1、計畫編號:TWNIC-NS-093-002正確網站網址與產業協同驗證架構模式設計及系統雛型實作研究計畫期末報告執行單位:中華民國網路消費協會計畫主持人:郭秋田 博士中華民國九十四年四月正確網站網址與產業協同驗證架構模式設計及系統雛型實作研究計畫 期末報告I目錄摘要 1第 1 章 前言 11.1 網路釣魚問題與影響 11.2 網站驗證概念 2第 2 章 相關研究與發展 32.1 國內相關研究 32.2 國外相關研究 4第 3 章 網站驗證機制與應用 63.1 系統架構 63.2 系統實作說明 73.3 運作實驗 143.4 申請認證完整流程 18第 4 章 問題探討 294.1 安全性探討 29
2、4.2 推廣方式 31第 5 章 系統規劃建議 365.1 建議設備項目、數量清單 375.2 設備需求規格 37第 6 章 結論 49參考文獻 49正確網站網址與產業協同驗證架構模式設計及系統雛型實作研究計畫 期末報告1摘要WWW 全球資訊網的蓬勃發展,讓網路上的各種服務與應用透過網站的形式呈現。特別是電子商務方面的應用,讓人們可以透過網路進行購物、預訂旅館、車票、機票等各種原本要外出才能辦妥的工作。這些網路所提供的便利服務與豐沛資訊讓我們達到了秀才不出門,也能辦天下事的好處。然而近年來,網路上的假網站亦愈來愈多藉由各種方式進行詐騙,一般的網路使用者不易辨別網站的真假,造成受害被騙的案例層出
3、不窮。因而也開始讓廣大的使用者產生疑慮而對原本立意良善、功能便利的應用卻步不前,影響了電子商務的發展。究其原因在於網路上的消費者無法辨認網站的真假、網址的正確性、網頁上所呈現的公司、內容與服務是不是真實的。因此,擬出一套具體方案來解決此一問題不但十分有價值且勢在必行。本研究案之目的即為提出一個能進行網址驗證之機制,並透過產業的協同驗証提供足以信賴的資訊來協助消費者辨認網站的真假與良窳。透過雛型系統之實作可以驗證我們所提出的理論架構之正確性與可行性。如前述網路上的詐騙行為稱之為網路釣魚 (Phishing) ,在本篇報告中,先對網路釣魚的類型進行說明,並探討國內外相關的防制研究。接著描述本研究所
4、提出的方法,包含驗證流程機制、相關契約文件、實作架構設計與雛型系統開發、並以旅行業作為預定的先期推廣對象進行分析,最後則提出網站正式營運時的系統硬體架構規劃。正確網站網址與產業協同驗證架構模式設計及系統雛型實作研究計畫 期末報告1第 1 章 前言透過網路交易是電子商務重要的一環,為保障網路上消費者的安全與權易,一個令人安心的交易環境是必須的。一般的網路消費者並沒有很清楚的網路技術基礎與安全概念,往往無從判斷網站的真偽與所看到的內容之真實性,提供一個防護機制來保護網路上的消費者乃當務之急。以下先就網路詐騙的問題、形式與影響進行說明。1.1 網路釣魚問題與影響網路詐騙何其多,令人防不勝防。根據反網
5、路釣魚工具小組調查數據(APWG) ,2004 年以來,每一單月已有超過 150 件網路釣魚事件發生,其中4 月份更刷新紀錄,當月回報釣魚事件高達 1125 件,平均每天 37 件;其中,475 件瞄準網路銀行與網路金流服務。可見金融機構是網路釣魚歹徒的重要目標之一。茲列舉常見的手法如下: 利用酷似真實知名網站的網域名稱與內容,讓不慎進入的使用者信以為真其為真實的網站,進而在其中進行電子交易而受騙。例如:香港匯豐銀行( http:/.hk ) ,就曾發生有人註冊極為類似的網域名稱(http:/) ,並偽造網站內容企圖騙取用戶銀行帳號與密碼。除此之外,包括花旗銀行、東亞銀行、新加坡發展銀行都曾出
6、現網域名極為類似的假網站事件。 在搜尋引擎登記網址假冒知名企業,讓不慎進入的使用者誤信而進行電子交易而受騙。傳統搜尋引擎結果頁面排序方式以數字先後為邏輯,但現多以與鍵入字關聯性的方式顯示結果頁面。部分搜尋引擎則有專責審核網站的人員,將可信任網站排在結果頁面的前面以避免消費者受騙。 利用垃圾郵件的管道,發送偽裝知名網站的電子郵件,誘使使用者不察進入偽裝的知名網站,藉此騙取使用者帳號、密碼或姓名、地址、電話及信用卡等資料,再利用這些資料獲取不當利益。更嚴重者,為假裝為銀行網站所發的通知,誘騙使用者到假網站更改網路銀行的帳號密碼,再以所騙到的帳號密碼進行轉帳。此一現象迫使財政部取消網路銀行上直接使用
