标准解读

GB/T 21078.1-2007是一项针对银行业务中个人识别码(PIN)管理与安全的标准,特别聚焦于自动柜员机(ATM)和销售点(POS)系统中的联机PIN处理。该标准设定了基本的原则与要求,旨在确保PIN在处理过程中的保密性、完整性和可用性,防止未授权访问和欺诈行为。以下是该标准内容的详细说明:

  1. 范围与应用:本标准适用于银行及金融机构在ATM和POS系统中实施的联机PIN处理机制,明确了技术要求和操作流程,以保护客户PIN的安全。

  2. 基本原则

    • 最小化信息暴露:要求系统设计应确保PIN在传输和处理过程中不以明文形式出现,减少被截取的风险。
    • 加密与认证:强调对PIN数据使用强加密算法进行保护,并执行双向认证,确保交易双方的真实性。
    • 分离原则:PIN的处理应与其对应的账户信息物理或逻辑分离,即使数据被非法获取,也无法直接关联到特定账户。
    • 安全硬件支持:提倡使用专用的安全模块(如硬件安全模块HSM)来处理敏感信息,增强安全性。

  3. 技术要求

    • 加密技术:规定了加密算法的最低安全强度要求,如采用国际认可的加密标准进行数据保护。
    • 密钥管理:确立了密钥生成、分发、存储、更新及销毁的严格流程,确保密钥安全生命周期管理。
    • 设备安全:要求ATM和POS终端必须符合一定的物理安全标准,防止硬件篡改,并定期进行安全检查和维护。
    • 交易监控与审计:强调系统应具备交易监控能力,记录并分析异常行为,同时保留审计日志,以便追溯审查。

  4. 操作流程

    • 用户教育:提倡向用户宣传安全意识,如遮挡键盘输入PIN,不在公共场所透露PIN等。
    • 应急响应:要求建立有效的应急响应计划,一旦发现安全漏洞或遭受攻击,能够迅速采取行动,减小损失。
    • 定期评估与更新:鼓励定期对系统安全进行评估,根据新的威胁态势和技术发展,及时调整和升级安全措施。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 被代替
  • 已被新标准代替
  • 2007-09-05 颁布
  • 2007-12-01 实施
©正版授权
GB/T 21078.1-2007银行业务个人识别码的管理与安全第1部分:ATM和POS系统中联机PIN处理的基本原则和要求_第1页
GB/T 21078.1-2007银行业务个人识别码的管理与安全第1部分:ATM和POS系统中联机PIN处理的基本原则和要求_第2页
GB/T 21078.1-2007银行业务个人识别码的管理与安全第1部分:ATM和POS系统中联机PIN处理的基本原则和要求_第3页
GB/T 21078.1-2007银行业务个人识别码的管理与安全第1部分:ATM和POS系统中联机PIN处理的基本原则和要求_第4页
免费预览已结束,剩余28页可下载查看

下载本文档

免费下载试读页

文档简介

犐犆犛35.240.40

犃11

中华人民共和国国家标准

犌犅/犜21078.1—2007

银行业务个人识别码的管理与安全

第1部分:犃犜犕和犘犗犛系统中联机犘犐犖

处理的基本原则和要求

犅犪狀犽犻狀犵—犘犲狉狊狅狀犪犾犐犱犲狀狋犻犳犻犮犪狋犻狅狀犖狌犿犫犲狉犿犪狀犪犵犲犿犲狀狋犪狀犱狊犲犮狌狉犻狋狔—

犘犪狉狋1:犅犪狊犻犮狆狉犻狀犮犻狆犾犲狊犪狀犱狉犲狇狌犻狉犲犿犲狀狋狊犳狅狉狅狀犾犻狀犲犘犐犖犺犪狀犱犾犻狀犵

犻狀犃犜犕犪狀犱犘犗犛狊狔狊狋犲犿狊

(ISO95641:2002,MOD)

