我需要怎样做?
厘订要求
每个「保证等级」的基本要求(注册和认证)详情如下:
| 注册要求 | 认证要求 | |
|---|---|---|
 |
此「保证等级」并无身份证明或设置注册资料记录的要求。使用者的身份声明可毋须经过核实便获得接纳。 | 第1等级虽无特定的注册要求,但认证机制应提供若干保证,以确定同一使用者正接达服务、交易或数据。 可供配备作第1等级的认证技术也有不少,包括使用简易的个人辨认号码或密码。 |
 |
对于风险相对较低的日常业务交易,此「保证等级」已能提供足够保证。在许多情况下,注册程序可透过联机而毋须亲身进行。 程序确保申请人的基本身份资料得到检查及核实。身份资料最低限度应包括全名及其它可核实资料,用以证实该申请人的身份。注册资料的记录亦应置存。 |
第2等级的保证依赖安全认证规约,以确立使用者「控制」权标的证据。 可供使用于加密网络连接对话的认证技术也有不少,例如使用管理密码权标(受密码政策规限)。应实施像「加密」和「密码政策」等的措施,以免受到偷听者、中继及密码猜测的攻击。 |
 |
申请人需要经过核实实质的身份证明,包括在某些情况下申请人须亲身出示身份证明以完成注册程序。除了该身份需确实存在之外,通常还需要提供至少有效及通用的一些凭证或文件以作身份确认。 需要核实的身份资料最低限度应包括全名、出生日期、目前住址和身份证明文件(例如护照或香港身份证)的识别号码。应置存的记录包括经过核实的资料、已采取的步骤和过程中已审查文件的副本。 |
在此「保证等级」,保证是建基于「拥有」认证权标(硬件或软件加密权标)的证据。 可考虑的认证方法包括数码证书或限用一次密码。也应采取措施免受偷听者、中继、密码猜测及核实模仿者的攻击。 |
 |
除申请人必须亲身出示资料以完成注册程序外,此「保证等级」的要求与第3等级相若。除了该身份需确实存在之外,通常还需要提供至少有效及通用的一些凭证或文件以作身份确认。 需要核实的身份资料最低限度应包括全名、出生日期、目前住址和身份证明文件(例如护照或香港身份证)的识别号码。应置存的记录包括经过核实的资料、已采取的步骤和过程中已审查文件的副本。 |
第4等级的认证是建基于透过加密规约「拥有」密码匙的证据。除需要「硬件权标」外,第4等级的认证与第3等级相若。 「硬件权标」应采用经国际标准核证的硬件加密模块,不能轻易复制,而且必须用密码或生物测定学才能解锁。借着采用「硬件权标」,此「保证等级」可确保有良好的远程双重认证。 凭证必须在限定的时间内有效,而凭证的撤回状况必须于交易时检查。除第3等级的保护措施外,系统应在设计上能防止未授权者接达到载有正确客户验证资料的数据库。 |
|