GB/T 21078.2-2011銀行業(yè)務(wù)個(gè)人識(shí)別碼的管理與安全第2部分：ATM和POS系統(tǒng)中脫機(jī)PIN處理的要求

ICS3524040

A11..

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T210782—2011

.

銀行業(yè)務(wù)個(gè)人識(shí)別碼的管理與安全

第2部分ATM和POS系統(tǒng)中脫機(jī)PIN

:

處理的要求

Banking—Personalidentificationnumbermanagementandsecurity—

Part2ReuirementsforofflinePINhandlininATMandPOSsstems

:qgy

(ISO9564-3:2003,MOD)

2011-12-30發(fā)布2012-02-01實(shí)施

中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T210782—2011

.

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

在輸入設(shè)備和卡讀卡器之間傳輸時(shí)的保護(hù)

4PIN(PED)ICPIN……2

物理安全

5…………………2

格式

6PINBLOCK………………………3

概述

6.1…………………3

格式的

6.22PINBLOCK……………3

參考文獻(xiàn)

………………………4

Ⅰ

GB/T210782—2011

.

前言

銀行業(yè)務(wù)個(gè)人識(shí)別碼的管理和安全分為以下個(gè)部分

GB/T21078《》3:

第部分和系統(tǒng)中聯(lián)機(jī)處理的基本原則和要求

———1:ATMPOSPIN;

第部分和系統(tǒng)中脫機(jī)處理的要求

———2:ATMPOSPIN;

第部分開(kāi)放網(wǎng)絡(luò)中處理指南

———3:PIN。

本部分為的第部分

GB/T210782。

本部分按照給出的規(guī)則起草

GB/T1.1—2009。

本部分修改采用銀行業(yè)務(wù)個(gè)人識(shí)別碼的管理與安全第部分和

ISO9564-3:2003《3:ATM

系統(tǒng)中脫機(jī)處理的要求英文版

POSPIN》()。

本部分與的技術(shù)性差異為根據(jù)國(guó)內(nèi)的實(shí)際應(yīng)用情況將中應(yīng)為每筆交易

ISO9564-3:2003:,6.1“

使用惟一密鑰的要求擴(kuò)展為應(yīng)為每筆交易使用惟一密鑰或者定期更換加密密鑰有關(guān)技術(shù)性差異

”“”。

已編入正文并在其涉及的條款的頁(yè)邊空白處用垂直單線標(biāo)識(shí)

。

本部分刪除了前言

ISO。

本部分由中國(guó)人民銀行提出

。

本部分由全國(guó)金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口

(SAC/TC180)。

本部分負(fù)責(zé)起草單位中國(guó)金融電子化公司

:。

本部分參加起草單位中國(guó)工商銀行中國(guó)銀行交通銀行中國(guó)人民銀行興化市中心支行中國(guó)銀

:、、、、

聯(lián)股份有限公司

。

本部分主要起草人王平娃陸書(shū)春李曙光賈樹(shù)輝趙志蘭仲志暉王治綱冉平周燕媚張凡

:、、、、、、、、、、

賈靜劉運(yùn)景蕓張艷

、、、。

Ⅲ

GB/T210782—2011

.

引言

內(nèi)置集成電路的金融交易卡在技術(shù)上已可使用卡進(jìn)行脫機(jī)的驗(yàn)證目前發(fā)卡方可以選擇

ICPIN。

脫機(jī)或者聯(lián)機(jī)方式進(jìn)行驗(yàn)證的本部分為脫機(jī)處理提出了明確的要求

PIN。GB/T21078PIN。

脫機(jī)驗(yàn)證不要求把持卡人的發(fā)送到發(fā)卡方主機(jī)驗(yàn)證因此通過(guò)網(wǎng)絡(luò)進(jìn)行保護(hù)的相

PINPIN,PIN

關(guān)安全要求不適用但是盡管可以脫機(jī)驗(yàn)證許多通用的保護(hù)原則和技術(shù)仍然適用

。,PIN,PIN。

的本部分給出了對(duì)脫機(jī)類(lèi)處理的具體要求除非明確說(shuō)明給

GB/T21078PIN,,GB/T21078.1—2007

出的管理的基本原則適用于本部分

PIN。

的第部分定義了使用卡進(jìn)行持卡人驗(yàn)證的安全要求應(yīng)當(dāng)指出定義

ISO102026IC。,ISO10202

了對(duì)卡自身的要求而非對(duì)收單方卡接受設(shè)備的要求因此可以看成是對(duì)的補(bǔ)充

IC,IC,GB/T21078。

Ⅳ

GB/T210782—2011

.

銀行業(yè)務(wù)個(gè)人識(shí)別碼的管理與安全

第2部分ATM和POS系統(tǒng)中脫機(jī)PIN

:

處理的要求

1范圍

本部分規(guī)定了脫機(jī)處理的最低安全要求和在脫機(jī)環(huán)境下交換數(shù)據(jù)的標(biāo)準(zhǔn)方法

PINPIN。

本部分適用于要求脫機(jī)驗(yàn)證的卡發(fā)起的金融交易也適用于那些負(fù)責(zé)在和收單方布放

PIN,ATM

的終端中實(shí)施管理和保護(hù)技術(shù)的機(jī)構(gòu)

POSPIN。

本部分不適用于下列情況

:

聯(lián)機(jī)環(huán)境下的管理和安全包含該項(xiàng)內(nèi)容

a)PINPIN,GB/T21078.1;

核準(zhǔn)的加密算法

b)PIN;

在開(kāi)放網(wǎng)絡(luò)環(huán)境下使用包含該項(xiàng)內(nèi)容

c)PIN,GB/T21078.3;

防止用戶(hù)或者發(fā)卡方及其代理商的授權(quán)雇員丟失或故意誤用而采取的保護(hù)

d)PIN;

非交易數(shù)據(jù)的私密性

e)PIN;

保護(hù)交易報(bào)文防止修改或替換例如聯(lián)機(jī)授權(quán)響應(yīng)

f),,;

防止或交易重放

g)PIN;

特定的密鑰管理技術(shù)

h);

卡是否接受加密的決策

i)ICPIN;

非接觸式卡

j)IC。

的第章描述的管理的基本原則也適用于本部分

GB/T21078.1—20074PIN。

與多應(yīng)用卡相關(guān)的要求由發(fā)卡方負(fù)責(zé)不包括在本部分內(nèi)

IC,。

本部分適用于卡技術(shù)但不局限于卡技術(shù)

IC,IC。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

所有部分識(shí)別卡帶觸點(diǎn)的集成電路卡

GB/T16649()