7、帳號密碼即可進行的轉帳功能。 假冒慈善機構名義募款,並透過網路上的付款機制進行付款。本意欲正確網站網址與產業協同驗證架構模式設計及系統雛型實作研究計畫 期末報告2行善的人往往受騙了還不自知。 利用拍賣網站進行詐騙,這種犯罪手法是在合法的網路上拍賣東西,誘使您付款給假中間網站,由於所付款的網站並不是受到拍賣網站認可的網站,因此衍生相關的問題。 在網路上建立虛假的電子交易網站,並於搜尋引擎註冊,它並不假冒任何人,而是以不實的內容引誘消費者誤信而上當,進而達到詐騙錢財的目的。例如:去年新聞報導所稱,消費者因被民宿網站上華麗的房間圖片吸引,上網預訂民宿並支付定金,但住宿時發現該民宿實際上根本不存在的受
8、騙情事。 利用網站或電子郵件為餌,誘使人下載、安裝具有後門、木馬的程式,並利用它進一步入侵受害者的電腦。 用電子郵件散發假消息(如中了網路樂透訊息)誘拐使用者匯出錢財。網路釣魚,除了引起消費者受騙,導致詐欺犯罪的行為外,也影響了一般人繼續使用網路交易的意願,讓網路上正當經營的網站蒙受影響造成損失。因此各相關單位莫不積極思考相關對策,以期能消弭此一問題。在一般情形下,會建議使用者加強自己的警覺心,以避免遭詐騙,其具體建議為:對於來路不明或可疑的電子郵件:1. 避免開啟來路不明的電子郵件及文件。2. 遇有要求輸入帳號資訊以加以驗證或延續某項服務的電子郵件,應慎防為網路釣魚。3. 不直接點擊郵件的鏈
9、結,要連接到網站,直接使用瀏覽器並手動輸入網址。在可疑的網站方面:1. 網址部分:冒充的網站多會以相似的網址來讓使用者受騙,盡量以多個搜尋引擎檢驗核對。2. 使用網路銀行時,避免在不確認其真偽的網站進行登入,以免帳號密碼等資料遭竊取。正確網站網址與產業協同驗證架構模式設計及系統雛型實作研究計畫 期末報告31.2 網站驗證概念綜觀上述有關網路釣魚所使用之手法,其主要的關鍵在於一、偽冒網址,讓消費者難辨真假而受騙。二、編造不實網頁內容,取信消費者進行訛騙。此二者,若消費者能夠知道上網時所連接的實際網站的真正位址與所屬的機構單位,則不易受騙;若消費者能夠證實網站上的內容所描述狀況之可信度,則不易受騙
10、。網路釣魚歹徒透過各種技巧來隱匿網址或以相似的網址魚目混珠,不察的消費者極難辨識或發現,網站上的內容如果可以經由第三者機關的檢驗,則對消費者則有較確實的保障。此概念即引發了網站驗證的想法,利用 client 程式協助使用者檢視比對所連結的網址,可以防止歹徒隱匿網址或以相似的網址魚目混珠的情形,而合法的網站則可以申請驗證並得到安全標章掛載於網頁內容以讓消費者識別。相關的技術討論與本研究採用的方法將再描述於後。第 2 章 相關研究與發展2.1 國內相關研究針對假冒 DNS 網址的部分,在1中從 DNS 申請管理的角度探討如何處理冒用他人的網域名稱之狀況。然而,在我國的管轄範圍內只能針對.tw 之部
11、分進行管控,其能防範的網路釣魚類型亦十分有限。標章的使用在國內有多個機構使用,依其方式不同簡述如下: SOSA 台北市消費者電子商務協會所提供的優良電子商店3:其標章為 。通過審核的網站可以陳列於台北市消費者電子商務協會網站的優良電子商店列表中,並獲得 SOSA 優良電子商店標章,可用於掛載於商店網頁中供消費者識別。SOSA 優良電子商店標章,只有簡單的識別作用,標章本身並沒有防偽或預防冒用的機制,網路釣魚歹徒可以直接下載該圖片檔應用之,以騙取網路消費者信任。 經濟部網路商業應用資源中心之信賴電子商店4:其標章為其標章為正確網站網址與產業協同驗證架構模式設計及系統雛型實作研究計畫 期末報告4其
