標(biāo)準(zhǔn)解讀

GB/T 21078.3-2011是一項(xiàng)針對銀行業(yè)務(wù)中個(gè)人識別碼(PIN)管理與安全的國家標(biāo)準(zhǔn),特別聚焦于開放網(wǎng)絡(luò)環(huán)境中PIN處理的最佳實(shí)踐和指導(dǎo)原則。該標(biāo)準(zhǔn)旨在確保個(gè)人銀行信息在數(shù)字化交易中的保護(hù),防止未授權(quán)訪問和欺詐行為。以下是該標(biāo)準(zhǔn)的關(guān)鍵內(nèi)容概述:

  1. 適用范圍:本標(biāo)準(zhǔn)適用于所有在開放網(wǎng)絡(luò)(如互聯(lián)網(wǎng))上進(jìn)行的銀行業(yè)務(wù)中,涉及到個(gè)人識別碼處理的系統(tǒng)設(shè)計(jì)、實(shí)施和操作維護(hù)過程。這包括但不限于網(wǎng)上銀行、移動(dòng)銀行應(yīng)用等服務(wù)。

  2. PIN定義與分類:個(gè)人識別碼(PIN)是一種個(gè)人保密信息,用于驗(yàn)證用戶身份。標(biāo)準(zhǔn)明確了PIN的敏感性,并強(qiáng)調(diào)了其在開放網(wǎng)絡(luò)環(huán)境下的特殊保護(hù)需求。

  3. 安全原則:標(biāo)準(zhǔn)強(qiáng)調(diào)應(yīng)遵循最小權(quán)限原則,即系統(tǒng)僅授予執(zhí)行特定任務(wù)所需的最有限權(quán)限。同時(shí),要求實(shí)施數(shù)據(jù)加密技術(shù),確保PIN在傳輸和存儲(chǔ)過程中的保密性和完整性。

  4. PIN生成與分配:規(guī)定了PIN的生成應(yīng)基于強(qiáng)隨機(jī)數(shù)生成器,確保其不可預(yù)測性。PIN的初始分配和后續(xù)重置過程也需安全執(zhí)行,避免信息泄露風(fēng)險(xiǎn)。

  5. 用戶認(rèn)證:介紹了多因素認(rèn)證機(jī)制的重要性,除了PIN外,還應(yīng)結(jié)合其他驗(yàn)證手段(如生物特征、短信驗(yàn)證碼等),以增強(qiáng)用戶身份驗(yàn)證的安全性。

  6. PIN輸入與處理:標(biāo)準(zhǔn)要求在開放網(wǎng)絡(luò)環(huán)境下,采用安全的PIN輸入機(jī)制,例如通過硬件加密鍵盤或軟鍵盤隨機(jī)化布局,防止鍵擊記錄攻擊。同時(shí),規(guī)定了服務(wù)器端對PIN的處理應(yīng)遵循安全協(xié)議,禁止明文存儲(chǔ)或傳輸PIN。

  7. 系統(tǒng)安全與監(jiān)控:強(qiáng)調(diào)了定期安全審計(jì)、系統(tǒng)漏洞掃描及入侵檢測系統(tǒng)的必要性,確保及時(shí)發(fā)現(xiàn)并應(yīng)對潛在威脅。此外,要求建立有效的日志記錄和監(jiān)控機(jī)制,以便追蹤異?;顒?dòng)。

  8. 員工培訓(xùn)與意識:指出銀行機(jī)構(gòu)應(yīng)定期對員工進(jìn)行信息安全培訓(xùn),提升其對PIN處理安全性的認(rèn)識和操作規(guī)范性,減少人為失誤導(dǎo)致的安全漏洞。

  9. 合規(guī)性與持續(xù)改進(jìn):鼓勵(lì)銀行機(jī)構(gòu)遵循相關(guān)法律法規(guī),并根據(jù)技術(shù)發(fā)展和安全威脅的新變化,不斷審查和更新其PIN管理與安全策略。


如需獲取更多詳盡信息,請直接參考下方經(jīng)官方授權(quán)發(fā)布的權(quán)威標(biāo)準(zhǔn)文檔。

....

