https://www.ithome.com.tw/news/148324
金融FIDO最後決定用晶片金融卡綁定,金管會正輔導7組金融機構準備試辦
金融行動身分識別標準化機制(金融FIDO)有最新進展,金融行動身分識別聯盟
已決定採用晶片金融卡作為開通金融FIDO的卡片。在開發上,將先採取分散式開
發手機身分識別App,比如,金控旗下若有金融子公司,可自行建立金融FIDO自
有體系,由金控設計同一款金融服務App,來讓旗下子公司共用。目前,金管會
正在輔導7組金融機構準備FIDO的試辦案件。
文/李靜宜 | 2021-12-10發表
https://i.imgur.com/lxH8aWO.png
(示意圖,圖片來源/FIDO Alliance)
由金管會協力聯徵中心、財金公司,多家金控、銀行、保險公司、證券商及期貨
商等,在今年5月初成立的「金融行動身分識別聯盟」,已有逾120家金融機構加
入。日前,金管會綜合規劃處處長胡則華揭露了金融行動身分識別標準化機制(
以下簡稱金融FIDO)最新進展,已確定採用晶片金融卡,作為消費者開通金融
FIDO的卡片,甚至,金管會正輔導7組金融機構準備FIDO的試辦案件。
金融FIDO規畫透過導入國際FIDO標準,先讓消費者透過實體卡片來綁定行動裝置
、生物特徵。未來,消費者在使用金融服務時,就能使用綁定的裝置、生物特徵
進行身分識別,不用再透過實體卡片或者帳號密碼來登入。金融FIDO機制有2大
好處,對消費者來說,不需再用帳號密碼來驗證,可提高使用的便利性及安全性
。而對金融機構而言,則可減少向顧客重複驗證身分的作業。
金融FIDO機制分工上,由聯徵中心擔任聯盟召集人,與聯盟成員研商整體FIDO功
能、管理機制、開發及運作方式等。胡則華表示,聯盟底下更設有3個委員會,
其中,技術委員會由財金公司負責,目前已完成技術規格標準規畫。業務委員會
則由中國信託金控擔任召集人,協助彙整金融業者有意支援FIDO的業務範圍,技
術開發需求以及彙整有興趣試辦金融FIDO的業者名單等。先完成技術標準與業務
面規定後,再由另一個負責安全控管的安控委員會,接手制訂後續規定。
至於消費者未來要使用何種實體卡片開通金融FIDO?胡則華透露,聯盟已決定採
用晶片金融卡作來開通。她解釋,聯盟成員涵蓋銀行、保險、證券3大業種,晶
片金融卡是獲得最多成員支持的作法,主要有3項考量,一是消費者持有晶片金
融卡的比率較高,而且幾乎都經過實體臨櫃的身分核驗,安全性較信用卡來得高
。
第二項原因是,臺灣ATM機臺或便利超商的Kiosk多媒體事務機相當多,消費者開
通綁定方便。第三項原因是,在銀行端的電子銀行安控基準中,晶片金融卡可用
的業務項目較多,因此較為符合金融業者的期待。
不過,胡則華表示,第一階段,僅開放臨櫃實體身分核驗後取得的晶片金融卡,
作為綁定之用,來確保是客戶本人。因此,如純網銀發行的金融卡,因為非透過
實體臨櫃核身,就不適用第一階段的規範。
金融FIDO開發先採分散式作法,已有7組金融機構有意願建立金融FIDO自有體系
在FIDO平臺開發上,胡則華表示,有兩種作法,集中式或分散式。先前,金管會
曾提及,要採取集中式作法開發單一手機身分識別App,導入FIDO標準,來讓消
費者綁定實體卡片,以提供跨機構身分識別功能。
不過,胡則華坦言,集中式的作法仍有一大問題有待解決,若靠單一營運中心負
責營運管理,風險程度過高,在資安與個資保護上都需受到嚴格監管。目前,金
管會仍未找到相關機構願意擔任營運中心的角色,因此,金管會決定交由市場自
行發展,後續將召開聯盟大會,針對想採取集中式作法的金融機構,舉派有能力
擔任營運中心的管理者。
胡則華進一步提到,金融FIDO目前採取分散式開發,聯盟內部又稱之為自有體系
(簡稱自體系),意思是金控旗下若有金融子公司,可自行建立金融FIDO自體系
。她舉例,金控旗下有銀、保、證3種子公司,金控端可以設計一款金融服務App
,供旗下3家子公司共用,同時,也可共用最終端的FIDO伺服器。不過,聯盟也
規定,子公司各自的公私鑰的配對不能夠彼此交換,以確保同一金控底下銀保證
的資料不能互相對接。
甚至,胡則華表示,如果有其他金融機構,因無法負荷自行建置FIDO伺服器的成
本,也能加入已有一套自有體系的金融機構,但須遵循這個自有體系所訂定的相
關規格與設計。因此,「未來市場上將會有多個自體系。」她更透露,金管會正
在輔導7組金融機構準備的試辦案件,其中,大多是具備跨業種的金融機構有意
願進行試辦。至於何時向金管會申請金融FIDO試辦,胡則華表示,金管會將尊重
業者安排的時程。文⊙李靜宜
FIDO 的原則是經由經過認證的裝置來進行驗證,
驗證資料如PIN碼或指紋、臉部特徵等生物資料,
和加密用的私鑰等都只留在裝置上,
裝置和伺服器只會交換公鑰和加密訊息
伺服器不用儲存使用者密碼或個人資料,
從而避免資料外洩的問題
所以我一直不懂,國泰有了FIDO,
還另外開了一個門要求額外把人臉資料存在伺服器上
還宣稱更安全,這到底是什麼樣的操作。