ICS35.240.40 A11 GB 中华人民共和国国家标准 GB/T21078.2-2011 银行业务个人识别码的管理与安全 第2部分:ATM和POS系统中脱机PIN 处理的要求 Banking-Personal identification number management and security- Part 2:Requirements for offline PIN handling in ATM and POS systems (ISO9564-3:2003 MOD) 2011-12-30发布 2012-02-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会 发布 GB/T21078.2-2011 目次 前言 引言 1范围 .1 2规范性引用文件 3术语和定义 4在PIN输入设备(PED)和IC卡读卡器之间传输时的PIN保护2 5物理安全 2 6 PIN BLOCK格式 3 6.1概述 3 6.2格式2的PIN BL.OCK3 参考文献 4 I GB/T21078.2-2011 前言 GB/T21078《银行业务个人识别码的管理和安全》分为以下3个部分: —第1部分:ATM和POS系统中联机PIN处理的基本原则和要求; —第2部分:ATM和POS系统中脱机PIN处理的要求; —第3部分:开放网络中PIN处理指南. 本部分为GB/T21078的第2部分. 本部分按照GB/T1.1一2009给出的规则起草, 本部分修改采用ISO9564-3:2003《银行业务个人识别码的管理与安全第3部分:ATM和 POS系统中脱机PIN处理的要求》(英文版). 本部分与ISO9564-3:2003的技术性差异为:根据国内的实际应用情况,将6.1中“应为每笔交易 使用惟一密钥”的要求扩展为“应为每笔交易使用惟一密钥或者定期更换加密密钥”.有关技术性差异 已编入正文并在其涉及的条款的页边空白处用垂直单线标识. 本部分删除了ISO前言. 本部分由中国人民银行提出, 本部分由全国金融标准化技术委员会(SAC/TC180)归口. 本部分负责起草单位:中国金融电子化公司. 本部分参加起草单位:中国工商银行、中国银行、交通银行、中国人民银行兴化市中心支行、中国银 联股份有限公司. 本部分主要起草人:王平娃、陆书春、李曙光、贾树辉、赵志兰、仲志晖、王治纲、冉平、周燕媚、张凡、 贾静、刘运、景芸、张艳. GB/T21078.2-2011 引言 内置集成电路的金融交易卡在技术上已可使用IC卡进行脱机的PIN验证.目前发卡方可以选择 脱机或者联机方式进行PIN验证.GB/T21078的本部分为脱机处理PIN提出了明确的要求. 脱机PIN验证不要求把持卡人的PIN发送到发卡方主机验证,因此通过网络进行PIN保护的相 关安全要求不适用.但是,尽管PIN可以脱机验证,许多通用的PIN保护原则和技术仍然适用. GB/T21078的本部分给出了对脱机类PIN处理的具体要求,除非明确说明,GB/T21078.1一2007给 出的PIN管理的基本原则适用于本部分, ISO10202的第6部分定义了使用IC卡进行持卡人验证的安全要求.应当指出,ISO10202定义 了对IC卡自身的要求,而非对收单方IC卡接受设备的要求,因此可以看成是对GB/T21078的补充. N ...
GB/T 21078.2-2011 银行业务 个人识别码的管理与安全 第2部分:ATM和POS系统中脱机PIN处理的要求.pdf