12、標章為 。通過審核的網站可以陳列於經濟部網路商業應用資源中心之信賴電子商店列表中,並獲得信賴電子商店標章,可用於掛載於商店網頁中供消費者識別。信賴電子商店標章本身點選後必須連回經濟部網路商業應用資源中心消費者可以據此檢核標章是否正確與獲得授權使用。然而,網路釣魚者可以架設假的經濟部網路商業應用資源中心網站,欺騙消費者,因此不仔細查驗的使用者還是十分容易受騙。 網際威信 HiTRUST/VeriSign 全球安全認證網站5:提供安全認證標章,主要的功能為伺服器數位憑證。其標章為 ,點選標章會連線回網際威信網站顯示認證資訊( 圖 1) 。此資訊可顯示正確之網址,與通訊加密的機制。標章與所對應的超連
13、結可被探知,因此對於網站仿冒式的網路釣魚,可以使用極接近的網址進行仿冒,再應用技術遮蓋 URL 網址,冒用標章,即使連線到標章驗證亦不易發現網站本身為假冒。圖 1:透過標章點選的驗證結果。8提出以認證標章啟動 Applet 執行並至認證伺服器進行驗證之方法,用以驗證網站正確性,其方法使用上較為便利。而本研究使用之方法為在瀏覽器端安裝、執行驗證程式,強化安全性。正確網站網址與產業協同驗證架構模式設計及系統雛型實作研究計畫 期末報告52.2 國外相關研究在國外,受到網路釣魚的侵襲亦早有所聞,且災情遠較台灣嚴重, 圖 2 為美國 Anit-Phishing Working Group7(APWG )
14、的網路釣魚網站統計資訊。APWG 是一個反網路釣魚的非營利組織,提供網路釣魚事件的統計數據與相關文件。6提出了一系列的反網路釣魚對策,如:改善網頁應用程式的存取技術,使用硬體式的單次密碼系統、Smart card,強化網站登入認證機制,即使使用者不小心遭網路釣魚誘騙密碼,由於密碼只能使用一次,所以並無損失。其次為將網頁內容個人化,使網路釣魚者不易偽冒網頁的內容,不過此二種措施只能保護單一網站;加強使用者這方面的防騙認知;使用瀏覽器端的工具,檢視實際連接的網址,防止應用轉址技術的偽冒手法。這些工具如:SpoofStick、 ScamBlocker。 圖 3 為執行 SpoofStick 後可在畫
15、面上顯示實際連接上的網址。圖 2:APWG 統計 2004 年 10 月到 2005 年 1 月的網路釣魚網站統計。正確網站網址與產業協同驗證架構模式設計及系統雛型實作研究計畫 期末報告6圖 3:Spoofstick 執行效果。在 Netscape 8 beta 版中,預計將提供防範網路釣魚的功能,其原理是利用網址白名單來建立無害、安全的網址列表。Netscape 和許多資訊安全公司接洽合作,經常把網站上的間諜軟體、釣魚軟體以及其他有惡意病毒的軟體黑名單提供給 Netscape。用戶使用 Netscape 8 時,如發現這些有問題的軟體,會給用戶警示,並可避免諸如 ActiveX、程式腳本和
16、cookies 這些安全應用軟體。在 Netscape 8 中,無害且列於白名單的網站,在位址條顯示一個藍光圖示、未知的網站則以黃色代表2。然而,使用黑白名單只能針對已存在網站進行搜集,對於新出現的網站則無法評估,仍然存在一定的風險。在電子郵件軟體方面, 雷鳥 (Thunderbird)電子郵件 1.1 版軟體裡也將加入了網路釣魚的偵測器。由於網路釣魚手法中,相當普及的一種為詐騙者以寄發電子郵件方式來引誘使用者進入假造的網站內,然後進一步騙取使用者資料。Thunderbird 是一套開放原始程式碼的軟體,在 Thunderbird 1.1 的功能中,使用者點選電子郵件裡可疑的網址超連結時,偵測
17、器會在網頁打開之前以對話視窗提醒使用者。例如:當網址內有數字型的 IP 位址而不是用網域名稱、或實正確網站網址與產業協同驗證架構模式設計及系統雛型實作研究計畫 期末報告7際連過去的 URL 網址和文字鏈結裡所顯示的位址不一樣時,偵測器就會啟動、警告。Thunderbird 具有一定的防護網路釣魚之能力,然而對於精心設計的網路釣魚計畫依然可以逃脫其偵測,依然構成威脅。第 3 章 網站驗證機制與應用從國內外的相關研究中不難發現,目前缺乏一個簡易且效果宏大的反制網路釣魚方法,在本研究以網站驗證為方向,提供防止假冒網址的功能,並透過審核機制使網站的內容可以經由相關的產業業管單位進行審驗並給予合格的標章
