【正版授权】 ISO 13491-2:2016 EN Financial services - Secure cryptographic devices (retail) - Part 2: Security compliance checklists for devices used in financial transactions

上传人：中国标准出版社 IP属地：四川上传时间：2024-07-05 格式：PDF 积分：525

©正版授权

注：本标准为国际组织发行的正版标准，下载后为完整内容；本图片为程序生成，仅供参考，介绍内容如有偏差，以实际下载内容为准

全文预览已结束

 下载本文档

标准号：ISO 13491-2:2016 EN
标准名称：金融服务安全加密设备（零售）第2部分：金融交易设备安全合规检查表
英文名称：Financial services — Secure cryptographic devices (retail) — Part 2: Security compliance checklists for devices used in financial transactions
标准状态：废止
发布日期：2016-03-17

ISO13491-2是关于金融服务的加密安全设备（零售）的国际标准，该标准为在金融交易中使用的设备的安全合规性提供了检查清单。这些设备在金融机构和商业交易中具有重要地位，因此其安全性至关重要。以下是对该标准的详细解释：

设备的安全性评估通常需要包括以下几个方面：

1.物理安全：设备的物理保护是关键。设备应该存放在安全的地方，并避免暴露于可能的物理威胁，如偷窃或恶意破坏。

2.访问控制：应该设定适当的访问权限，确保只有授权人员能够访问和使用设备。任何未经授权的访问都应该被立即发现并报告。

3.数据加密：所有存储和传输的数据都应被加密，以防止未经授权的访问。

4.密钥管理：密钥应妥善保管，不应轻易泄漏。同时，应有一种机制来确保密钥在必要时能够安全地恢复。

5.设备固件和软件更新：应定期更新设备的固件和软件，以修复任何已知的安全漏洞。

6.审计和日志记录：应保留适当的审计和日志记录，以监控设备的活动，并在需要时能够追踪和调查任何违规行为。

此外，对于敏感金融交易，设备还应满足以下额外要求：

1.防止双花攻击：设备应具备防止双花攻击的功能，这种攻击可以通过对交易的确认和重复使用来检测。

2.防止伪造交易：设备应具备防止伪造交易的功能，包括通过使用数字签名和时间戳服务器来验证交易的来源和时间。

3.隔离用户：对于多用户设备，应确保每个用户的数据和交易是隔离的，以防止未经授权的访问。

ISO13491-2提供了关于如何评估和确保金融交易中使用的加密安全设备的安全性的详细指导。这包括物理安全、访问控制、数据加密、密钥管理、设备固件和软件更新以及审计和日志记录等方面。

人人文库> 全部分类> 行业资料 > 各类标准