標準解讀

GB/T 21078.1-2007是一項針對銀行業務中個人識別碼(PIN)管理與安全的標準,特別聚焦于自動柜員機(ATM)和銷售點(POS)系統中的聯機PIN處理。該標準設定了基本的原則與要求,旨在確保PIN在處理過程中的保密性、完整性和可用性,防止未授權訪問和欺詐行為。以下是該標準內容的詳細說明:

  1. 范圍與應用:本標準適用于銀行及金融機構在ATM和POS系統中實施的聯機PIN處理機制,明確了技術要求和操作流程,以保護客戶PIN的安全。

  2. 基本原則

    • 最小化信息暴露:要求系統設計應確保PIN在傳輸和處理過程中不以明文形式出現,減少被截取的風險。
    • 加密與認證:強調對PIN數據使用強加密算法進行保護,并執行雙向認證,確保交易雙方的真實性。
    • 分離原則:PIN的處理應與其對應的賬戶信息物理或邏輯分離,即使數據被非法獲取,也無法直接關聯到特定賬戶。
    • 安全硬件支持:提倡使用專用的安全模塊(如硬件安全模塊HSM)來處理敏感信息,增強安全性。

  3. 技術要求

    • 加密技術:規定了加密算法的最低安全強度要求,如采用國際認可的加密標準進行數據保護。
    • 密鑰管理:確立了密鑰生成、分發、存儲、更新及銷毀的嚴格流程,確保密鑰安全生命周期管理。
    • 設備安全:要求ATM和POS終端必須符合一定的物理安全標準,防止硬件篡改,并定期進行安全檢查和維護。
    • 交易監控與審計:強調系統應具備交易監控能力,記錄并分析異常行為,同時保留審計日志,以便追溯審查。

  4. 操作流程

    • 用戶教育:提倡向用戶宣傳安全意識,如遮擋鍵盤輸入PIN,不在公共場所透露PIN等。
    • 應急響應:要求建立有效的應急響應計劃,一旦發現安全漏洞或遭受攻擊,能夠迅速采取行動,減小損失。
    • 定期評估與更新:鼓勵定期對系統安全進行評估,根據新的威脅態勢和技術發展,及時調整和升級安全措施。


如需獲取更多詳盡信息,請直接參考下方經官方授權發布的權威標準文檔。

....

查看全部

  • 被代替
  • 已被新標準代替
  • 2007-09-05 頒布
  • 2007-12-01 實施
?正版授權
GB/T 21078.1-2007銀行業務個人識別碼的管理與安全第1部分:ATM和POS系統中聯機PIN處理的基本原則和要求_第1頁
GB/T 21078.1-2007銀行業務個人識別碼的管理與安全第1部分:ATM和POS系統中聯機PIN處理的基本原則和要求_第2頁
GB/T 21078.1-2007銀行業務個人識別碼的管理與安全第1部分:ATM和POS系統中聯機PIN處理的基本原則和要求_第3頁
GB/T 21078.1-2007銀行業務個人識別碼的管理與安全第1部分:ATM和POS系統中聯機PIN處理的基本原則和要求_第4頁

文檔簡介

犐犆犛35.240.40

犃11

中華人民共和國國家標準

犌犅/犜21078.1—2007

銀行業務個人識別碼的管理與安全

第1部分:犃犜犕和犘犗犛系統中聯機犘犐犖

處理的基本原則和要求

犅犪狀犽犻狀犵—犘犲狉狊狅狀犪犾犐犱犲狀狋犻犳犻犮犪狋犻狅狀犖狌犿犫犲狉犿犪狀犪犵犲犿犲狀狋犪狀犱狊犲犮狌狉犻狋狔—

犘犪狉狋1:犅犪狊犻犮狆狉犻狀犮犻狆犾犲狊犪狀犱狉犲狇狌犻狉犲犿犲狀狋狊犳狅狉狅狀犾犻狀犲犘犐犖犺犪狀犱犾犻狀犵

犻狀犃犜犕犪狀犱犘犗犛狊狔狊狋犲犿狊

(ISO95641:2002,MOD)

