我需要怎樣做?
釐訂要求
每個「保證等級」的基本要求(註冊和認證)詳情如下:
| 註冊要求 | 認證要求 | |
|---|---|---|
 |
此「保證等級」並無身份證明或設置註冊資料記錄的要求。使用者的身份聲明可毋須經過核實便獲得接納。 | 第1等級雖無特定的註冊要求,但認證機制應提供若干保證,以確定同一使用者正接達服務、交易或數據。 可供配備作第1等級的認證技術也有不少,包括使用簡易的個人辨認號碼或密碼。 |
 |
對於風險相對較低的日常業務交易,此「保證等級」已能提供足夠保證。在許多情況下,註冊程序可透過聯機而毋須親身進行。 程序確保申請人的基本身份資料得到檢查及核實。身份資料最低限度應包括全名及其他可核實資料,用以證實該申請人的身份。註冊資料的記錄亦應置存。 |
第2等級的保證依賴安全認證規約,以確立使用者「控制」權標的證據。 可供使用於加密網絡連接對話的認證技術也有不少,例如使用管理密碼權標(受密碼政策規限)。應實施像「加密」和「密碼政策」等的措施,以免受到偷聽者、中繼及密碼猜測的攻擊。 |
 |
申請人需要經過核實實質的身份證明,包括在某些情況下申請人須親身出示身份證明以完成註冊程序。除了該身份需確實存在之外,通常還需要提供至少有效及通用的一些憑證或文件以作身份確認。 需要核實的身份資料最低限度應包括全名、出生日期、目前住址和身份證明文件(例如護照或香港身份證)的識別號碼。應置存的記錄包括經過核實的資料、已採取的步驟和過程中已審查文件的副本。 |
在此「保證等級」,保證是建基於「擁有」認證權標(硬體或軟體加密權標)的證據。 可考慮的認證方法包括數碼證書或限用一次密碼。也應採取措施免受偷聽者、中繼、密碼猜測及核實模仿者的攻擊。 |
 |
除申請人必須親身出示資料以完成註冊程序外,此「保證等級」的要求與第3等級相若。除了該身份需確實存在之外,通常還需要提供至少有效及通用的一些憑證或文件以作身份確認。 需要核實的身份資料最低限度應包括全名、出生日期、目前住址和身份證明文件(例如護照或香港身份證)的識別號碼。應置存的記錄包括經過核實的資料、已採取的步驟和過程中已審查文件的副本。 |
第4等級的認證是建基於透過加密規約「擁有」密碼匙的證據。除需要「硬體權標」外,第4等級的認證與第3等級相若。 「硬體權標」應採用經國際標準核證的硬件加密模組,不能輕易複制,而且必須用密碼或生物測定學才能解鎖。藉著採用「硬體權標」,此「保證等級」可確保有良好的遠程雙重認證。 憑證必須在限定的時間內有效,而憑證的撤回狀況必須於交易時檢查。除第3等級的保護措施外,系統應在設計上能防止未授權者接達到載有正確客戶驗證資料的數據庫。 |
|