18、。因此,標章的內涵除了有防止假冒網址的作用外,尚代表網站的內容已經經由相關的單位審驗過。3.1 系統架構本系統提供一種線上的查驗機制,以利使用者方便進行查驗,其過程確保此機制能不被造假。其認證程序主要由兩個程式所構成,其一為使用者端所執行的驗證程式,其二為於驗證伺服器端執行之伺服程式。對於網站而言則先經過線上申請人工認證的方式,通過認證並獲取一認證標章。申請認證程序與執行驗證之過程,分別簡述如下:一、申請認證流程A. 網站經營者線上提出申請。B. 產業主管單位進行審查,通過後由系統產生一認證檔,並與認證標章一起核發給申請者。C. 網站經營者將標章置放於網站中,並設定超連結為所核發之認證檔。完整
19、的申請認證說明,詳述於 3.4 節。二、認證流程A. 消費者安裝驗證客戶端程式 NetGuard。B. 於瀏覽網站的時候按下認證標章,點選開啟,系統自動啟動NetGuard。C. NetGuard 顯示目前上網之真實網址,解析所下載的認證檔,並與正確網站網址與產業協同驗證架構模式設計及系統雛型實作研究計畫 期末報告8認證伺服器進行認證作業,即比較認證伺服器所提供之資料與認證檔記載之資訊是否相同,如果相同則表示驗證成功否則為驗證失敗。3.2 系統實作說明一、系統開發環境本系統分為用戶端與伺服器端,用戶端程式開發環境為 Delphi 6.0 版本,作業系統建議為 XP/2000/2003 均可;驗
20、證伺服器環境可為 IIS 5.0 或 IIS 6.0 能執行 ASP 程式即可。二、系統的運作方式及流程本系統主要的程式有 SiteFile Generator、NetGuard,其中 SiteFile Generator提供網站驗證時所需之相關檔案,包含:網站 sai 檔,網站 sai 檔是網站依據其相關基本資訊所產生的認證資料檔,可掛載於申請者的網站中、網站 txt 檔,是用 .sai 內容的 MD5 雜湊值來做 Triple DES 加密後的 base64 字串,本檔置於伺服器端,可接受驗證程式 netguard 的需求,提供 txt 檔以便與.sai 檔進行比較驗證。1. SiteFi
21、le Generator透過 SiteFile_Gen.exe 可以產生網站的 網站代碼.sai 檔案 (SiteAuthInfo) 及 網站代碼.txt (AuthInfo, 用 .sai 內容的 MD5 雜湊值來做 Triple DES 加密後的 base64 字串)。.sai 檔案內容為 XML 格式存放網站的申請資料並擺放在網站上供使用者下載驗證,當使用者下載 .sai 檔後開啟它會啟動用戶端先前安裝的 NetGuard 程式進行驗證,證驗方式將會連至驗證伺服器下載相對應的 網站代碼.txt 再以其 .sai 產生的雜湊值來做 Triple DES 解密,若解密正確就能互相比對資料正確
22、與否,也就是網站上的 .sai 內容不能擅自做任何修改以確保資料一致性。2. NetGuard使用者下載並安裝 NetGuard 後,只要到網站上下載 .sai 檔案開啟就能進行檢驗,檢驗方式就是先下載驗證伺服器端的 .txt 檔,再以下載的 .sai 產生 MD5雜湊值來做 Triple DES 解密 .txt 的內容,再把內容相互比對。之後才檢查使用者的 Internet Explorer 的網址列的實際連到 IP 是否與驗證內容的 IP 相同。產生的檢驗結果將以文字敘述顯示在用戶端的 NetGuard 說明上。正確網站網址與產業協同驗證架構模式設計及系統雛型實作研究計畫 期末報告9(1)
23、網站用戶驗證伺服器(0)(2)(3)(0) 準備 網站代碼.sai 到網站端(1) 使用者下載 網站代碼.sai (2) 去驗證伺服器下載 網站代碼.txt(3) 驗證完結果以 http post 方式記錄到驗證伺服器端三、記錄各可信任網站的資料庫其相關的欄位設定ReggedSite 的欄位說明 資料庫欄位名稱 意義serial 流水號SITEID 網站代碼SITENAME 網站名稱SITEURL 網站網址URLSITEIP 網站IPREGISTRATION_DATE 註冊啟用日期EXPIRATION_DATE 註冊到期日期COMPANY 公司名稱SITECLASS 網站類別CHAIRMAN