20070905發布20071201實施

中華人民共和國國家質量監督檢驗檢疫總局

發布

中國國家標準化管理委員會

犌犅/犜21078.1—2007

目次

前言!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Ⅲ

1范圍!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

2規范性引用文件!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

3術語和定義!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1

4PIN管理的基本原則!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

5PIN輸入設備!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!4

6PIN的安全問題!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5

7與賬戶相關的PIN功能的管理/保護技術!!!!!!!!!!!!!!!!!!!!!!!7

8交易相關PIN的管理/保護技術!!!!!!!!!!!!!!!!!!!!!!!!!!!9

附錄A(資料性附錄)密鑰管理的一般原則!!!!!!!!!!!!!!!!!!!!!!!13

附錄B(資料性附錄)PIN驗證技術!!!!!!!!!!!!!!!!!!!!!!!!!!15

附錄C(資料性附錄)用于聯機PIN加密的PIN輸入設備!!!!!!!!!!!!!!!!16

附錄D(資料性附錄)偽隨機PIN生成例子!!!!!!!!!!!!!!!!!!!!!!18

附錄E(資料性附錄)設計PIN輸入設備的設計指南!!!!!!!!!!!!!!!!!!!19

附錄F(資料性附錄)敏感數據的清除和銷毀程序指南!!!!!!!!!!!!!!!!!!22

附錄G(資料性附錄)提供給客戶的信息!!!!!!!!!!!!!!!!!!!!!!!!24

犌犅/犜21078.1—2007

前言

GB/T21078《銀行業務個人識別碼的管理與安全》分為三個部分:

———第1部分:ATM和POS系統中聯機PIN處理的基本原則和要求;

———第2部分:ATM和POS系統中脫機PIN處理要求;

———第3部分:開放網絡中PIN處理指南。

本部分為GB/T21078的第1部分。

本部分修改采用ISO95641:2002《銀行業務個人識別碼的管理和安全第1部分:ATM和

POS系統中聯機PIN處理的基本原則和要求》(英文版)。

為便于使用,本部分刪除了ISO前言。

針對我國金融業務密碼算法的實際使用情況,刪除了原國際標準第9章加密算法的核準程序。

本部分的附錄A到附錄G均為資料性附錄。

本部分由中國人民銀行提出。

本部分由全國金融標準化技術委員會歸口。

本部分負責起草單位:中國金融電子化公司。

本部分參加起草單位:中國人民銀行、中國銀行、中國建設銀行、中國銀聯股份有限公司、中國光大

銀行、北京啟明星辰公司。

本部分主要起草人:譚國安、楊、陸書春、李曙光、劉運、杜寧、劉志軍、張艷、張德棟、戴宏、張曉東、

馬云、李紅建、王威、王沁、孫衛東、李春歡。

本部分為首次制定。

犌犅/犜21078.1—2007

銀行業務個人識別碼的管理與安全

第1部分:犃犜犕和犘犗犛系統中聯機犘犐犖

處理的基本原則和要求

1范圍

本部分規定了為有效的PIN管理提供所需要的最小安全措施的基本原則和技術。這些措施適用

于那些負責實施PIN管理和保護技術的機構。

本部分也規定了聯機環境中金融交易卡所應用的PIN保護技術和PIN數據交換的標準方法。這

些技術適用于那些負責實施ATM和POS終端中PIN管理和保護技術的機構。

本部分的條款沒有包括:

a)脫機PIN環境中的PIN管理和安全,ISO95643:2003中包含該項內容;

b)電子商務環境中的PIN管理和安全,ISO9564后續部分將會包含該項內容;

c)防止顧客或者發卡行授權的員工丟失或者故意誤用PIN;

d)非PIN交易數據的保密性;

e)交易報文的保護,防止修改或替換。如對PIN驗證的授權響應;

f)防止PIN或交易的重放;

g)特定密鑰管理技術。

2規范性引用文件

下列文件中的條款通過GB/T21078的本部分的引用而成為本部分的條款。凡是注日期的引用文

件,其隨后所有的修改單(不包括勘誤的內容)或修訂版均不適用于本部分,然而,鼓勵根據本部分達成

協議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引

溫馨提示

  • 1. 本站所提供的標準文本僅供個人學習、研究之用,未經授權,嚴禁復制、發行、匯編、翻譯或網絡傳播等,侵權必究。
  • 2. 本站所提供的標準均為PDF格式電子版文本(可閱讀打印),因數字商品的特殊性,一經售出,不提供退換貨服務。
  • 3. 標準文檔要求電子版與印刷版保持一致,所以下載的文檔中可能包含空白頁,非文檔質量問題。

最新文檔

評論

0/150

提交評論