標準解讀

GB/T 21078.1-2007是一項針對銀行業(yè)務中個人識別碼(PIN)管理與安全的標準,特別聚焦于自動柜員機(ATM)和銷售點(POS)系統(tǒng)中的聯(lián)機PIN處理。該標準設(shè)定了基本的原則與要求,旨在確保PIN在處理過程中的保密性、完整性和可用性,防止未授權(quán)訪問和欺詐行為。以下是該標準內(nèi)容的詳細說明:

  1. 范圍與應用:本標準適用于銀行及金融機構(gòu)在ATM和POS系統(tǒng)中實施的聯(lián)機PIN處理機制,明確了技術(shù)要求和操作流程,以保護客戶PIN的安全。

  2. 基本原則

    • 最小化信息暴露:要求系統(tǒng)設(shè)計應確保PIN在傳輸和處理過程中不以明文形式出現(xiàn),減少被截取的風險。
    • 加密與認證:強調(diào)對PIN數(shù)據(jù)使用強加密算法進行保護,并執(zhí)行雙向認證,確保交易雙方的真實性。
    • 分離原則:PIN的處理應與其對應的賬戶信息物理或邏輯分離,即使數(shù)據(jù)被非法獲取,也無法直接關(guān)聯(lián)到特定賬戶。
    • 安全硬件支持:提倡使用專用的安全模塊(如硬件安全模塊HSM)來處理敏感信息,增強安全性。

  3. 技術(shù)要求

    • 加密技術(shù):規(guī)定了加密算法的最低安全強度要求,如采用國際認可的加密標準進行數(shù)據(jù)保護。
    • 密鑰管理:確立了密鑰生成、分發(fā)、存儲、更新及銷毀的嚴格流程,確保密鑰安全生命周期管理。
    • 設(shè)備安全:要求ATM和POS終端必須符合一定的物理安全標準,防止硬件篡改,并定期進行安全檢查和維護。
    • 交易監(jiān)控與審計:強調(diào)系統(tǒng)應具備交易監(jiān)控能力,記錄并分析異常行為,同時保留審計日志,以便追溯審查。

  4. 操作流程

    • 用戶教育:提倡向用戶宣傳安全意識,如遮擋鍵盤輸入PIN,不在公共場所透露PIN等。
    • 應急響應:要求建立有效的應急響應計劃,一旦發(fā)現(xiàn)安全漏洞或遭受攻擊,能夠迅速采取行動,減小損失。
    • 定期評估與更新:鼓勵定期對系統(tǒng)安全進行評估,根據(jù)新的威脅態(tài)勢和技術(shù)發(fā)展,及時調(diào)整和升級安全措施。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標準文檔。

....

查看全部

  • 被代替
  • 已被新標準代替
  • 2007-09-05 頒布
  • 2007-12-01 實施
?正版授權(quán)
GB/T 21078.1-2007銀行業(yè)務個人識別碼的管理與安全第1部分:ATM和POS系統(tǒng)中聯(lián)機PIN處理的基本原則和要求_第1頁
GB/T 21078.1-2007銀行業(yè)務個人識別碼的管理與安全第1部分:ATM和POS系統(tǒng)中聯(lián)機PIN處理的基本原則和要求_第2頁
GB/T 21078.1-2007銀行業(yè)務個人識別碼的管理與安全第1部分:ATM和POS系統(tǒng)中聯(lián)機PIN處理的基本原則和要求_第3頁
GB/T 21078.1-2007銀行業(yè)務個人識別碼的管理與安全第1部分:ATM和POS系統(tǒng)中聯(lián)機PIN處理的基本原則和要求_第4頁

文檔簡介

犐犆犛35.240.40

犃11

中華人民共和國國家標準

犌犅/犜21078.1—2007

銀行業(yè)務個人識別碼的管理與安全

第1部分:犃犜犕和犘犗犛系統(tǒng)中聯(lián)機犘犐犖

處理的基本原則和要求

犅犪狀犽犻狀犵—犘犲狉狊狅狀犪犾犐犱犲狀狋犻犳犻犮犪狋犻狅狀犖狌犿犫犲狉犿犪狀犪犵犲犿犲狀狋犪狀犱狊犲犮狌狉犻狋狔—

犘犪狉狋1:犅犪狊犻犮狆狉犻狀犮犻狆犾犲狊犪狀犱狉犲狇狌犻狉犲犿犲狀狋狊犳狅狉狅狀犾犻狀犲犘犐犖犺犪狀犱犾犻狀犵

犻狀犃犜犕犪狀犱犘犗犛狊狔狊狋犲犿狊

(ISO95641:2002,MOD)

20070905發(fā)布20071201實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局

發(fā)布

中國國家標準化管理委員會

犌犅/犜21078.1—2007

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅲ

1范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

2規(guī)范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3術(shù)語和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

