標準解讀

GB/T 21078.2-2011是一項針對銀行業(yè)務(wù)中個人識別碼(PIN)管理與安全的標準,特別聚焦于自動柜員機(ATM)和銷售點(POS)系統(tǒng)中的脫機PIN處理。該標準旨在確保PIN處理的安全性,保護用戶信息免受未經(jīng)授權(quán)的訪問和使用。以下是標準內(nèi)容的詳細說明:

  1. 范圍:本部分規(guī)定了在ATM和POS系統(tǒng)環(huán)境中脫機處理個人識別碼的技術(shù)要求和管理措施,涵蓋了PIN的生成、加密、傳輸、存儲以及驗證過程。

  2. 術(shù)語和定義:明確了涉及PIN處理的關(guān)鍵術(shù)語,如脫機PIN驗證、PIN塊、密鑰管理等,為理解標準提供基礎(chǔ)。

  3. 安全要求

    • PIN保護:要求采用強大的加密算法保護PIN數(shù)據(jù),確保在處理過程中,即使數(shù)據(jù)被截取,也無法直接讀取到明文PIN。
    • 硬件安全模塊(HSM):推薦使用HSM來執(zhí)行PIN加密和解密操作,以增加安全性并減少被攻擊的風(fēng)險。
    • 密鑰管理:強調(diào)了密鑰生命周期管理的重要性,包括密鑰的生成、分發(fā)、存儲、更新和銷毀,確保密鑰的安全性。
    • 交易數(shù)據(jù)隔離:要求ATM和POS設(shè)備應(yīng)能確保PIN數(shù)據(jù)與其他交易數(shù)據(jù)分開處理和存儲,避免數(shù)據(jù)泄露風(fēng)險。
    • 設(shè)備安全:規(guī)定了對ATM和POS終端的物理和邏輯安全要求,防止非法訪問或篡改。
  4. 操作與管理要求

    • 系統(tǒng)審計:要求實施系統(tǒng)日志記錄和審計功能,以便追蹤和分析任何異?;顒印?/li>
    • 人員培訓(xùn):強調(diào)操作和維護人員需接受關(guān)于PIN安全處理的培訓(xùn),提高安全意識。
    • 應(yīng)急響應(yīng):制定了應(yīng)對PIN數(shù)據(jù)泄露或安全事件的應(yīng)急計劃和程序。
  5. 合規(guī)性評估:提供了評估ATM和POS系統(tǒng)是否符合本標準要求的方法和指導(dǎo),幫助金融機構(gòu)進行自我檢查和第三方審核。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標準文檔。

....

查看全部

  • 被代替
  • 已被新標準代替
  • 2011-12-30 頒布
  • 2012-02-01 實施
?正版授權(quán)
GB/T 21078.2-2011銀行業(yè)務(wù)個人識別碼的管理與安全第2部分:ATM和POS系統(tǒng)中脫機PIN處理的要求_第1頁
GB/T 21078.2-2011銀行業(yè)務(wù)個人識別碼的管理與安全第2部分:ATM和POS系統(tǒng)中脫機PIN處理的要求_第2頁
GB/T 21078.2-2011銀行業(yè)務(wù)個人識別碼的管理與安全第2部分:ATM和POS系統(tǒng)中脫機PIN處理的要求_第3頁
GB/T 21078.2-2011銀行業(yè)務(wù)個人識別碼的管理與安全第2部分:ATM和POS系統(tǒng)中脫機PIN處理的要求_第4頁
GB/T 21078.2-2011銀行業(yè)務(wù)個人識別碼的管理與安全第2部分:ATM和POS系統(tǒng)中脫機PIN處理的要求_第5頁
免費預(yù)覽已結(jié)束,剩余7頁可下載查看

下載本文檔

GB/T 21078.2-2011銀行業(yè)務(wù)個人識別碼的管理與安全第2部分:ATM和POS系統(tǒng)中脫機PIN處理的要求-免費下載試讀頁

文檔簡介

ICS3524040

A11..

中華人民共和國國家標準

GB/T210782—2011

.

銀行業(yè)務(wù)個人識別碼的管理與安全

第2部分ATM和POS系統(tǒng)中脫機PIN

:

處理的要求

Banking—Personalidentificationnumbermanagementandsecurity—

Part2ReuirementsforofflinePINhandlininATMandPOSsstems

:qgy

(ISO9564-3:2003,MOD)

2011-12-30發(fā)布2012-02-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T210782—2011

.

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

在輸入設(shè)備和卡讀卡器之間傳輸時的保護

4PIN(PED)ICPIN……2

物理安全

5…………………2

格式

6PINBLOCK………………………3

概述

6.1…………………3

格式的

6.22PINBLOCK……………3

參考文獻

………………………4

GB/T210782—2011

.