24、代表人姓名正確網站網址與產業協同驗證架構模式設計及系統雛型實作研究計畫 期末報告10COMPANY_REG_DATE 公司營利登記日期LICENSE_NO 執照編號ADDRESS_L 公司證照地址ADDRESS_A 實際營業地址TELEPHONE 公司電話FAX 傳真信箱EMAIL 電子信箱CONTACT 聯絡人TQ_INSTITUTION 加入的認證機構TQ_NO 註冊編號SiteHash 網站資料雜湊值SiteEncrypted 網站資料加密值(以雜湊值為key)ResultLog 欄位說明資料庫欄位名稱 意義serial 流水號Userip 用戶端IPLogtime 記錄時間Target
25、ip 目標網站的IPTargeturl 目標網站的URLSiteid 目標網站的代碼result 驗證結果正確網站網址與產業協同驗證架構模式設計及系統雛型實作研究計畫 期末報告11四、系統之安裝說明與使用方法(1) NetGuard 使用說明安裝1. 執行 NetGuardSetup.exe 進行安裝即可使用方式1. 連結到相關網站,點網消會圖示,會出現下載 .sai 檔案的對話盒,如下所示點【開啟】就能下載此檔案並呼叫 NetGuard 進行驗證。正確網站網址與產業協同驗證架構模式設計及系統雛型實作研究計畫 期末報告12驗證畫面資料分四部份1) 驗證結果分析資料2) 使用者電腦上 Inter
26、net Explorer 瀏覽器所目前連到的網站URL及IP 。3) 網站剛剛下載的 .sai 檔案的內容4) 經由驗證伺服端所得回的驗證結果內容(2) SiteFile Gen 使用說明安裝1. 執行 SiteFileGenSetup.exe 就能進行安裝。2. 安裝完後,目錄下會有 SiteFile_Gen.exe 為主程式ReggedSite.mdb 為預設使用的資料庫Log.asp 為用來記錄 LOG 的 asp 網頁使用方式1. 執行 SiteFile_Gen.exe,第一次啟動必須設定資料庫,請點選【】開啟資料庫設定正確網站網址與產業協同驗證架構模式設計及系統雛型實作研究計畫 期末
27、報告13請選擇 【Microsoft Jet 4.0 OLE DB Provider】 ,按下一步。正確網站網址與產業協同驗證架構模式設計及系統雛型實作研究計畫 期末報告14選擇 ReggedSite.mdb 為資料庫檔後按確定結束設定。再從【檔案】【儲存資料庫設定】將設定儲存起來。接著就能從【網站】【新增】來新增網站資料。新增完後會產生一組檔案(.sai 及 .txt ),請依指示將 .sai 給網站業者,.txt 放到驗證網站目錄去即可。正確網站網址與產業協同驗證架構模式設計及系統雛型實作研究計畫 期末報告153.3 運作實驗本系統雛形已開發完成,瀏覽器端之驗證程式目前置放於實驗網站中,消
28、費者可以先行下載並完成安裝,下載網址為http:/211.20.8.244/twnic/NetGuardSetup.exe( 圖 4) 。圖 4:下載 NetGuard 安裝程式。安裝完成後,可執行 NetGuard,此程式平時即可提供查閱目前進行中的網站連線之實際位址。如,畫面顯示目前,正瀏覽的網址為 與211.20.8.244。圖 5:使用 NetGuard 查閱目前所瀏覽的網站網址。正確網站網址與產業協同驗證架構模式設計及系統雛型實作研究計畫 期末報告16進行網站驗證時,點選網站上的上方的認證標籤 (如 圖 6,代表正確網站) ,此時系統要求下載 TESTSITE.sai( 圖 7)
29、,點選開啟後,NetGuard 會自動進行處理並顯示結果。圖 6:點選正確網站標籤,進行驗證。圖 7:下載網站的驗證資料檔。在 圖 8 的左方欄顯示的是驗證資料檔的內容,而右方欄則為依網址即時向驗證伺服器查詢所得的資料,兩者的內容相較結果為吻合,故可得到驗證成功的結果。正確網站網址與產業協同驗證架構模式設計及系統雛型實作研究計畫 期末報告17圖 8:驗證結果為成功。若點選 圖 6 下方的認證標籤 (代表假冒的網站) ,此時系統要求下載 TESTSITE1.sai,點選開啟後,NetGuard 顯示結果為不正確 ( 圖 9) 。正確網站網址與產業協同驗證架構模式設計及系統雛型實作研究計畫 期末報
