ICS3524040

A11..

中華人民共和國國家標準

GB/T210783—2011/ISO/TR9564-42004

.:

銀行業(yè)務(wù)個人識別碼的管理與安全

第3部分開放網(wǎng)絡(luò)中PIN處理指南

:

Bankin—PersonalidentificationnumberPINmanaementandsecurit—

g()gy

Part3GuidelinesforPINhandlininoennetworks

:gp

(ISO/TR9564-4:2004,IDT)

2011-12-30發(fā)布2012-02-01實施

中華人民共和國國家質(zhì)量監(jiān)督檢驗檢疫總局發(fā)布

中國國家標準化管理委員會

GB/T210783—2011/ISO/TR9564-42004

.:

前言

銀行業(yè)務(wù)個人識別碼的管理和安全分為以下個部分

GB/T21078《》3:

第部分和系統(tǒng)中聯(lián)機處理的基本原則和要求

———1:ATMPOSPIN;

第部分和系統(tǒng)中脫機處理的要求

———2:ATMPOSPIN;

第部分開放網(wǎng)絡(luò)中處理指南

———3:PIN。

本部分為的第部分

GB/T210783。

本部分按照給出的規(guī)則起草

GB/T1.1—2009。

本部分等同采用銀行業(yè)務(wù)個人識別碼的管理與安全第部分開放網(wǎng)

ISO/TR9564-4:2004《4:

絡(luò)中處理指南英文版

PIN》()。

本部分刪除了前言

ISO。

本部分由中國人民銀行提出

。

本部分由全國金融標準化技術(shù)委員會歸口

(SAC/TC180)。

本部分負責起草單位中國金融電子化公司

:。

本部分參加起草單位中國工商銀行中國銀行交通銀行中國人民銀行興化市中心支行中國銀

:、、、、

聯(lián)股份有限公司

。

本部分主要起草人王平娃陸書春李曙光賈樹輝趙志蘭仲志暉王治綱冉平周燕媚張凡

:、、、、、、、、、、

賈靜劉運景蕓張艷

、、、。

Ⅰ

GB/T210783—2011/ISO/TR9564-42004

.:

引言

開放網(wǎng)絡(luò)環(huán)境是一個高風(fēng)險的環(huán)境對基于的交易尤其是這樣因為發(fā)卡方或收單方對

。PIN,PIN

輸入設(shè)備都是無法控制的在許多情況下是持卡人來決定使用什么樣網(wǎng)絡(luò)訪問設(shè)備

。,。

本部分提供了一個指南以幫助支付系統(tǒng)的參與者在開放網(wǎng)絡(luò)系統(tǒng)中減少泄露帶來的風(fēng)險

,PIN,

以及防止在和涵蓋的支付系統(tǒng)中隨泄露可能出現(xiàn)的欺詐其目的

GB/T21078.1GB/T21078.2PIN。

是在開放網(wǎng)絡(luò)環(huán)境中定義一個最小安全準則如果在這種環(huán)境中的安全性不足卡的數(shù)據(jù)也

PIN。PIN,

被泄露則兩者卡數(shù)據(jù)和就有很高的可能性在或開放網(wǎng)絡(luò)環(huán)境中被欺詐性地使用

,(PIN)ATM、POS。

鑒別機制的完整性取決于和持卡人數(shù)據(jù)的機密性在開放網(wǎng)絡(luò)環(huán)境下由于缺乏控制使得

PIN。,

的保護變得困難因此保護持卡人數(shù)據(jù)是必要的這可以把在開放網(wǎng)絡(luò)環(huán)境下卡數(shù)據(jù)盜用和

PIN,,,PIN

泄露造成的欺詐風(fēng)險降到最小

。

Ⅱ

GB/T210783—2011/ISO/TR9564-42004

.:

銀行業(yè)務(wù)個人識別碼的管理與安全

第3部分開放網(wǎng)絡(luò)中PIN處理指南

:

1范圍

本部分規(guī)定了在開放網(wǎng)絡(luò)系統(tǒng)中的處理指南在發(fā)卡方及收單方?jīng)]有直接對管理進行控

PIN;PIN

制的環(huán)境中或在發(fā)生交易前輸入設(shè)備與收單方?jīng)]有關(guān)系的情況下為管理和處理金融卡發(fā)

,PIN,PIN

起的交易提供金融業(yè)務(wù)安全措施的最佳實踐

。

本部分適用于需要驗證的金融卡發(fā)起的交易并適用于負責在開放網(wǎng)絡(luò)系統(tǒng)中使用的終端和

PIN,

輸入裝置中實施管理技術(shù)的組織

PINPIN。

本部分不適用于

:

聯(lián)機環(huán)境下的管理和安全和包含該項內(nèi)容

———PINPIN,GB/T21078.1GB/T21078.2;

核準的加密算法

———PIN;

防止用戶或者發(fā)卡方及其代理商的授權(quán)雇員丟失或故意誤用而采取的保護

———PIN;

非交易數(shù)據(jù)的私密性

———PIN;

保護交易報文防止修改或替換例如聯(lián)機授權(quán)響應(yīng)

———,,;

防止或交易重放

———PIN;

特定的密鑰管理技術(shù)

———;

由基于服務(wù)器的應(yīng)用例如電子錢包來訪問并儲存卡數(shù)據(jù)

———(:);

金融機構(gòu)布放的持卡人激活的安全的輸入設(shè)備

———、、PIN。

2術(shù)語和定義

下列術(shù)語和定義適用于本文件

。

21

.

收單方acquirer

從受卡方獲得與交易相關(guān)的數(shù)據(jù)并將數(shù)據(jù)提交給交換系統(tǒng)的機構(gòu)或其代理

。

22

.

泄露compromise

密碼學(xué)對保密性和