標(biāo)準(zhǔn)解讀

GB/T 21078.1-2007是一項(xiàng)針對(duì)銀行業(yè)務(wù)中個(gè)人識(shí)別碼(PIN)管理與安全的標(biāo)準(zhǔn),特別聚焦于自動(dòng)柜員機(jī)(ATM)和銷售點(diǎn)(POS)系統(tǒng)中的聯(lián)機(jī)PIN處理。該標(biāo)準(zhǔn)設(shè)定了基本的原則與要求,旨在確保PIN在處理過(guò)程中的保密性、完整性和可用性,防止未授權(quán)訪問(wèn)和欺詐行為。以下是該標(biāo)準(zhǔn)內(nèi)容的詳細(xì)說(shuō)明:

  1. 范圍與應(yīng)用:本標(biāo)準(zhǔn)適用于銀行及金融機(jī)構(gòu)在ATM和POS系統(tǒng)中實(shí)施的聯(lián)機(jī)PIN處理機(jī)制,明確了技術(shù)要求和操作流程,以保護(hù)客戶PIN的安全。

  2. 基本原則

    • 最小化信息暴露:要求系統(tǒng)設(shè)計(jì)應(yīng)確保PIN在傳輸和處理過(guò)程中不以明文形式出現(xiàn),減少被截取的風(fēng)險(xiǎn)。
    • 加密與認(rèn)證:強(qiáng)調(diào)對(duì)PIN數(shù)據(jù)使用強(qiáng)加密算法進(jìn)行保護(hù),并執(zhí)行雙向認(rèn)證,確保交易雙方的真實(shí)性。
    • 分離原則:PIN的處理應(yīng)與其對(duì)應(yīng)的賬戶信息物理或邏輯分離,即使數(shù)據(jù)被非法獲取,也無(wú)法直接關(guān)聯(lián)到特定賬戶。
    • 安全硬件支持:提倡使用專用的安全模塊(如硬件安全模塊HSM)來(lái)處理敏感信息,增強(qiáng)安全性。

  3. 技術(shù)要求

    • 加密技術(shù):規(guī)定了加密算法的最低安全強(qiáng)度要求,如采用國(guó)際認(rèn)可的加密標(biāo)準(zhǔn)進(jìn)行數(shù)據(jù)保護(hù)。
    • 密鑰管理:確立了密鑰生成、分發(fā)、存儲(chǔ)、更新及銷毀的嚴(yán)格流程,確保密鑰安全生命周期管理。
    • 設(shè)備安全:要求ATM和POS終端必須符合一定的物理安全標(biāo)準(zhǔn),防止硬件篡改,并定期進(jìn)行安全檢查和維護(hù)。
    • 交易監(jiān)控與審計(jì):強(qiáng)調(diào)系統(tǒng)應(yīng)具備交易監(jiān)控能力,記錄并分析異常行為,同時(shí)保留審計(jì)日志,以便追溯審查。

  4. 操作流程

    • 用戶教育:提倡向用戶宣傳安全意識(shí),如遮擋鍵盤輸入PIN,不在公共場(chǎng)所透露PIN等。
    • 應(yīng)急響應(yīng):要求建立有效的應(yīng)急響應(yīng)計(jì)劃,一旦發(fā)現(xiàn)安全漏洞或遭受攻擊,能夠迅速采取行動(dòng),減小損失。
    • 定期評(píng)估與更新:鼓勵(lì)定期對(duì)系統(tǒng)安全進(jìn)行評(píng)估,根據(jù)新的威脅態(tài)勢(shì)和技術(shù)發(fā)展,及時(shí)調(diào)整和升級(jí)安全措施。


如需獲取更多詳盡信息,請(qǐng)直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 被代替
  • 已被新標(biāo)準(zhǔn)代替
  • 2007-09-05 頒布
  • 2007-12-01 實(shí)施
?正版授權(quán)
GB/T 21078.1-2007銀行業(yè)務(wù)個(gè)人識(shí)別碼的管理與安全第1部分:ATM和POS系統(tǒng)中聯(lián)機(jī)PIN處理的基本原則和要求_第1頁(yè)
GB/T 21078.1-2007銀行業(yè)務(wù)個(gè)人識(shí)別碼的管理與安全第1部分:ATM和POS系統(tǒng)中聯(lián)機(jī)PIN處理的基本原則和要求_第2頁(yè)
GB/T 21078.1-2007銀行業(yè)務(wù)個(gè)人識(shí)別碼的管理與安全第1部分:ATM和POS系統(tǒng)中聯(lián)機(jī)PIN處理的基本原則和要求_第3頁(yè)
GB/T 21078.1-2007銀行業(yè)務(wù)個(gè)人識(shí)別碼的管理與安全第1部分:ATM和POS系統(tǒng)中聯(lián)機(jī)PIN處理的基本原則和要求_第4頁(yè)

文檔簡(jiǎn)介

犐犆犛35.240.40

犃11

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

犌犅/犜21078.1—2007

銀行業(yè)務(wù)個(gè)人識(shí)別碼的管理與安全

第1部分:犃犜犕和犘犗犛系統(tǒng)中聯(lián)機(jī)犘犐犖

處理的基本原則和要求

犅?tīng)釥顮霠闋顮纭獱袪鍫驙鬆餇顮釥鞝蔂錉鍫顮魻闋鏍闋銧釥魻闋餇顮螤鯛頎鉅鍫驙頎釥顮釥鐮鍫頎鍫顮魻釥顮錉鬆鍫銧鯛驙闋魻?/p>

犘犪狉狋1:犅?tīng)釥鬆闋銧馉驙闋顮銧闋馉鞝鍫鬆釥顮錉驙鍫駹鯛闋驙鍫頎鍫顮魻鬆鏍餇驙餇顮鞝闋顮鍫袪蔂螤锠釥顮錉鞝闋顮?/p>

犻狀犃犜犕犪狀犱犘犗犛狊狔狊狋犲犿狊

(ISO95641:2002,MOD)

