https://www.ithome.com.tw/news/148324
金融FIDO最后决定用芯片金融卡绑定,金管会正辅导7组金融机构准备试办
金融行动身分识别标准化机制(金融FIDO)有最新进展,金融行动身分识别联盟
已决定采用芯片金融卡作为开通金融FIDO的卡片。在开发上,将先采取分布式开
发手机身分识别App,比如,金控旗下若有金融子公司,可自行建立金融FIDO自
有体系,由金控设计同一款金融服务App,来让旗下子公司共用。目前,金管会
正在辅导7组金融机构准备FIDO的试办案件。
文/李静宜 | 2021-12-10发表
https://i.imgur.com/lxH8aWO.png
(示意图,图片来源/FIDO Alliance)
由金管会协力联征中心、财金公司,多家金控、银行、保险公司、证券商及期货
商等,在今年5月初成立的“金融行动身分识别联盟”,已有逾120家金融机构加
入。日前,金管会综合规划处处长胡则华揭露了金融行动身分识别标准化机制(
以下简称金融FIDO)最新进展,已确定采用芯片金融卡,作为消费者开通金融
FIDO的卡片,甚至,金管会正辅导7组金融机构准备FIDO的试办案件。
金融FIDO规画透过导入国际FIDO标准,先让消费者透过实体卡片来绑定行动装置
、生物特征。未来,消费者在使用金融服务时,就能使用绑定的装置、生物特征
进行身分识别,不用再透过实体卡片或者帐号密码来登入。金融FIDO机制有2大
好处,对消费者来说,不需再用帐号密码来验证,可提高使用的便利性及安全性
。而对金融机构而言,则可减少向顾客重复验证身分的作业。
金融FIDO机制分工上,由联征中心担任联盟召集人,与联盟成员研商整体FIDO功
能、管理机制、开发及运作方式等。胡则华表示,联盟底下更设有3个委员会,
其中,技术委员会由财金公司负责,目前已完成技术规格标准规画。业务委员会
则由中国信托金控担任召集人,协助汇整金融业者有意支援FIDO的业务范围,技
术开发需求以及汇整有兴趣试办金融FIDO的业者名单等。先完成技术标准与业务
面规定后,再由另一个负责安全控管的安控委员会,接手制订后续规定。
至于消费者未来要使用何种实体卡片开通金融FIDO?胡则华透露,联盟已决定采
用芯片金融卡作来开通。她解释,联盟成员涵盖银行、保险、证券3大业种,晶
片金融卡是获得最多成员支持的作法,主要有3项考量,一是消费者持有芯片金
融卡的比率较高,而且几乎都经过实体临柜的身分核验,安全性较信用卡来得高
。
第二项原因是,台湾ATM机台或便利超商的Kiosk多媒体事务机相当多,消费者开
通绑定方便。第三项原因是,在银行端的电子银行安控基准中,芯片金融卡可用
的业务项目较多,因此较为符合金融业者的期待。
不过,胡则华表示,第一阶段,仅开放临柜实体身分核验后取得的芯片金融卡,
作为绑定之用,来确保是客户本人。因此,如纯网银发行的金融卡,因为非透过
实体临柜核身,就不适用第一阶段的规范。
金融FIDO开发先采分布式作法,已有7组金融机构有意愿建立金融FIDO自有体系
在FIDO平台开发上,胡则华表示,有两种作法,集中式或分布式。先前,金管会
曾提及,要采取集中式作法开发单一手机身分识别App,导入FIDO标准,来让消
费者绑定实体卡片,以提供跨机构身分识别功能。
不过,胡则华坦言,集中式的作法仍有一大问题有待解决,若靠单一营运中心负
责营运管理,风险程度过高,在资安与个资保护上都需受到严格监管。目前,金
管会仍未找到相关机构愿意担任营运中心的角色,因此,金管会决定交由市场自
行发展,后续将召开联盟大会,针对想采取集中式作法的金融机构,举派有能力
担任营运中心的管理者。
胡则华进一步提到,金融FIDO目前采取分布式开发,联盟内部又称之为自有体系
(简称自体系),意思是金控旗下若有金融子公司,可自行建立金融FIDO自体系
。她举例,金控旗下有银、保、证3种子公司,金控端可以设计一款金融服务App
,供旗下3家子公司共用,同时,也可共用最终端的FIDO服务器。不过,联盟也
规定,子公司各自的公私钥的配对不能够彼此交换,以确保同一金控底下银保证
的资料不能互相对接。
甚至,胡则华表示,如果有其他金融机构,因无法负荷自行建置FIDO服务器的成
本,也能加入已有一套自有体系的金融机构,但须遵循这个自有体系所订定的相
关规格与设计。因此,“未来市场上将会有多个自体系。”她更透露,金管会正
在辅导7组金融机构准备的试办案件,其中,大多是具备跨业种的金融机构有意
愿进行试办。至于何时向金管会申请金融FIDO试办,胡则华表示,金管会将尊重
业者安排的时程。文⊙李静宜
FIDO 的原则是经由经过认证的装置来进行验证,
验证资料如PIN码或指纹、脸部特征等生物资料,
和加密用的私钥等都只留在装置上,
装置和服务器只会交换公钥和加密讯息
服务器不用储存使用者密码或个人资料,
从而避免资料外泄的问题
所以我一直不懂,国泰有了FIDO,
还另外开了一个门要求额外把人脸资料存在服务器上
还宣称更安全,这到底是什么样的操作。