4PIN管理的基本原則!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

5PIN輸入設(shè)備!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

6PIN的安全問題!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

7與賬戶相關(guān)的PIN功能的管理/保護技術(shù)!!!!!!!!!!!!!!!!!!!!!!!7

8交易相關(guān)PIN的管理/保護技術(shù)!!!!!!!!!!!!!!!!!!!!!!!!!!!9

附錄A(資料性附錄)密鑰管理的一般原則!!!!!!!!!!!!!!!!!!!!!!!13

附錄B(資料性附錄)PIN驗證技術(shù)!!!!!!!!!!!!!!!!!!!!!!!!!!15

附錄C(資料性附錄)用于聯(lián)機PIN加密的PIN輸入設(shè)備!!!!!!!!!!!!!!!!16

附錄D(資料性附錄)偽隨機PIN生成例子!!!!!!!!!!!!!!!!!!!!!!18

附錄E(資料性附錄)設(shè)計PIN輸入設(shè)備的設(shè)計指南!!!!!!!!!!!!!!!!!!!19

附錄F(資料性附錄)敏感數(shù)據(jù)的清除和銷毀程序指南!!!!!!!!!!!!!!!!!!22

附錄G(資料性附錄)提供給客戶的信息!!!!!!!!!!!!!!!!!!!!!!!!24

犌犅/犜21078.1—2007

前言

GB/T21078《銀行業(yè)務個人識別碼的管理與安全》分為三個部分:

———第1部分:ATM和POS系統(tǒng)中聯(lián)機PIN處理的基本原則和要求;

———第2部分:ATM和POS系統(tǒng)中脫機PIN處理要求;

———第3部分:開放網(wǎng)絡中PIN處理指南。

本部分為GB/T21078的第1部分。

本部分修改采用ISO95641:2002《銀行業(yè)務個人識別碼的管理和安全第1部分:ATM和

POS系統(tǒng)中聯(lián)機PIN處理的基本原則和要求》(英文版)。

為便于使用,本部分刪除了ISO前言。

針對我國金融業(yè)務密碼算法的實際使用情況,刪除了原國際標準第9章加密算法的核準程序。

本部分的附錄A到附錄G均為資料性附錄。

本部分由中國人民銀行提出。

本部分由全國金融標準化技術(shù)委員會歸口。

本部分負責起草單位:中國金融電子化公司。

本部分參加起草單位:中國人民銀行、中國銀行、中國建設(shè)銀行、中國銀聯(lián)股份有限公司、中國光大

銀行、北京啟明星辰公司。

本部分主要起草人:譚國安、楊、陸書春、李曙光、劉運、杜寧、劉志軍、張艷、張德棟、戴宏、張曉東、

馬云、李紅建、王威、王沁、孫衛(wèi)東、李春歡。

本部分為首次制定。

犌犅/犜21078.1—2007

銀行業(yè)務個人識別碼的管理與安全

第1部分:犃犜犕和犘犗犛系統(tǒng)中聯(lián)機犘犐犖

處理的基本原則和要求

1范圍

本部分規(guī)定了為有效的PIN管理提供所需要的最小安全措施的基本原則和技術(shù)。這些措施適用

于那些負責實施PIN管理和保護技術(shù)的機構(gòu)。

本部分也規(guī)定了聯(lián)機環(huán)境中金融交易卡所應用的PIN保護技術(shù)和PIN數(shù)據(jù)交換的標準方法。這

些技術(shù)適用于那些負責實施ATM和POS終端中PIN管理和保護技術(shù)的機構(gòu)。

本部分的條款沒有包括:

a)脫機PIN環(huán)境中的PIN管理和安全,ISO95643:2003中包含該項內(nèi)容;

b)電子商務環(huán)境中的PIN管理和安全,ISO9564后續(xù)部分將會包含該項內(nèi)容;

c)防止顧客或者發(fā)卡行授權(quán)的員工丟失或者故意誤用PIN;

d)非PIN交易數(shù)據(jù)的保密性;

e)交易報文的保護,防止修改或替換。如對PIN驗證的授權(quán)響應;

f)防止PIN或交易的重放;

g)特定密鑰管理技術(shù)。

2規(guī)范性引用文件

下列文件中的條款通過GB/T21078的本部分的引用而成為本部分的條款。凡是注日期的引用文

件,其隨后所有的修改單(不包括勘誤的內(nèi)容)或修訂版均不適用于本部分,然而,鼓勵根據(jù)本部分達成

協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經(jīng)授權(quán),嚴禁復制、發(fā)行、匯編、翻譯或網(wǎng)絡傳播等,侵權(quán)必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打?。驍?shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

評論

0/150

提交評論