中央银行总裁杨金龙14日将赴立法院财委会专题报告「我国推动行动支付的相关规范与面临可能资讯安全风险的因应机制」，根据央行提出的书面内容，杨金龙针对行动支付的资安风险提出三因应机制，包括行动支付交易特别加强「点对点」安全防护设计、建构多层次纵深防御体系和财金公司资安风险因应机制与布署管理。

杨金龙表示，为促进行动支付发展，亚洲国家陆续推展QR Code共通支付标准，整合不一的规格，便利商家及消费者使用。台湾由财金公司协同金融机构持续进行相关基础设施，推动时程早于新加坡、澳洲、马来西亚及日本等国家，未来将继续努力发展创新金融服务，深化普惠金融，推广行动支付，更便利大众使用。

针对行动支付资安风险因应机制，杨金龙指出，首先，除遵守法令与国内外规范加强安全防护，行动支付交易特别加强「点对点」安全防护设计，确保交易无法被伪冒及窜改。应用程式、重要参数及资料的防护，严格要求与国际同步，同时运用多样化技术，避免单一设备暴露或遭破解，引发系统性风险。

使用者认证机制设计强度，须确保支付指示均为合法使用者的意思表示，另对行动装置、应用程式、网站等使用者，设有监控机制，协助使用者防范骇客攻击，以维护行动支付体系的安全。

其次，杨金龙说明，持续强化内部资安管理制度与程序、培养专业技术人力，取得国内外资安专业证照、定期办理全员资讯安全训练、提升人员资安意识，并就交易安全、作业安全、系统安全、网路安全及实体安全等面向，建构多层次纵深防御体系。

再以定期举办各项安全防护演练及检测，并委託外部公正第三方专业机构，定期办理渗透测试、弱点扫描、防阻断攻击及红队演练，验证相关机制与程序的有效性及合宜性。

最后，杨金龙强调，财金公司资安风险因应机制与布署管理，除通过国际「PCI DSS 支付卡产业资料安全标准」审查验证，并通过英国标准协会「ISO 27001资讯安全管理系统」、「BS 10012个人资料管理系统」、「ISO 22301业务持续运作管理系统」及「ISO 9001品质管理系统」的验证与定期审查，确保各项资通讯安全机制、个人资料管理、系统营运不中断运作及资安作业品质符合国际标准。