法規資訊圖示

中央現行法規
法規類 行政/金融監督管理委員會/證券期貨
名  稱: 中華民國期貨業商業同業公會「新興科技資訊安全自律規範」
制(訂)定時間: 中華民國106年1月4日
沿 革: 中華民國109年11月27日中華民國期貨業商業同業公會中期商字第1090004886號函修正發布第六條條文;增訂第六條附錄(中華民國109年11月25日金融監督管理委員會金管證期字第1090136261號函同意備查)(中華民國109年4月17日中華民國期貨業商業同業公會第6屆理監事第五次聯席會決議通過)
修正內容
[修正]
第六條(行動裝置安全控管)
期貨業應訂定行動裝置相關資訊安全規範,其內容包含下列項目:
一、公司提供之行動裝置設備之管理。
二、員工自攜行動裝置之管理。
三、行動應用程式安全事項:
    (一)行動應用程式發布:
          1.行動應用程式應於可信任來源之行動應用程式商店或網站發布,且應於發布時
            說明欲存取之敏感性資料、行動裝置資源及宣告之權限用途。
          2.應於官網上提供行動應用程式之名稱、版本與下載位置。
          3.應建立偽冒行動應用程式偵測機制,以維護客戶權益。
          4.應於發布前檢視行動應用程式所需權限應與提供服務相當,首次發布或權限變
            動應經資安單位或人員、法遵單位同意,並留有紀錄,以利綜合評估是否符合
            個人資料保護法之告知義務。
    (二)敏感性資料保護:
          1.行動應用程式傳送及儲存敏感性資料時應透過有效憑證、雜湊(Hash)或加密
            等機制以確保資料傳送及儲存安全,並於使用時應進行適當去識別化,相關存
            取日誌應予以保護以防止未經授權存取。
          2.啟動行動應用程式時,如偵測行動裝置疑似遭破解(如root、 jailbreak、US
            Bdebugging等),應提示使用者注意風險。
    (三)行動應用程式檢測:
          1.涉及投資人使用之行動應用程式於初次上架前及每年應委由經財團法人全國認
            證基金會( TAF)認證合格之第三方檢測實驗室進行並完成通過資安檢測,檢
            測範圍以經濟部工業局委託執行單位「行動應用資安聯盟」公布之行動應用程
            式基本資安檢測基準項目進行檢測。
          2.如通過實驗室檢測後一年內有更新上架之需要,應於每次上架前就重大更新項
            目進行委外或自行檢測;所謂重大更新項目為與「下單交易」、「帳務查詢」
            、「身份辨識」及「客戶權益有重大相關項目」有關之功能異動。檢測範圍以
            OWASP MOBILE TOP10之標準為依據,並留存相關檢測紀錄。
          3.公司對第三方檢測實驗室所提交之檢測報告,應依附錄所列檢測項目建立覆核
            機制,以確保檢測項目及內容一致,並留存覆核紀錄。
[附表]
附錄-檢測實驗室 APP 檢測報告自我檢核表參考範例