30、告18圖 9:驗證結果為不正確 。驗證不正確的可能原因為:1. 網站登記資料不正確:左右欄比對與不相符的欄位,即表示該網站資料與驗證伺服器端所登記的資料不一致,故無法驗證。有兩種情形會有這結果,一是該網站擅自修改網站身份檔案內的註冊資料,並無向網消會報備及更新所致;二是該網站的身份檔案註冊時間已過期還未申請補發。2. 網站 IP 資料不正確:瀏覽器目前對該網站所連的 IP 不符合該網站所登記的 IP,表示所連的網站有可能不為正確網站,也有可能是瀏覽器已經沒有在連該網站,故請檢查瀏覽器所有正在檢視的頁面內容或到該網站首頁重新驗證一次。圖 9 所顯示的資訊可以發現所下載的驗證資料檔記載的 SITE
31、IP 為211.20.8.246,而瀏覽器所連接的實際網址為 211.20.8.244,代表此驗證檔可能為遭冒用的。NetGuard 再以 211.20.8.246 向驗證伺服器查閱所登記的資料,亦發現其記錄內容為空,因此比對亦失敗。正確網站網址與產業協同驗證架構模式設計及系統雛型實作研究計畫 期末報告193.4 申請認證完整流程本小節詳述本計畫所設計之申請認證完整流程。其內容包含:1. 申請網站信賴認證須知。2. 認證線上申請基本資料表。3. 網站信賴認證約定書。4. 認證流程圖。5. 認證後應遵守之規則。6. 申請認證簡則。詳細內容如下:正確網站網址與產業協同驗證架構模式設計及系統雛型實作
32、研究計畫 期末報告20申請網站信賴認證須知一、網站信賴認證之介紹本會與財團法人台灣網站認證制度是以線上即時查證之方式,核對網站的正確性:網際網路上的網站多如天上繁星,到底消費者瀏覽到的網站是否還在運作中?或者已經歇業或停業? 公司真正名稱是什麼? 實際營業地址在哪裡? 有沒有聯絡電話、傳真、電子郵件、聯絡人? 線上交易的入口網址在哪裡? 申訴處理的入口網址在哪裡?均因消費者無從得知或難以得知,而直接影響到上網購物的意願或安全感,尤其因為網站揭露資訊不足,消費者難以尋求售後服務,導致上網購物成為一刀兩斷式的交易。中華民國網路消費協會(以下稱本會),是保護網路消費者權益的全國性組織,為協助網路消費
33、者暨瀏覽者辨認其瀏覽或進行交易的網站的真正狀況,特推動優良網站認證制度 ,期望透過優良網站認證制度,在消費者與優良網站經營者之間,建立信賴的橋樑,讓大型網站、中型網站、小型網站在電子商務領域,均可獲得消費者同等信賴,建立商品或服務在品質與價格上的公平競爭。二、申請網站信賴認證之程序:1、申請者上網填寫申請表(附件一) ,並閱讀認證契約(附件二) ,認證流程(附件三),通過認證後應遵守之規則(附件四)。2、填寫完成並檢查無誤後,列印二份,一份自行存底,一份併同信賴認證申請之必備文件,掛號寄至網路消費協會。3、繳交年費暨審查費新台幣六千元(電匯單影本與申請表併寄)。三、網路消費協會審核程序:1、檢
34、查申請者及文件是否齊備。2、核對申請人繳交年費暨審查費新台幣六千元之電匯單影本。3、申請人完成繳費手續,本會進行書面審查,審核申請表與文件內容是否正確網站網址與產業協同驗證架構模式設計及系統雛型實作研究計畫 期末報告21相符。4、審核首頁資訊是否完整標示申請書填載之內容(除統一編號外)5、審核相符後,通知繳交年費。6、本會以電子郵件將認證標章暨首頁標章標示方法通知申請人。7、將新加入認證之申請公司登載認證名冊8、將新加入認證之申請公司公告於網站(http:/www.nca.org.tw) 四、初審不合格之補正程序:1、告知不符之文件項目及不符之內容及如何改寫之方法。2、告知首頁資訊如何調整及記