查看全部

  • 現(xiàn)行
  • 正在執(zhí)行有效
  • 2011-12-30 頒布
  • 2012-02-01 實(shí)施
?正版授權(quán)
GB/T 21078.3-2011銀行業(yè)務(wù)個(gè)人識別碼的管理與安全第3部分:開放網(wǎng)絡(luò)中PIN處理指南_第1頁
GB/T 21078.3-2011銀行業(yè)務(wù)個(gè)人識別碼的管理與安全第3部分:開放網(wǎng)絡(luò)中PIN處理指南_第2頁
GB/T 21078.3-2011銀行業(yè)務(wù)個(gè)人識別碼的管理與安全第3部分:開放網(wǎng)絡(luò)中PIN處理指南_第3頁
GB/T 21078.3-2011銀行業(yè)務(wù)個(gè)人識別碼的管理與安全第3部分:開放網(wǎng)絡(luò)中PIN處理指南_第4頁
免費(fèi)預(yù)覽已結(jié)束,剩余8頁可下載查看

下載本文檔

GB/T 21078.3-2011銀行業(yè)務(wù)個(gè)人識別碼的管理與安全第3部分:開放網(wǎng)絡(luò)中PIN處理指南-免費(fèi)下載試讀頁

文檔簡介

ICS3524040

A11..

中華人民共和國國家標(biāo)準(zhǔn)

GB/T210783—2011/ISO/TR9564-42004

.:

銀行業(yè)務(wù)個(gè)人識別碼的管理與安全

第3部分開放網(wǎng)絡(luò)中PIN處理指南

:

Bankin—PersonalidentificationnumberPINmanaementandsecurit—

g()gy

Part3GuidelinesforPINhandlininoennetworks

:gp

(ISO/TR9564-4:2004,IDT)

2011-12-30發(fā)布2012-02-01實(shí)施

中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T210783—2011/ISO/TR9564-42004

.:

前言

銀行業(yè)務(wù)個(gè)人識別碼的管理和安全分為以下個(gè)部分

GB/T21078《》3:

第部分和系統(tǒng)中聯(lián)機(jī)處理的基本原則和要求

———1:ATMPOSPIN;

第部分和系統(tǒng)中脫機(jī)處理的要求

———2:ATMPOSPIN;

第部分開放網(wǎng)絡(luò)中處理指南

———3:PIN。

本部分為的第部分

GB/T210783。

本部分按照給出的規(guī)則起草

GB/T1.1—2009。

本部分等同采用銀行業(yè)務(wù)個(gè)人識別碼的管理與安全第部分開放網(wǎng)

ISO/TR9564-4:2004《4:

絡(luò)中處理指南英文版

PIN》()。

本部分刪除了前言

ISO。

本部分由中國人民銀行提出

本部分由全國金融標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口

(SAC/TC180)。

本部分負(fù)責(zé)起草單位中國金融電子化公司

:。

本部分參加起草單位中國工商銀行中國銀行交通銀行中國人民銀行興化市中心支行中國銀

:、、、、

聯(lián)股份有限公司

。

本部分主要起草人王平娃陸書春李曙光賈樹輝趙志蘭仲志暉王治綱冉平周燕媚張凡

:、、、、、、、、、、

賈靜劉運(yùn)景蕓張艷

、、、。

GB/T210783—2011/ISO/TR9564-42004

.:

引言

開放網(wǎng)絡(luò)環(huán)境是一個(gè)高風(fēng)險(xiǎn)的環(huán)境對基于的交易尤其是這樣因?yàn)榘l(fā)卡方或收單方對

。PIN,PIN

輸入設(shè)備都是無法控制的在許多情況下是持卡人來決定使用什么樣網(wǎng)絡(luò)訪問設(shè)備

。,。

本部分提供了一個(gè)指南以幫助支付系統(tǒng)的參與者在開放網(wǎng)絡(luò)系統(tǒng)中減少泄露帶來的風(fēng)險(xiǎn)

