【數位身分證黑幕】遭質疑得標認證有爭議 東元:絕無違法違規

文|劉志原
東元電機得標數位身分證案後,將與旗下公司東元捷德(圖)共同承製。(翻攝東元捷德官網)

本刊今(16日)報導數位數位身分證招標爭議,得標廠商東元電機今天發聲明澄清,強調投標數位晶片身分證是以EMV及ISO 27001二項認證投標,因招標規定至少應具備EMV、ISO 14298或PCI-DSS其中一項,以及ISO 27001安全規範,並須於生產前提供相關資料供查驗,東元完全符合規定,未涉任何不法。

東元集團表示,中央印製廠也在官網發出澄清稿,指出東元捷德並未假冒 INTERGRAF證書,東元電機公司於投標時檢附其專案團隊成員的ISO 27001、 EMV、PCI-DSS及ISO 14298等認證文件,其中東元捷德公司的ISO 14298是由台灣認證機構所製頒。

東元集團在聲明中強調,東元捷德公司從未宣稱取得INTERGRAF ISO 14298認證,而是由台灣機構認證,落選的廠商第一美卡於3月30日向公共工程委員會申訴後,審議結果也認定東元捷德並未冒用INTERGRAF名義。

聲明指出,全案依招標規範,得標的東元僅需在生產數位身分證前提出EMV、ISO14298或PCI-DSS 其中一項即可,ISO 14298在此投標案中無急迫性也非必要條件,且更無要求ISO 14298必須是INTERGRAF機構出具。另外,ISO 27001安全規範證書是生產前提供查驗,東元投標時有提出EMV及ISO 27001,符合政府標案資格的要求即屬合格,東元完全符合規定,未涉任何不法。

東元並且澄清,經由艾爾柏公司所認證之ISO 14298,所有程序均依正常規定,絕無違法違規情事,東元指出,根據中央印製廠的投標規目定,ISO 14298僅為卡廠「生產前」應具備安全規範「選項」之一,依採購案採購條款第七點:「本案專案團隊成員於國內外生產PC晶片卡卡體之場地,至少應具備 EMV、ISO 14298(Governmental Level)或PCI-DSS其中一項,以及ISO 27001安全規範,並須於生產前提供相關資料供本廠查驗。」

東元指出,以上內容中所提到的EMV、ISO 14298及PCI-DSS等項目的目的是要規範卡廠於實際生產卡片前,其實體安全須達一定標準,且僅需三者擇一符合即可。不應將ISO 14298無限上綱,解釋為不可或缺的必要條件,明顯違反這個採購條款規定。

東元強調,所有防偽功能都是由中央印製廠設計,中央印製廠本身即為業內防偽專家,有足夠能力為數位身分證進行防偽設計,得標廠商必須依中央印製廠的規範去執行。

更新時間|2020.09.16 08:34

鏡週刊4年了,讀者的建議與批評我們都虛心聆聽。為提供讀者最好的閱讀空間,我們成立了會員區,提供會員高品質、無廣告、一文到底的純淨閱讀體驗,邀您立即體驗

更多內容,歡迎訂閱鏡週刊了解內容授權資訊

下載鏡週刊電子雜誌