20070905发布20071201实施

中华人民共和国国家质量监督检验检疫总局

发布

中国国家标准化管理委员会

犌犅/犜21078.1—2007

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅲ

1范围!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

2规范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3术语和定义!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

4PIN管理的基本原则!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

5PIN输入设备!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

6PIN的安全问题!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

7与账户相关的PIN功能的管理/保护技术!!!!!!!!!!!!!!!!!!!!!!!7

8交易相关PIN的管理/保护技术!!!!!!!!!!!!!!!!!!!!!!!!!!!9

附录A(资料性附录)密钥管理的一般原则!!!!!!!!!!!!!!!!!!!!!!!13

附录B(资料性附录)PIN验证技术!!!!!!!!!!!!!!!!!!!!!!!!!!15

附录C(资料性附录)用于联机PIN加密的PIN输入设备!!!!!!!!!!!!!!!!16

附录D(资料性附录)伪随机PIN生成例子!!!!!!!!!!!!!!!!!!!!!!18

附录E(资料性附录)设计PIN输入设备的设计指南!!!!!!!!!!!!!!!!!!!19

附录F(资料性附录)敏感数据的清除和销毁程序指南!!!!!!!!!!!!!!!!!!22

附录G(资料性附录)提供给客户的信息!!!!!!!!!!!!!!!!!!!!!!!!24

犌犅/犜21078.1—2007

前言

GB/T21078《银行业务个人识别码的管理与安全》分为三个部分:

———第1部分:ATM和POS系统中联机PIN处理的基本原则和要求;

———第2部分:ATM和POS系统中脱机PIN处理要求;

———第3部分:开放网络中PIN处理指南。

本部分为GB/T21078的第1部分。

本部分修改采用ISO95641:2002《银行业务个人识别码的管理和安全第1部分:ATM和

POS系统中联机PIN处理的基本原则和要求》(英文版)。

为便于使用,本部分删除了ISO前言。

针对我国金融业务密码算法的实际使用情况,删除了原国际标准第9章加密算法的核准程序。

本部分的附录A到附录G均为资料性附录。

本部分由中国人民银行提出。

本部分由全国金融标准化技术委员会归口。

本部分负责起草单位:中国金融电子化公司。

本部分参加起草单位:中国人民银行、中国银行、中国建设银行、中国银联股份有限公司、中国光大

银行、北京启明星辰公司。

本部分主要起草人:谭国安、杨、陆书春、李曙光、刘运、杜宁、刘志军、张艳、张德栋、戴宏、张晓东、

马云、李红建、王威、王沁、孙卫东、李春欢。

本部分为首次制定。

犌犅/犜21078.1—2007

银行业务个人识别码的管理与安全

第1部分:犃犜犕和犘犗犛系统中联机犘犐犖

处理的基本原则和要求

1范围

本部分规定了为有效的PIN管理提供所需要的最小安全措施的基本原则和技术。这些措施适用

于那些负责实施PIN管理和保护技术的机构。

本部分也规定了联机环境中金融交易卡所应用的PIN保护技术和PIN数据交换的标准方法。这

些技术适用于那些负责实施ATM和POS终端中PIN管理和保护技术的机构。

本部分的条款没有包括:

a)脱机PIN环境中的PIN管理和安全,ISO95643:2003中包含该项内容;

b)电子商务环境中的PIN管理和安全,ISO9564后续部分将会包含该项内容;

c)防止顾客或者发卡行授权的员工丢失或者故意误用PIN;

d)非PIN交易数据的保密性;

e)交易报文的保护,防止修改或替换。如对PIN验证的授权响应;

f)防止PIN或交易的重放;

g)特定密钥管理技术。

2规范性引用文件

下列文件中的条款通过GB/T21078的本部分的引用而成为本部分的条款。凡是注日期的引用文

件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本部分,然而,鼓励根据本部分达成

协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引

人人文库> 全部分类> 行业资料 > 各类标准

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

最新文档

评论

0/150

提交评论