35、載。五、通過補正合格之申請人依第二項第五款至第八款辦理六、補正後仍無法通過審核,則敘明理由,退還審查費。七、申請人之權利1、使用信賴認證標章張貼於信賴認證網站。2、使用信賴認證標章於任何媒體,但不得有誇大不實或引人錯誤之情事。3、若線上信賴認證之結果,屬於通過信賴認證之網站 ,則申請人於媒體或 公司文宣之廣告得照引之。4、獲得線上即時信賴認證之服務。5、線上即時信賴認證之服務如下:網站經營者的正確證照與資料核對後,是否相符?線上交易的入口網址核對後,是否相符?核對 IP,以檢驗是否為假網站?參加其他安全信賴認證是否仍在有效期限之內?有無對同一申訴置之不理,經本會連續通知三次,亦未改善?6、消會
36、將視需求,另行頒發較信賴認證網站更高之榮譽頭銜,以獎勵網站對信賴認證系統之信譽貢獻。八、申請人之義務申請人除須繳交年費之外,經網消會審核通過之信賴認證網站,必須遵守以下基本準則,以共同維護網站信賴認證之信譽及消費者之信賴:1、 本會採高度自律之信賴認證模式,信賴認證網站須建立共識:參加信賴認證共同累積公共資源、參加信賴認證共同創造網路信賴、正確網站網址與產業協同驗證架構模式設計及系統雛型實作研究計畫 期末報告22參加信賴認證保障消費者權益。2、信賴認證網站對信賴認證事項有無更新,應及時告知,以便本會進行更新事項之信賴認證。3、參加本會網站信賴認證系統之網站,對於消費者申訴必須妥適處理,對於同一
37、申訴置之不理,經本會連續通知三次,亦未改善者,本會得撤銷其信賴認證。 。4、信賴認證網站必須將張貼之信賴認證標誌,保持隨時於瀏覽者按下信賴認證標誌,即時與本會信賴認證系統連結之功能。5、撤銷信賴認證或信賴認證期間屆滿均不得於網站繼續張貼信賴認證標誌;未經授權而使用信賴認證標誌,雖未與本會信賴認證系統連結,仍侵犯智慧財產權。九、本認證須知若有修正或變更,除張貼網站公告外,另以電子郵件通知。正確網站網址與產業協同驗證架構模式設計及系統雛型實作研究計畫 期末報告23(附件一)申請表中華民國網路消費協會認證線上申請基本資料表本公司願依 貴會網站認證規則申請認證,本公司資料如下:* 網址: (多數網址應
38、分次逐一完成報備手續)* 公司名稱: (須填執照登記之全名) *旅行業種類 (綜合、甲種、乙種)*代表人姓名* 註冊編號:* 公司證照地址:* 實際營業地址:* 公司電話:* 傳 真:* 電子信箱:* 聯絡人:*加入旅遊品質保障金代償機構:* 註冊編號:*加入線上申訴機構: * 註冊編號:* 加入線上認證機構: * 註冊編號:* 線上交易之網頁位址: (多數位址應以; 分開)以上資料,均係本公司真實之資料,本公司將另以郵件遞送上開資料之證明文件。申請人:(同公司名稱)申請網站認證注意事項:(請先閱讀下列文件,完全瞭解後,再送出填寫之資料。)1、申請認證須知2、認證流程3、通過認證後應遵守之規則
39、4、認證契約正確網站網址與產業協同驗證架構模式設計及系統雛型實作研究計畫 期末報告24(附件二)認證契約網站信賴認證約定書立約定書人:中華民國網路消費協會(以下簡稱網消會 )甲方(以下簡稱申請人 )乙方茲因網消會建立網站線上信賴信賴認證制度,甲方為彰顯網站資料之正確並尊重網路消費者權益,爰加入乙方之信賴信賴認證系統接受網站基本資料之信賴信賴認證並獲得乙方授權使用信賴信賴認證標章,雙方同意如下條款:第一條:公益信賴信賴認證中華民國網路消費協會,是保護網路消費者權益的全國性組織,為協助網路消費者暨瀏覽者辨認其瀏覽或進行交易的網站的真正狀況,特推動網站信賴信賴認證制度 ,期望透過網站信賴信賴認證制度
40、,在消費者與網站經營者之間,建立信賴的橋樑,讓大型網站、中型、小型在電子商務領域,均可獲得消費者同等信賴,建立商品或服務在品質與價格上的公平競爭。申請人認同前項信賴認證制度之宗旨並申請加入網站信賴認證制度 ,願遵守本合約之約定,暨嗣後因應信賴認證制度之發展,網消會所作其他有關本約定事項之變更或修正。第二條:名詞定義本合約中,有關下列各名詞之意義,除各條文另有定義外,依下列文義定義之一、申訴人:指申請參加並接受網消會網站信賴認證制度之運作與規範之公司或自然人。二、信賴認證對象網站:指取得台灣網路資訊中心(TWNIC )所配發之網址名稱,依該網址,架設提供資訊、交易或網際網路相關功能服務之網站。三