20070905發(fā)布20071201實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局

發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

書(shū)

犌犅/犜21078.1—2007

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅲ

1范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

2規(guī)范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3術(shù)語(yǔ)和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

4PIN管理的基本原則!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

5PIN輸入設(shè)備!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

6PIN的安全問(wèn)題!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

7與賬戶相關(guān)的PIN功能的管理/保護(hù)技術(shù)!!!!!!!!!!!!!!!!!!!!!!!7

8交易相關(guān)PIN的管理/保護(hù)技術(shù)!!!!!!!!!!!!!!!!!!!!!!!!!!!9

附錄A(資料性附錄)密鑰管理的一般原則!!!!!!!!!!!!!!!!!!!!!!!13

附錄B(資料性附錄)PIN驗(yàn)證技術(shù)!!!!!!!!!!!!!!!!!!!!!!!!!!15

附錄C(資料性附錄)用于聯(lián)機(jī)PIN加密的PIN輸入設(shè)備!!!!!!!!!!!!!!!!16

附錄D(資料性附錄)偽隨機(jī)PIN生成例子!!!!!!!!!!!!!!!!!!!!!!18

附錄E(資料性附錄)設(shè)計(jì)PIN輸入設(shè)備的設(shè)計(jì)指南!!!!!!!!!!!!!!!!!!!19

附錄F(資料性附錄)敏感數(shù)據(jù)的清除和銷毀程序指南!!!!!!!!!!!!!!!!!!22

附錄G(資料性附錄)提供給客戶的信息!!!!!!!!!!!!!!!!!!!!!!!!24

書(shū)

犌犅/犜21078.1—2007

前言

GB/T21078《銀行業(yè)務(wù)個(gè)人識(shí)別碼的管理與安全》分為三個(gè)部分:

———第1部分:ATM和POS系統(tǒng)中聯(lián)機(jī)PIN處理的基本原則和要求;

———第2部分:ATM和POS系統(tǒng)中脫機(jī)PIN處理要求;

———第3部分:開(kāi)放網(wǎng)絡(luò)中PIN處理指南。

本部分為GB/T21078的第1部分。

本部分修改采用ISO95641:2002《銀行業(yè)務(wù)個(gè)人識(shí)別碼的管理和安全第1部分:ATM和

POS系統(tǒng)中聯(lián)機(jī)PIN處理的基本原則和要求》(英文版)。

為便于使用,本部分刪除了ISO前言。

針對(duì)我國(guó)金融業(yè)務(wù)密碼算法的實(shí)際使用情況,刪除了原國(guó)際標(biāo)準(zhǔn)第9章加密算法的核準(zhǔn)程序。

本部分的附錄A到附錄G均為資料性附錄。

本部分由中國(guó)人民銀行提出。

本部分由全國(guó)金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口。

本部分負(fù)責(zé)起草單位:中國(guó)金融電子化公司。

本部分參加起草單位:中國(guó)人民銀行、中國(guó)銀行、中國(guó)建設(shè)銀行、中國(guó)銀聯(lián)股份有限公司、中國(guó)光大

銀行、北京啟明星辰公司。

本部分主要起草人:譚國(guó)安、楊、陸書(shū)春、李曙光、劉運(yùn)、杜寧、劉志軍、張艷、張德棟、戴宏、張曉東、

馬云、李紅建、王威、王沁、孫衛(wèi)東、李春歡。

本部分為首次制定。

犌犅/犜21078.1—2007

銀行業(yè)務(wù)個(gè)人識(shí)別碼的管理與安全

第1部分:犃犜犕和犘犗犛系統(tǒng)中聯(lián)機(jī)犘犐犖

處理的基本原則和要求

1范圍

本部分規(guī)定了為有效的PIN管理提供所需要的最小安全措施的基本原則和技術(shù)。這些措施適用

于那些負(fù)責(zé)實(shí)施PIN管理和保護(hù)技術(shù)的機(jī)構(gòu)。

本部分也規(guī)定了聯(lián)機(jī)環(huán)境中金融交易卡所應(yīng)用的PIN保護(hù)技術(shù)和PIN數(shù)據(jù)交換的標(biāo)準(zhǔn)方法。這

些技術(shù)適用于那些負(fù)責(zé)實(shí)施ATM和POS終端中PIN管理和保護(hù)技術(shù)的機(jī)構(gòu)。

本部分的條款沒(méi)有包括:

a)脫機(jī)PIN環(huán)境中的PIN管理和安全,ISO95643:2003中包含該項(xiàng)內(nèi)容;

b)電子商務(wù)環(huán)境中的PIN管理和安全,ISO9564后續(xù)部分將會(huì)包含該項(xiàng)內(nèi)容;

c)防止顧客或者發(fā)卡行授權(quán)的員工丟失或者故意誤用PIN;

d)非PIN交易數(shù)據(jù)的保密性;

e)交易報(bào)文的保護(hù),防止修改或替換。如對(duì)PIN驗(yàn)證的授權(quán)響應(yīng);

f)防止PIN或交易的重放;

g)特定密鑰管理技術(shù)。

2規(guī)范性引用文件

下列文件中的條款通過(guò)GB/T21078的本部分的引用而成為本部分的條款。凡是注日期的引用文

件,其隨后所有的修改單(不包括勘誤的內(nèi)容)或修訂版均不適用于本部分,然而,鼓勵(lì)根據(jù)本部分達(dá)成

協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個(gè)人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打?。驍?shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁(yè),非文檔質(zhì)量問(wèn)題。

評(píng)論

0/150

提交評(píng)論