54      2025        TAIWAN  SECURITIES  ASSOCIATION










               一、 單一的身分驗證工具                                    伍、 迎向未來：以風險導向為核心的
                                                                     現代化驗證框架

                   這個類別是最常見的，包括自然人憑證、
               金融帳戶資訊核驗、視訊會議 ( 人對人 )、晶                              面對日益複雜的攻擊樣態與使用者需求，
               片金融卡、交割銀行帳戶、金融 Fast ID、專                        單一、靜態的驗證工具已難以應對。業者應建

               人電話、OTP 等。這些驗證工具經過二階段                           立一套整合性的「現代化身分驗證框架」，此
               等級評估後，都會有身分登錄及信物管理階段                            框架不再是提供一體適用的安全水平，而是以
               的個別等級以及初始評估的整體信賴等級。                             智慧化的「風險導向」策略為絕對核心。

                                                                    此一思維的轉變，也呼應了監理方式的演
               二、 組合型的身分驗證工具的組合                                進。鑑於證期產業的交易活動對金融市場有著

                                                               舉足輕重的影響，主管機關過往的監理方式多
                   為了增加身分驗證的嚴謹性，證券商會搭                          採「規則基礎」(Rule-Based) 的逐條規範。快
               配數種身分驗證工具要求客戶使用。例如前年                            速迭代的金融科技與多變的業務樣態，此種模

               底發生了撞庫事件後，主管機關要求證券商在                            式的固定性，往往導致業者與主管機關為了新
               客戶登入時除了原本的帳號密碼，必須加上第                            業務或新技術，必須頻繁地進行法規解釋或修

               二因子，不少券商便導入了憑證作為第二因                             訂。在去年由券商公會及期貨公會共同委託的
               子。客戶在登入時，除了確認帳號密碼外，也                            研究案中，便有眾多業者反映此為實務上的一
               必須檢查在使用裝置上已安裝憑證。                                大痛點。

                   此外，針對風險程度最高的新開戶，除了                               為此，業界與主管機關正積極轉向更具彈
               身分驗證工具外，目前也必須經過多道因子的                            性的「原則基礎」(Principle-Based) 監理思維。
               檢核才能完成開戶程序，包括客戶需上傳身分                            在我們已參考國際標準，建立了一套值得信賴

               資料經人工審查，並且證券商還需至票交所、                            的身分驗證框架。下一個關鍵步驟，便是著手
               證交所進行客戶交易記錄的 KYC 查核等動作                          建構一套能夠對應真實業務場景的「業務風險
               才算完成開戶。                                         等級 (Level of Risk, LoR)」評估框架，以此作

                                                               為落實風險導向策略的實踐藍圖。
               三、 新型態的身分驗證工具

                                                               一、 業務風險評估的原則
                   由於技術持續推陳出新，加上偽造身分的
               手法不斷演進，新型態的身分驗證工具可依前                                 本次業務風險評估的核心原則，是導入國

               述原則性之二階段架構，分別評估「身分登錄」                           際標準 ISO 31000 的風險矩陣 (Risk Matrix)
               與「信物管理」兩個階段的等級，並以其中較                            方法論。此矩陣的獨特之處在於，它整合了由

               低者作為初始信賴等級之訂定基準。若對等級                            業者評估的「作業層面影響」與由主管機關評
               訂定有所疑慮，建議可由主管機關召開專家會                            估的「失效風險」兩個維度，共同決定最終的
               議，進行研商後再行決定。                                    業務風險等級 (Level of Risk, LoR)。