計:
(1)採用第七條第一款憑證簽章之安全設計。
(2)採用第七條第五款視訊會議之安全設計,上傳身分證影像
檔,並搭配第七條第二款非數位存款帳戶晶片金融卡進行
身分確認。
(3)採用第七條第八款存款帳戶之安全設計並上傳身分證影像
檔,其中採用無卡方式核驗以簡訊或推播方式發送一次性
密碼者,應依據客戶本人留存於非數位存款帳戶銀行的手
機號碼進行發送。
(4)採用第七條第十款電信認證之安全設計,上傳身分證影像
檔,並搭配第七條第五款視訊會議或第八款存款帳戶之財
金公司之「跨行金融帳戶資訊核驗」進行身分確認,並視
風險評估決定是否強化控管措施(如:確認門號使用電信
業者服務已超過半年且近 6個月內繳款正常並沒有停話紀
錄等)。
2.辦理本行個人既有數位存款帳戶之貸款契約成立,簽約對保
方式應採用下列任一方式之安全設計:
(1)本行既有第一類適用高風險交易之數位存款帳戶或第二類
數位存款帳戶者,應採用第七條第一款至第七款之任一款
安全設計方式辦理簽約對保。
(2)本行既有第一類適用低風險交易之數位存款帳戶,辦理簽
約對保應採用下列任一方式之安全設計:
甲、採用第七條第一款之硬體憑證簽章辦理簽約對保。
乙、採用第七條第八款存款帳戶之財金公司「跨行金融帳
戶資訊核驗」,並搭配第七條第六款知識詢問或上傳
身分證影像檔之安全設計機制辦理簽約對保者,得將
款項撥入本人非數位存款帳戶。
丙、採用第七條第四款包含生物特徵之「兩項以上技術」
搭配第九條第一款第一目第三子目軟體C3憑證簽章或
第七條第六款知識詢問辦理簽約對保,得將款項撥入
本人存款帳戶,並視貸款金額大小、貸款撥入帳戶為
實體或數位帳戶等風險評估因素,決定是否強化控管
措施(如:增加視訊會議或其他安全設計)。
(3)本行既有第三類數位存款帳戶,辦理簽約對保應採用下列
任一方式之安全設計:
甲、採用第七條第一款之硬體憑證簽章安全設計。
乙、採用第七條第五款視訊會議辦理簽約對保者,限將款
項撥入本人非數位存款帳戶。
丙、採用第七條第八款存款帳戶之財金公司「跨行金融帳
戶資訊核驗」,並搭配第七條第六款知識詢問或上傳
身分證影像檔之安全設計機制辦理簽約對保者,得將
款項撥入本人非數位存款帳戶。
丁、採用第七條第四款包含生物特徵之「兩項以上技術」
搭配第九條第一款第一目第三子目軟體C3憑證簽章或
第七條第六款知識詢問辦理簽約對保,得將款項撥入
本人存款帳戶,並視貸款金額大小、貸款撥入帳戶為
實體或數位帳戶等風險評估因素,決定是否強化控管
措施(如:增加視訊會議或其他安全設計)
(4)本行既有第三類數位存款帳戶,經確認資金使用於特定目
的用途且借款人同意貸款款項直接撥入第三方公司之實體
帳戶者,如採第七條第四款包含生物特徵之「兩項以上技
術」及第七條第一款硬體憑證簽章辦理簽約對保者,得將
款項撥入他行第三方公司之實體帳戶。
3.辦理本行個人既有信用卡客戶之貸款契約成立,簽約對保方
式應採用下列任一方式之安全設計:
(1)採用第七條第一款憑證簽章及第七條第五款視訊會議。
(2)採用第七條第三款一次性密碼,得將款項撥入本人非數位
存款帳戶、第一類適用高風險交易之數位存款帳戶或第二
類數位存款帳戶。
(3)採用第七條第三款一次性密碼及第七條第五款視訊會議,
得將款項撥入本人第一類適用低風險交易之數位存款帳戶
及第三類數位存款帳戶。
(4)採用第七條第四款包含生物特徵之「兩項以上技術」,得
將款項撥入本人非數位存款帳戶、第一類適用高風險交易
之數位存款帳戶或第二類數位存款帳戶。
(5)採用第七條第四款包含生物特徵之「兩項以上技術」搭配
第九條第一款第一目第三子目軟體C3憑證簽章或第七條第
六款知識詢問辦理簽約對保,得將款項撥入本人存款帳戶
,並視貸款金額大小、貸款撥入帳戶為實體或數位帳戶等
風險評估因素,決定是否強化控管措施(如:增加視訊會
議或其他安全設計)。
(6)依「長期使用循環信用持卡人轉換機制」申辦信用貸款方
案者,採用第七條第一款至第七款之任一款安全設計。
4.辦理本行個人新戶之貸款契約或保證人保證契約成立,簽約
對保方式應採用下列任一方式之安全設計:
(1)採用第七條第一款硬體憑證簽章之安全設計,得將款項撥
入本人存款帳戶。
