GB/T 21078.3-2011银行业务个人识别码的管理与安全第3部分：开放网络中PIN处理指南

ICS3524040

A11..

中华人民共和国国家标准

GB/T210783—2011/ISO/TR9564-42004

.:

银行业务个人识别码的管理与安全

第3部分开放网络中PIN处理指南

:

Bankin—PersonalidentificationnumberPINmanaementandsecurit—

g()gy

Part3GuidelinesforPINhandlininoennetworks

:gp

(ISO/TR9564-4:2004,IDT)

2011-12-30发布2012-02-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/T210783—2011/ISO/TR9564-42004

.:

前言

银行业务个人识别码的管理和安全分为以下个部分

GB/T21078《》3:

第部分和系统中联机处理的基本原则和要求

———1:ATMPOSPIN;

第部分和系统中脱机处理的要求

———2:ATMPOSPIN;

第部分开放网络中处理指南

———3:PIN。

本部分为的第部分

GB/T210783。

本部分按照给出的规则起草

GB/T1.1—2009。

本部分等同采用银行业务个人识别码的管理与安全第部分开放网

ISO/TR9564-4:2004《4:

络中处理指南英文版

PIN》()。

本部分删除了前言

ISO。

本部分由中国人民银行提出

。

本部分由全国金融标准化技术委员会归口

(SAC/TC180)。

本部分负责起草单位中国金融电子化公司

:。

本部分参加起草单位中国工商银行中国银行交通银行中国人民银行兴化市中心支行中国银

:、、、、

联股份有限公司

。

本部分主要起草人王平娃陆书春李曙光贾树辉赵志兰仲志晖王治纲冉平周燕媚张凡

:、、、、、、、、、、

贾静刘运景芸张艳

、、、。

Ⅰ

GB/T210783—2011/ISO/TR9564-42004

.:

引言

开放网络环境是一个高风险的环境对基于的交易尤其是这样因为发卡方或收单方对

。PIN,PIN

输入设备都是无法控制的在许多情况下是持卡人来决定使用什么样网络访问设备

。,。

本部分提供了一个指南以帮助支付系统的参与者在开放网络系统中减少泄露带来的风险

,PIN,

以及防止在和涵盖的支付系统中随泄露可能出现的欺诈其目的

GB/T21078.1GB/T21078.2PIN。

是在开放网络环境中定义一个最小安全准则如果在这种环境中的安全性不足卡的数据也

PIN。PIN,

被泄露则两者卡数据和就有很高的可能性在或开放网络环境中被欺诈性地使用

,(PIN)ATM、POS。

鉴别机制的完整性取决于和持卡人数据的机密性在开放网络环境下由于缺乏控制使得

PIN。,

的保护变得困难因此保护持卡人数据是必要的这可以把在开放网络环境下卡数据盗用和

PIN,,,PIN

泄露造成的欺诈风险降到最小

。

Ⅱ

GB/T210783—2011/ISO/TR9564-42004

.:

银行业务个人识别码的管理与安全

第3部分开放网络中PIN处理指南

:

1范围

本部分规定了在开放网络系统中的处理指南在发卡方及收单方没有直接对管理进行控

PIN;PIN

制的环境中或在发生交易前输入设备与收单方没有关系的情况下为管理和处理金融卡发

,PIN,PIN

起的交易提供金融业务安全措施的最佳实践

。

本部分适用于需要验证的金融卡发起的交易并适用于负责在开放网络系统中使用的终端和

PIN,

输入装置中实施管理技术的组织

PINPIN。

本部分不适用于

:

联机环境下的管理和安全和包含该项内容

———PINPIN,GB/T21078.1GB/T21078.2;

核准的加密算法

———PIN;

防止用户或者发卡方及其代理商的授权雇员丢失或故意误用而采取的保护

———PIN;

非交易数据的私密性

———PIN;

保护交易报文防止修改或替换例如联机授权响应

———,,;

防止或交易重放

———PIN;

特定的密钥管理技术

———;

由基于服务器的应用例如电子钱包来访问并储存卡数据

———(:);

金融机构布放的持卡人激活的安全的输入设备

———、、PIN。

2术语和定义

下列术语和定义适用于本文件

。

21

.

收单方acquirer

从受卡方获得与交易相关的数据并将数据提交给交换系统的机构或其代理

。

22

.

泄露compromise

密码学对保密性和