标准解读

GB/T 21078.2-2011是一项针对银行业务中个人识别码(PIN)管理与安全的标准,特别聚焦于自动柜员机(ATM)和销售点(POS)系统中的脱机PIN处理。该标准旨在确保PIN处理的安全性,保护用户信息免受未经授权的访问和使用。以下是标准内容的详细说明:

  1. 范围:本部分规定了在ATM和POS系统环境中脱机处理个人识别码的技术要求和管理措施,涵盖了PIN的生成、加密、传输、存储以及验证过程。

  2. 术语和定义:明确了涉及PIN处理的关键术语,如脱机PIN验证、PIN块、密钥管理等,为理解标准提供基础。

  3. 安全要求

    • PIN保护:要求采用强大的加密算法保护PIN数据,确保在处理过程中,即使数据被截取,也无法直接读取到明文PIN。
    • 硬件安全模块(HSM):推荐使用HSM来执行PIN加密和解密操作,以增加安全性并减少被攻击的风险。
    • 密钥管理:强调了密钥生命周期管理的重要性,包括密钥的生成、分发、存储、更新和销毁,确保密钥的安全性。
    • 交易数据隔离:要求ATM和POS设备应能确保PIN数据与其他交易数据分开处理和存储,避免数据泄露风险。
    • 设备安全:规定了对ATM和POS终端的物理和逻辑安全要求,防止非法访问或篡改。

  4. 操作与管理要求

    • 系统审计:要求实施系统日志记录和审计功能,以便追踪和分析任何异常活动。
    • 人员培训:强调操作和维护人员需接受关于PIN安全处理的培训,提高安全意识。
    • 应急响应:制定了应对PIN数据泄露或安全事件的应急计划和程序。

  5. 合规性评估:提供了评估ATM和POS系统是否符合本标准要求的方法和指导,帮助金融机构进行自我检查和第三方审核。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 被代替
  • 已被新标准代替
  • 2011-12-30 颁布
  • 2012-02-01 实施
©正版授权
GB/T 21078.2-2011银行业务个人识别码的管理与安全第2部分:ATM和POS系统中脱机PIN处理的要求_第1页
GB/T 21078.2-2011银行业务个人识别码的管理与安全第2部分:ATM和POS系统中脱机PIN处理的要求_第2页
GB/T 21078.2-2011银行业务个人识别码的管理与安全第2部分:ATM和POS系统中脱机PIN处理的要求_第3页
GB/T 21078.2-2011银行业务个人识别码的管理与安全第2部分:ATM和POS系统中脱机PIN处理的要求_第4页
GB/T 21078.2-2011银行业务个人识别码的管理与安全第2部分:ATM和POS系统中脱机PIN处理的要求_第5页
免费预览已结束,剩余7页可下载查看

下载本文档

GB/T 21078.2-2011银行业务个人识别码的管理与安全第2部分:ATM和POS系统中脱机PIN处理的要求-免费下载试读页

文档简介

ICS3524040

A11..

中华人民共和国国家标准

GB/T210782—2011

.

银行业务个人识别码的管理与安全

第2部分ATM和POS系统中脱机PIN

:

处理的要求

Banking—Personalidentificationnumbermanagementandsecurity—

Part2ReuirementsforofflinePINhandlininATMandPOSsstems

:qgy

(ISO9564-3:2003,MOD)

2011-12-30发布2012-02-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T210782—2011

.

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

在输入设备和卡读卡器之间传输时的保护

4PIN(PED)ICPIN……2

物理安全

5…………………2

格式

6PINBLOCK………………………3

概述

6.1…………………3

格式的

6.22PINBLOCK……………3

参考文献

………………………4

GB/T210782—2011

.

前言

银行业务个人识别码的管理和安全分为以下个部分

GB/T21078《》3:

第部分和系统中联机处理的基本原则和要求

———1:ATMPOSPIN;

第部分和系统中脱机处理的要求

———2:ATMPOSPIN;

第部分开放网络中处理指南

———3:PIN。

本部分为的第部分

GB/T210782。

本部分按照给出的规则起草

GB/T1.1—2009。

本部分修改采用银行业务个人识别码的管理与安全第部分和

ISO9564-3:2003《3:ATM

系统中脱机处理的要求英文版

POSPIN》()。

本部分与的技术性差异为根据国内的实际应用情况将中应为每笔交易

ISO9564-3:2003:,6.1“

使用惟一密钥的要求扩展为应为每笔交易使用惟一密钥或者定期更换加密密钥有关技术性差异

”“”。

已编入正文并在其涉及的条款的页边空白处用垂直单线标识

本部分删除了前言

ISO。

本部分由中国人民银行提出

本部分由全国金融标准化技术委员会归口

(SAC/TC180)。

本部分负责起草单位中国金融电子化公司

:。

本部分参加起草单位中国工商银行中国银行交通银行中国人民银行兴化市中心支行中国银

:、、、、

联股份有限公司

本部分主要起草人王平娃陆书春李曙光贾树辉赵志兰仲志晖王治纲冉平周燕媚张凡

:、、、、、、、、、、

贾静刘运景芸张艳

、、、。

GB/T210782—2011

.

引言

内置集成电路的金融交易卡在技术上已可使用卡进行脱机的验证目前发卡方可以选择

ICPIN。

脱机或者联机方式进行验证的本部分为脱机处理提出了明确的要求

PIN。GB/T21078PIN。

脱机验证不要求把持卡人的发送到发卡方主机验证因此通过网络进行保护的相

PINPIN,PIN

关安全要求不适用但是尽管可以脱机验证许多通用的保护原则和技术仍然适用

。,PIN,PIN。

的本部分给出了对脱机类处理的具体要求除非明确说明给

GB/T21078PIN,,GB/T21078.1—2007

出的管理的基本原则适用于本部分

PIN。

的第部分定义了使用卡进行持卡人验证的安全要求应当指出定义

ISO102026IC。,ISO10202

了对卡自身的要求而非对收单方卡接受设备的要求因此可以看成是对的补充

IC,IC,GB/T21078。

GB/T210782—2011

.

银行业务个人识别码的管理与安全

第2部分ATM和POS系统中脱机PIN

:

处理的要求

1范围

本部分规定了脱机处理的最低安全要求和在脱机环境下交换数据的标准方法

PINPIN。

本部分适用于要求脱机验证的卡发起的金融交易也适用于那些负责在和收单方布放

PIN,ATM

的终端中实施管理和保护技术的机构

POSPIN。

本部分不适用于下列情况

:

联机环境下的管理和安全包含该项内容

a)PINPIN,GB/T21078.1;

核准的加密算法

b)PIN;

在开放网络环境下使用包含该项内容

c)PIN,GB/T21078.3;

防止用户或者发卡方及其代理商的授权雇员丢失或故意误用而采取的保护

d)PIN;

非交易数据的私密性

e)PIN;

保护交易报文防止修改或替换例如联机授权响应

f),,;

防止或交易重放

g)PIN;

特定的密钥管理技术

h);

卡是否接受加密的决策

i)ICPIN;

非接触式卡

j)IC。

的第章描述的管理的基本原则也适用于本部分

GB/T21078.1—20074PIN。

与多应用卡相关的要求由发卡方负责不包括在本部分内

IC,。

本部分适用于卡技术但不局限于卡技术

IC,IC。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

所有部分识别卡带触点的集成电路卡

GB/T16649()

人人文库> 全部分类> 行业资料 > 各类标准

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

最新文档

评论

0/150

提交评论