[新聞] 金融FIDO最後決定用晶片金融卡綁定,金管會正輔導7組金

銀行服務

731

https://www.ithome.com.tw/news/148324
金融FIDO最後決定用晶片金融卡綁定,金管會正輔導7組金融機構準備試辦

金融行動身分識別標準化機制(金融FIDO)有最新進展,金融行動身分識別聯盟
已決定採用晶片金融卡作為開通金融FIDO的卡片。在開發上,將先採取分散式開
發手機身分識別App,比如,金控旗下若有金融子公司,可自行建立金融FIDO自
有體系,由金控設計同一款金融服務App,來讓旗下子公司共用。目前,金管會
正在輔導7組金融機構準備FIDO的試辦案件。

文/李靜宜 | 2021-12-10發表

https://i.imgur.com/lxH8aWO.png

(示意圖,圖片來源/FIDO Alliance)

由金管會協力聯徵中心、財金公司,多家金控、銀行、保險公司、證券商及期貨
商等,在今年5月初成立的「金融行動身分識別聯盟」,已有逾120家金融機構加
入。日前,金管會綜合規劃處處長胡則華揭露了金融行動身分識別標準化機制(
以下簡稱金融FIDO)最新進展,已確定採用晶片金融卡,作為消費者開通金融
FIDO的卡片,甚至,金管會正輔導7組金融機構準備FIDO的試辦案件。

金融FIDO規畫透過導入國際FIDO標準,先讓消費者透過實體卡片來綁定行動裝置
、生物特徵。未來,消費者在使用金融服務時,就能使用綁定的裝置、生物特徵
進行身分識別,不用再透過實體卡片或者帳號密碼來登入。金融FIDO機制有2大
好處,對消費者來說,不需再用帳號密碼來驗證,可提高使用的便利性及安全性
。而對金融機構而言,則可減少向顧客重複驗證身分的作業。

金融FIDO機制分工上,由聯徵中心擔任聯盟召集人,與聯盟成員研商整體FIDO功
能、管理機制、開發及運作方式等。胡則華表示,聯盟底下更設有3個委員會,
其中,技術委員會由財金公司負責,目前已完成技術規格標準規畫。業務委員會
則由中國信託金控擔任召集人,協助彙整金融業者有意支援FIDO的業務範圍,技
術開發需求以及彙整有興趣試辦金融FIDO的業者名單等。先完成技術標準與業務
面規定後,再由另一個負責安全控管的安控委員會,接手制訂後續規定。

至於消費者未來要使用何種實體卡片開通金融FIDO?胡則華透露,聯盟已決定採
用晶片金融卡作來開通。她解釋,聯盟成員涵蓋銀行、保險、證券3大業種,晶
片金融卡是獲得最多成員支持的作法,主要有3項考量,一是消費者持有晶片金
融卡的比率較高,而且幾乎都經過實體臨櫃的身分核驗,安全性較信用卡來得高


第二項原因是,臺灣ATM機臺或便利超商的Kiosk多媒體事務機相當多,消費者開
通綁定方便。第三項原因是,在銀行端的電子銀行安控基準中,晶片金融卡可用
的業務項目較多,因此較為符合金融業者的期待。

不過,胡則華表示,第一階段,僅開放臨櫃實體身分核驗後取得的晶片金融卡,
作為綁定之用,來確保是客戶本人。因此,如純網銀發行的金融卡,因為非透過
實體臨櫃核身,就不適用第一階段的規範。

金融FIDO開發先採分散式作法,已有7組金融機構有意願建立金融FIDO自有體系
在FIDO平臺開發上,胡則華表示,有兩種作法,集中式或分散式。先前,金管會
曾提及,要採取集中式作法開發單一手機身分識別App,導入FIDO標準,來讓消
費者綁定實體卡片,以提供跨機構身分識別功能。

不過,胡則華坦言,集中式的作法仍有一大問題有待解決,若靠單一營運中心負
責營運管理,風險程度過高,在資安與個資保護上都需受到嚴格監管。目前,金
管會仍未找到相關機構願意擔任營運中心的角色,因此,金管會決定交由市場自
行發展,後續將召開聯盟大會,針對想採取集中式作法的金融機構,舉派有能力
擔任營運中心的管理者。

胡則華進一步提到,金融FIDO目前採取分散式開發,聯盟內部又稱之為自有體系
(簡稱自體系),意思是金控旗下若有金融子公司,可自行建立金融FIDO自體系
。她舉例,金控旗下有銀、保、證3種子公司,金控端可以設計一款金融服務App
,供旗下3家子公司共用,同時,也可共用最終端的FIDO伺服器。不過,聯盟也
規定,子公司各自的公私鑰的配對不能夠彼此交換,以確保同一金控底下銀保證
的資料不能互相對接。

甚至,胡則華表示,如果有其他金融機構,因無法負荷自行建置FIDO伺服器的成
本,也能加入已有一套自有體系的金融機構,但須遵循這個自有體系所訂定的相
關規格與設計。因此,「未來市場上將會有多個自體系。」她更透露,金管會正
在輔導7組金融機構準備的試辦案件,其中,大多是具備跨業種的金融機構有意
願進行試辦。至於何時向金管會申請金融FIDO試辦,胡則華表示,金管會將尊重
業者安排的時程。文⊙李靜宜


FIDO 的原則是經由經過認證的裝置來進行驗證,
驗證資料如PIN碼或指紋、臉部特徵等生物資料,
和加密用的私鑰等都只留在裝置上,
裝置和伺服器只會交換公鑰和加密訊息
伺服器不用儲存使用者密碼或個人資料,
從而避免資料外洩的問題

所以我一直不懂,國泰有了FIDO,
還另外開了一個門要求額外把人臉資料存在伺服器上
還宣稱更安全,這到底是什麼樣的操作。

--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.34.110.137 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Bank_Service/M.1639328456.A.F3B.html
yzfr61樓看到標題,讓偶想起青少年時期的一個廣告角色 12/13 05:03
kobebbs2樓Fido Dido 12/13 09:59
temu20153樓怎麼不直接用自然人憑證就好 12/13 10:05
justaID4樓普及度問題吧,有帳戶而且用行動裝置的人的人應該超過9 12/13 10:34
justaID5樓成有金融卡(有的人故意不拿),但不一定有自然人憑證 12/13 10:34
Kazamatsuri6樓未來(?)有數位身份證 所以應該就不考慮自然人了吧? 12/13 14:01
tonyian7樓又把純網銀排除了? 12/13 15:17
Keade03258樓fido2 讓web也支援指紋驗證算是比較有用的功能 12/13 22:18