作者prussian (prussian)
看板Bank_Service
标题[新闻] 金融FIDO最後决定用晶片金融卡绑定,金管会正辅导7组金
时间Mon Dec 13 01:00:54 2021
https://www.ithome.com.tw/news/148324
金融FIDO最後决定用晶片金融卡绑定,金管会正辅导7组金融机构准备试办
金融行动身分识别标准化机制(金融FIDO)有最新进展,金融行动身分识别联盟
已决定采用晶片金融卡作为开通金融FIDO的卡片。在开发上,将先采取分散式开
发手机身分识别App,比如,金控旗下若有金融子公司,可自行建立金融FIDO自
有体系,由金控设计同一款金融服务App,来让旗下子公司共用。目前,金管会
正在辅导7组金融机构准备FIDO的试办案件。
文/李静宜 | 2021-12-10发表
https://i.imgur.com/lxH8aWO.png
(示意图,图片来源/FIDO Alliance)
由金管会协力联徵中心、财金公司,多家金控、银行、保险公司、证券商及期货
商等,在今年5月初成立的「金融行动身分识别联盟」,已有逾120家金融机构加
入。日前,金管会综合规划处处长胡则华揭露了金融行动身分识别标准化机制(
以下简称金融FIDO)最新进展,已确定采用晶片金融卡,作为消费者开通金融
FIDO的卡片,甚至,金管会正辅导7组金融机构准备FIDO的试办案件。
金融FIDO规画透过导入国际FIDO标准,先让消费者透过实体卡片来绑定行动装置
、生物特徵。未来,消费者在使用金融服务时,就能使用绑定的装置、生物特徵
进行身分识别,不用再透过实体卡片或者帐号密码来登入。金融FIDO机制有2大
好处,对消费者来说,不需再用帐号密码来验证,可提高使用的便利性及安全性
。而对金融机构而言,则可减少向顾客重复验证身分的作业。
金融FIDO机制分工上,由联徵中心担任联盟召集人,与联盟成员研商整体FIDO功
能、管理机制、开发及运作方式等。胡则华表示,联盟底下更设有3个委员会,
其中,技术委员会由财金公司负责,目前已完成技术规格标准规画。业务委员会
则由中国信托金控担任召集人,协助汇整金融业者有意支援FIDO的业务范围,技
术开发需求以及汇整有兴趣试办金融FIDO的业者名单等。先完成技术标准与业务
面规定後,再由另一个负责安全控管的安控委员会,接手制订後续规定。
至於消费者未来要使用何种实体卡片开通金融FIDO?胡则华透露,联盟已决定采
用晶片金融卡作来开通。她解释,联盟成员涵盖银行、保险、证券3大业种,晶
片金融卡是获得最多成员支持的作法,主要有3项考量,一是消费者持有晶片金
融卡的比率较高,而且几乎都经过实体临柜的身分核验,安全性较信用卡来得高
。
第二项原因是,台湾ATM机台或便利超商的Kiosk多媒体事务机相当多,消费者开
通绑定方便。第三项原因是,在银行端的电子银行安控基准中,晶片金融卡可用
的业务项目较多,因此较为符合金融业者的期待。
不过,胡则华表示,第一阶段,仅开放临柜实体身分核验後取得的晶片金融卡,
作为绑定之用,来确保是客户本人。因此,如纯网银发行的金融卡,因为非透过
实体临柜核身,就不适用第一阶段的规范。
金融FIDO开发先采分散式作法,已有7组金融机构有意愿建立金融FIDO自有体系
在FIDO平台开发上,胡则华表示,有两种作法,集中式或分散式。先前,金管会
曾提及,要采取集中式作法开发单一手机身分识别App,导入FIDO标准,来让消
费者绑定实体卡片,以提供跨机构身分识别功能。
不过,胡则华坦言,集中式的作法仍有一大问题有待解决,若靠单一营运中心负
责营运管理,风险程度过高,在资安与个资保护上都需受到严格监管。目前,金
管会仍未找到相关机构愿意担任营运中心的角色,因此,金管会决定交由市场自
行发展,後续将召开联盟大会,针对想采取集中式作法的金融机构,举派有能力
担任营运中心的管理者。
胡则华进一步提到,金融FIDO目前采取分散式开发,联盟内部又称之为自有体系
(简称自体系),意思是金控旗下若有金融子公司,可自行建立金融FIDO自体系
。她举例,金控旗下有银、保、证3种子公司,金控端可以设计一款金融服务App
,供旗下3家子公司共用,同时,也可共用最终端的FIDO伺服器。不过,联盟也
规定,子公司各自的公私钥的配对不能够彼此交换,以确保同一金控底下银保证
的资料不能互相对接。
甚至,胡则华表示,如果有其他金融机构,因无法负荷自行建置FIDO伺服器的成
本,也能加入已有一套自有体系的金融机构,但须遵循这个自有体系所订定的相
关规格与设计。因此,「未来市场上将会有多个自体系。」她更透露,金管会正
在辅导7组金融机构准备的试办案件,其中,大多是具备跨业种的金融机构有意
愿进行试办。至於何时向金管会申请金融FIDO试办,胡则华表示,金管会将尊重
业者安排的时程。文⊙李静宜
FIDO 的原则是经由经过认证的装置来进行验证,
验证资料如PIN码或指纹、脸部特徵等生物资料,
和加密用的私钥等都只留在装置上,
装置和伺服器只会交换公钥和加密讯息
伺服器不用储存使用者密码或个人资料,
从而避免资料外泄的问题
所以我一直不懂,国泰有了FIDO,
还另外开了一个门要求额外把人脸资料存在伺服器上
还宣称更安全,这到底是什麽样的操作。
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 1.34.110.137 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Bank_Service/M.1639328456.A.F3B.html
1F:推 yzfr6: 看到标题,让偶想起青少年时期的一个广告角色 12/13 05:03
2F:推 kobebbs: Fido Dido 12/13 09:59
3F:→ temu2015: 怎麽不直接用自然人凭证就好 12/13 10:05
4F:推 justaID: 普及度问题吧,有帐户而且用行动装置的人的人应该超过9 12/13 10:34
5F:→ justaID: 成有金融卡(有的人故意不拿),但不一定有自然人凭证 12/13 10:34
6F:→ Kazamatsuri: 未来(?)有数位身份证 所以应该就不考虑自然人了吧? 12/13 14:01
7F:嘘 tonyian: 又把纯网银排除了? 12/13 15:17
8F:→ Keade0325: fido2 让web也支援指纹验证算是比较有用的功能 12/13 22:18