,PIN,

以及防止在和涵蓋的支付系統(tǒng)中隨泄露可能出現(xiàn)的欺詐其目的

GB/T21078.1GB/T21078.2PIN。

是在開放網(wǎng)絡(luò)環(huán)境中定義一個(gè)最小安全準(zhǔn)則如果在這種環(huán)境中的安全性不足卡的數(shù)據(jù)也

PIN。PIN,

被泄露則兩者卡數(shù)據(jù)和就有很高的可能性在或開放網(wǎng)絡(luò)環(huán)境中被欺詐性地使用

,(PIN)ATM、POS。

鑒別機(jī)制的完整性取決于和持卡人數(shù)據(jù)的機(jī)密性在開放網(wǎng)絡(luò)環(huán)境下由于缺乏控制使得

PIN。,

的保護(hù)變得困難因此保護(hù)持卡人數(shù)據(jù)是必要的這可以把在開放網(wǎng)絡(luò)環(huán)境下卡數(shù)據(jù)盜用和

PIN,,,PIN

泄露造成的欺詐風(fēng)險(xiǎn)降到最小

。

GB/T210783—2011/ISO/TR9564-42004

.:

銀行業(yè)務(wù)個(gè)人識別碼的管理與安全

第3部分開放網(wǎng)絡(luò)中PIN處理指南

:

1范圍

本部分規(guī)定了在開放網(wǎng)絡(luò)系統(tǒng)中的處理指南在發(fā)卡方及收單方?jīng)]有直接對管理進(jìn)行控

PIN;PIN

制的環(huán)境中或在發(fā)生交易前輸入設(shè)備與收單方?jīng)]有關(guān)系的情況下為管理和處理金融卡發(fā)

,PIN,PIN

起的交易提供金融業(yè)務(wù)安全措施的最佳實(shí)踐

本部分適用于需要驗(yàn)證的金融卡發(fā)起的交易并適用于負(fù)責(zé)在開放網(wǎng)絡(luò)系統(tǒng)中使用的終端和

PIN,

輸入裝置中實(shí)施管理技術(shù)的組織

PINPIN。

本部分不適用于

:

聯(lián)機(jī)環(huán)境下的管理和安全和包含該項(xiàng)內(nèi)容

———PINPIN,GB/T21078.1GB/T21078.2;

核準(zhǔn)的加密算法

———PIN;

防止用戶或者發(fā)卡方及其代理商的授權(quán)雇員丟失或故意誤用而采取的保護(hù)

———PIN;

非交易數(shù)據(jù)的私密性

———PIN;

保護(hù)交易報(bào)文防止修改或替換例如聯(lián)機(jī)授權(quán)響應(yīng)

———,,;

防止或交易重放

———PIN;

特定的密鑰管理技術(shù)

———;

由基于服務(wù)器的應(yīng)用例如電子錢包來訪問并儲(chǔ)存卡數(shù)據(jù)

———(:);

金融機(jī)構(gòu)布放的持卡人激活的安全的輸入設(shè)備

———、、PIN。

2術(shù)語和定義

下列術(shù)語和定義適用于本文件

。

21

.

收單方acquirer

從受卡方獲得與交易相關(guān)的數(shù)據(jù)并將數(shù)據(jù)提交給交換系統(tǒng)的機(jī)構(gòu)或其代理

22

.

泄露compromise

密碼學(xué)對保密性和

溫馨提示

  • 1. 本站所提供的標(biāo)準(zhǔn)文本僅供個(gè)人學(xué)習(xí)、研究之用,未經(jīng)授權(quán),嚴(yán)禁復(fù)制、發(fā)行、匯編、翻譯或網(wǎng)絡(luò)傳播等,侵權(quán)必究。
  • 2. 本站所提供的標(biāo)準(zhǔn)均為PDF格式電子版文本(可閱讀打?。?,因數(shù)字商品的特殊性,一經(jīng)售出,不提供退換貨服務(wù)。
  • 3. 標(biāo)準(zhǔn)文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質(zhì)量問題。

最新文檔

評論

0/150

提交評論