前言

銀行業(yè)務(wù)個人識別碼的管理和安全分為以下個部分

GB/T21078《》3:

第部分和系統(tǒng)中聯(lián)機處理的基本原則和要求

———1:ATMPOSPIN;

第部分和系統(tǒng)中脫機處理的要求

———2:ATMPOSPIN;

第部分開放網(wǎng)絡(luò)中處理指南

———3:PIN。

本部分為的第部分

GB/T210782。

本部分按照給出的規(guī)則起草

GB/T1.1—2009。

本部分修改采用銀行業(yè)務(wù)個人識別碼的管理與安全第部分和

ISO9564-3:2003《3:ATM

系統(tǒng)中脫機處理的要求英文版

POSPIN》()。

本部分與的技術(shù)性差異為根據(jù)國內(nèi)的實際應(yīng)用情況將中應(yīng)為每筆交易

ISO9564-3:2003:,6.1“

使用惟一密鑰的要求擴展為應(yīng)為每筆交易使用惟一密鑰或者定期更換加密密鑰有關(guān)技術(shù)性差異

”“”。

已編入正文并在其涉及的條款的頁邊空白處用垂直單線標識

。

本部分刪除了前言

ISO。

本部分由中國人民銀行提出

。

本部分由全國金融標準化技術(shù)委員會歸口

(SAC/TC180)。

本部分負責(zé)起草單位中國金融電子化公司

:。

本部分參加起草單位中國工商銀行中國銀行交通銀行中國人民銀行興化市中心支行中國銀

:、、、、

聯(lián)股份有限公司

。

本部分主要起草人王平娃陸書春李曙光賈樹輝趙志蘭仲志暉王治綱冉平周燕媚張凡

:、、、、、、、、、、

賈靜劉運景蕓張艷

、、、。

GB/T210782—2011

.

引言

內(nèi)置集成電路的金融交易卡在技術(shù)上已可使用卡進行脫機的驗證目前發(fā)卡方可以選擇

ICPIN。

脫機或者聯(lián)機方式進行驗證的本部分為脫機處理提出了明確的要求

PIN。GB/T21078PIN。

脫機驗證不要求把持卡人的發(fā)送到發(fā)卡方主機驗證因此通過網(wǎng)絡(luò)進行保護的相

PINPIN,PIN

關(guān)安全要求不適用但是盡管可以脫機驗證許多通用的保護原則和技術(shù)仍然適用

。,PIN,PIN。

的本部分給出了對脫機類處理的具體要求除非明確說明給

GB/T21078PIN,,GB/T21078.1—2007

出的管理的基本原則適用于本部分

PIN。

的第部分定義了使用卡進行持卡人驗證的安全要求應(yīng)當指出定義

ISO102026IC。,ISO10202

了對卡自身的要求而非對收單方卡接受設(shè)備的要求因此可以看成是對的補充

IC,IC,GB/T21078。

GB/T210782—2011

.

銀行業(yè)務(wù)個人識別碼的管理與安全

第2部分ATM和POS系統(tǒng)中脫機PIN

:

處理的要求

1范圍

本部分規(guī)定了脫機處理的最低安全要求和在脫機環(huán)境下交換數(shù)據(jù)的標準方法

PINPIN。

本部分適用于要求脫機驗證的卡發(fā)起的金融交易也適用于那些負責(zé)在和收單方布放

PIN,ATM

的終端中實施管理和保護技術(shù)的機構(gòu)

POSPIN。

本部分不適用于下列情況

:

聯(lián)機環(huán)境下的管理和安全包含該項內(nèi)容

a)PINPIN,GB/T21078.1;

核準的加密算法

b)PIN;

在開放網(wǎng)絡(luò)環(huán)境下使用包含該項內(nèi)容

c)PIN,GB/T21078.3;

防止用戶或者發(fā)卡方及其代理商的授權(quán)雇員丟失或故意誤用而采取的保護

d)PIN;

非交易數(shù)據(jù)的私密性

e)PIN;

保護交易報文防止修改或替換例如聯(lián)機授權(quán)響應(yīng)

f),,;

防止或交易重放

g)PIN;

特定的密鑰管理技術(shù)

h);

卡是否接受加密的決策

i)ICPIN;

非接觸式卡

j)IC。

的第章描述的管理的基本原則也適用于本部分

GB/T21078.1—20074PIN。

與多應(yīng)用卡相關(guān)的要求由發(fā)卡方負責(zé)不包括在本部分內(nèi)

IC,。

本部分適用于卡技術(shù)但不局限于卡技術(shù)

IC,IC。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

所有部分識別卡帶觸點的集成電路卡

GB/T16649()

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打印),因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評論

0/150

提交評論