41、、信賴認證主機:指財團法人台灣網路資資訊中心與網消會共同建置之電腦軟硬體設備,內建信賴認證資料庫,以適當頻寬進行網站信賴認證。四、網站信賴認證制度:係財團法人台灣網路資資訊中心與網消會共同建立之線上即時核對網站資料之信賴認證制度。此制度係以審核網站申請者所提出網站資料,並內建於認證主機,網路瀏覽者於瀏覽之網站按下網消會核發並授權申請人使用之信賴認證標章,該標章即時連線至信賴認證主機,並進行資料驗後,正確網站網址與產業協同驗證架構模式設計及系統雛型實作研究計畫 期末報告25即時傳回網頁資訊供瀏覽者閱讀,並告之該網站是否為信賴認證網站。五、信賴認證標章:指網消會授權申請人限定使用目的與範圍之標章。
42、六、其他信賴認證機構:指網消會以外之營利或非營利信賴認證,但僅限於安全信賴認證與信賴信賴認證。七、線上交易入口網址:指申訴人網站首頁以下各層資料夾中,申請人提供之交易網頁入口網址;依網站設計,不同交易商品或服務可能有二以上之入口。多數伺服器,亦然。八、申訴處理的入口網址:指申請人以電子郵件或網頁處理消費申訴之網址。第三條:信賴認證年費申請人應支付網消會信賴認證年費新台幣(下同)六千元正,於申請時預付,若審查不通過,經網消會通知補正而不補正或難以補正者,則其中 1,000 元視為審查費,其餘 5,000 元無息退還申請人。第四條:申請人之權利一、使用信賴認證標章張貼於信賴認證網站。二、使用信賴認
43、證標章於任何媒體,但不得有誇大不實或引人錯誤之情事。三、若線上信賴認證之結果,屬於通過信賴認證網站 ,則申請人於媒體或公司文宣之廣告得照引之。四、獲得線上即時信賴認證之服務。五、符合下列條件,可取得通過網站信賴認證之網頁即時公告。網消會網站信賴認證制度是以線上即時查證之方式,核對網站的正確性及優質性。標章有效期限為一年。在標章有效期限內,任何消費者祇要在參加信賴認證的網站首頁,以滑鼠點下信賴認證標章,本會信賴認證伺服器立即對該網站進行認證,查證之內容如下:1、網站經營者的正確證照與資料核對後,是否相符?2、線上交易的入口網址核對後,是否相符?3、核對 IP,以檢驗是否為假網站?4、參加其他安全
44、信賴認證是否仍在有效期限之內?5、有無對同一申訴置之不理,經本會連續通知三次,亦未改善?六、消會將視需求,另行頒發較信賴認證網站更高之榮譽頭銜,以獎勵網站對信賴認證系統之信譽貢獻。正確網站網址與產業協同驗證架構模式設計及系統雛型實作研究計畫 期末報告26第五條:申請人之義務申請人除須繳交年費之外,經網消會審核通過之信賴認證網站,必須遵守以下基本準則,以共同維護網站信賴認證之信譽及消費者之信賴:6、本會採高度自律之信賴認證模式,信賴認證網站須建立共識:參加信賴認證共同累積公共資源、參加信賴認證共同創造網路信賴、參加信賴認證保障消費者權益。7、信賴認證網站對信賴認證事項有無更新,應及時告知,以便本
45、會進行更新事項之信賴認證。8、參加本會網站信賴認證系統之網站,對於消費者申訴必須妥適處理,對於同一申訴置之不理,經本會連續通知三次,亦未改善者,本會得撤銷其信賴認證。 。9、信賴認證網站必須將張貼之信賴認證標誌,保持隨時於瀏覽者按下信賴認證標誌,即時與本會信賴認證系統連結之功能。10、 撤銷信賴認證或信賴認證期間屆滿均不得於網站繼續張貼信賴認證標誌;未經授權而使用信賴認證標誌,雖未與本會信賴認證系統連結,仍侵犯智慧財產權。第六條:約定事項之變更網消會基於認證事務發展之需要,得適時就本約定書之內容作部份之修正、變更,但應於修正、變更前一個月以電子郵件通知申請人。第七條:終止、解除約定書申請人提供之資料不確實,經網消會通知補正而於接到通知日起七日內未補正者,新申請案,視為撤回申請,依三條部份退費,若非新申請案,網消會得終止認證,並按年度之比例退費。第八條:有關本約定書之解釋或爭議雙方均同意以公平原則處理之,認證主機設於台北市,雙方均同意以台北地方法院為爭議之管轄法院,並適用中華民國暨相關法令。立約定書人:網消會 (甲方)(乙方)中 華 民 國 年 月 日正確網站網址與產業協同驗證架構模式設計及系統雛型實作研究計畫 期末報告27