(2)採用第七條第八款存款帳戶之安全設計並上傳身分證影像
檔,其中採用無卡方式核驗以簡訊或推播方式發送一次性
密碼者,應依據客戶本人留存於非數位存款帳戶銀行的手
機號碼進行發送,得將款項撥入本人存款帳戶。
(3)採用第七條第十款電信認證之安全設計者,上傳身分證影
像檔,且限將款項撥入本人非數位存款帳戶,並視風險評
估決定是否強化控管措施(如:確認門號使用電信業者服
務已超過半年且近 6個月內繳款正常並沒有停話紀錄、人
工照會)。
5.辦理「個人貸款」及「房貸及車貸原抵押權擔保範圍內」之
增貸,對原保證人增貸保證契約成立,簽約對保方式應採用
第七條第一款至第五款之任一款安全設計。
6.辦理個人購屋貸款依「個人購屋貸款定型化契約應記載事項
」第十三條及個人購車貸款依「個人購車貸款定型化契約應
記載事項」第十二條(擔保物權連結條款)借款人或第三人
提供擔保物設定抵押權予金融機構時,該抵押權擔保範圍僅
限本貸款契約之債務,借款人因未來需求,需經擔保物提供
人另以書面同意時,應採用第七條第一款硬體憑證簽章之安
全設計。
(三)辦理法人授信業務應遵循下列要求:
1.辦理本行既有法人客戶及法人新戶同意金融機構查詢聯徵中
心信用資料,應採用下列安全設計機制:
(1)採用第七條第一款硬體憑證簽章之安全設計。
(2)法人戶之負責人或保證人或依信保基金規定應查詢之關係
人(如配偶)同意金融機構查詢聯徵中心信用資料之安全
設計,應比照個人授信案件有關本行新戶同意金融機構查
詢聯徵中心信用資料之安全設計。
2.辦理本行既有法人客戶之貸款契約成立,簽約對保方式應採
用下列任一方式之安全設計:
(1)採用第七條第一款硬體憑證簽章之安全設計。
(2)透過本行法人戶申請平台驗證檢核既有客戶事先以授權書
方式授權原留存印鑑之安全設計。上述檢核流程應透過公
司負責人進行線上身分驗證後傳送印鑑,公司負責人身分
驗證須依第八條第三款第二目第一子目個人貸款身分確認
機制,相關檢核及驗證軌跡、紀錄等應比照第九條第七款
規定辦理。
3.辦理 3位以下本國籍自然人股東之法人新戶(不包括有法人
股東之公司)之貸款契約成立,簽約對保方式應採用第七條
第一款硬體憑證簽章之安全設計。
4.辦理法人戶之負責人或保證人契約成立之簽約對保方式,應
採用下列任一方式之安全設計:
(1)採用第七條第一款硬體憑證簽章之安全設計。
(2)採用第七條第五款視訊會議,並搭配第七條第八款存款帳
戶之財金公司「跨行金融帳戶資訊核驗」。
5.法人戶徵授信相關文件之上傳,應採用法人戶及其負責人貸
款契約成立之安全設計機制。
(四)信用卡業務除辦理新戶申辦信用卡業務應採用第七條第一款、
第八款、第九款或第十款之任一款安全設計,其中採用第十款
電信認證者,應視風險評估決定是否強化控管措施(如:確認
門號使用電信業者服務已超過半年且近 6個月內繳款正常並沒
有停話紀錄、人工照會);辦理其他信用卡業務應採用第七條
第一款至第七款之任一款安全設計。
(五)辦理財富管理業務應採用第七條第一款至第七款之任一款安全
設計,但本基準另有限制者,從其規定。
(六)辦理信託業務應採用第七條第一款至第七款之任一款安全設計
,但本基準另有限制者,從其規定。
四、首次辦理電子轉帳及交易指示類低風險交易之服務者應與資安、法遵
及風控等單位(以下簡稱二道防線)建立各部門間之連繫機制、確認
相關作業符合本基準及相關定型化契約等相關法令規定,留存驗證軌
跡及建立各部門建議事項追蹤控管機制後,若合規即可開辦,並於開
辦後六個月內重新檢視並作成報告交由二道防線確認。內部稽核單位
應依據交易量與金額等評估新種業務之風險,排定內部稽核計畫辦理
查核,並對評估風險偏高者適時辦理專案查核,以落實內部控制三道
防線之運作;惟經主管機關核准採行風險導向內部稽核制度之金融機
構,其內部稽核單位應將新種業務納入年度風險評估範圍,並就風險
評估結果為高風險者列入次年度查核項目。
五、金融機構委由第三方辦理第七條第二款至第七款介面安全設計者僅限
應用於「非電子轉帳及交易指示類」或「電子轉帳及交易指示類」之
低風險交易,其驗證方式應符合上述安全規定並得與第三方以契約約
定雙方權利義務關係及賠償責任。
相關判解 (0) 歷史條次 (0)
|