iT邦幫忙

第 12 屆 iT 邦幫忙鐵人賽

DAY 8
0
Security

看完眼眶濕濕的App開發者慘烈對抗險惡資安環境血與淚的控訴!系列 第 8

Day 08. 資安檢測 (III) 4.1.3.交易資源控管安全

這個章節內所有的相簿都是針對 L3 含交易的App 檢測項目,主要針對交易的安全控管

4.1.3.檢測項目總覽

  • 4.1.3.1.交易資源使用 (2項)
  • 4.1.3.2.交易資源控管 (2項)

必要檢測

4.1.3.1.1 行動應用程式交易資源使用聲明

動應用程式內於交易時,是否主動通知使用者,且資訊至 少包含交易資源名稱、金額及交易方式

App 應於使用交易資源時主動通知使用者,需要讓使用者確認交易對象,金額金額移轉時間

使用者確認後,才能進行付款

4.1.3.1.2 行動應用程式拒絕交易資源使用機制

行動應用程式內於交易時,是否提供使用者拒絕交易之 選項

使用者可以隨時拒絕或取消此次交易

4.1.3.2.1 行動應用程式交易資源使用者身分鑑別

行動應用程式於交易時,是否提供身分鑑別機制

交易前,必須有經過任何使用者認證的機制,帳號登入 / SSO 等

但若提供更好的支付安全的環境,建議在交易前輸入一組交易密碼/生物特徵等進行認證,這是現今常見處理方式

4.1.3.2.2 行動應用程式交易資源紀錄

行動應用程式於交易後,是否提供查詢交易資源交易紀錄之管道,且交易資源交易紀錄至少包含交易資源名稱、交易時間及交易金額之記錄

必須讓使用者查看,交易詳細內容的資料

參考項目

此章節都為必須檢測項目,無參考項目

小知識

4.1.3.1.1 提到要在交易前進行確認,但有幾個狀況下是特例

情境為出示出示付款條碼或載具(QRCode/悠遊卡/一卡通)使用末端裝置(超商Pos機/扣款裝置)進行支付

電子支付和電子票証是『線下交易』時有不同的專法在控管,此項安控法則高於資安檢測法規;已電子支付專法或電子票証安控法為主

以電子支付專法為例,擷取部分相關法條給大家參考

電子支付專法

第十條 電子支付平臺之設計原則,應符合下列要求:

一、網際網路應用系統設計要求:

(一)載具密碼不應於網際網路上傳輸,機敏資料於網際網路傳輸時應全程加密。

(五)應設計於使用者進行身分確認與交易機制時,須採用一次性亂數或時間戳記,以防止重送攻擊。

二、實體通路支付服務程式設計要求:

(二)電子支付機構辦理款項間移轉或支付實質交易款項時,如將支付指示記錄於圖片、條碼或檔案,應經使用者確認

四、行動裝置應用程式設計要求:

(七)行動裝置應用程式設計要求應符合中華民國銀行商業同業公會全國聯合會(以下簡稱銀行公會)所訂定之行動裝置應用程式相關自律規範。

六、採用條碼掃描技術之設計要求,應符合銀行公會所訂定之條碼掃描應用安全相關自律規範。但本條例及本條例授權訂定之命令另有規定者,依其規定。


上一篇
Day 07. 資安檢測 (II) 4.1.2 安全敏感性資料保護
下一篇
Day 09. 資安檢測 (IV) 4.1.4.行動應用程式使用者身分鑑別、授權與連線管理安全
系列文
看完眼眶濕濕的App開發者慘烈對抗險惡資安環境血與淚的控訴!31

尚未有邦友留言

立即登入留言