ICS 35.240.40 A 11 中华人民共和国国家标准 GB/T 21078.3-2011/ISO/TR9564-4:2004 银行业务个人识别码的管理与安全 第3部分:开放网络中PIN处理指南 Banking-Personal identification number (PIN) management and security- Part 3;Guidelines for PIN handling in open networks (ISO/TR 9564-4;2004 IDT) 2011-12-30发布 2012-02-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会 发布
GB/T 21078.3-2011/ISO/TR 9564-4:2004 前言 GB/T21078(银行业务个人识别码的管理和安全》分为以下3个部分: 第1部分:ATM和POS系统中联机PIN处理的基本原则和要求; -第2部分:ATM和POS系统中脱机PIN处理的要求; 第3部分:开放网络中PIN处理指南, 本部分为GB/T21078的第3部分 本部分按照GB/T1.1-2009给出的规则起草 本部分等同采用ISO/TR9564-4:2004(银行业务个人识别码的管理与安全第4部分:开放网 络中PIN处理指南X(英文版). 本部分副除了ISO前言, 本部分由中国人民银行提出, 本部分由全国金融标准化技术委员会(SAC/TC180)归口, 本部分负资起草单位:中国金融电子化公司. 本部分参加起草单位:中国工商银行、中国银行、交通银行、中国人民银行兴化市中心支行、中国银 联股份有限公司. 本部分主要起草人:王平娃、陆书春、李曙光、贾树辉、赵志兰、仲志晖、王治纲、冉平、周燕掘、张凡、 贾静、刘运、景芸、张艳.
GB/T 21078.3-2011/ISO/TR 9564-4;2004 引言 开放网络环境是一个高风险的环境,对基于PIN的交易尤其是这样,因为发卡方或收单方对PIN 输人设备都是无法控制的.在许多情况下,是持卡人来决定使用什么样网络访问设备. 本部分提供了一个指南,以帮助支付系统的参与者在开放网络系统中减少PIN泄露带来的风险, 以及防止在GB/T21078.1和GB/T21078.2涵差的支付系统中随PIN泄霆可能出现的欺诈,其目的 是在开放网络环境中定义一个最小PIN安全准则,如果PIN在这种环境中的安全性不足,卡的数据也 被泄露,则两者(卡数据和PIN)就有很高的可能性在ATM、POS或开放网络环境中被款诈性地使用. 鉴别机制的完整性取决于PIN和持卡人数据的机密性,在开放网络环境下,由于缺乏控制使得 PIN的保护变得困难,因此,保护持卡人数据是必要的,这可以把在开放网络环境下卡数据盗用和PIN 积露造成的欺诈风险降到最小.
GB/T 21078.3-2011/ISO/TR 9564-4;2004 银行业务个人识别码的管理与安全 第3部分:开放网络中PIN处理指南 1范围 本部分规定了在开放网络系统中PIN的处理指南:在发卡方及收单方没有直接对PIN管理进行控 制的环境中,或在发生交易前PIN输人设备与收单方没有关系的情况下,为管理PIN和处理金融卡发 起的交易提供金融业务安全措施的最佳实践, 本部分适用于需要验证PIN的金融卡发起的交易,并适用于负责在开放网络系统中使用的终端和 PIN输人装置中实施PIN管理技术的组织. 本部分不适用于: --联机PIN环境下的PIN管理和安全,GB/T21078.1和GB/T21078.2包含该项内容; 核准的PIN加密算法: 防止用户或者发卡方及其代理商的授权虚员丢失或教意误用面采取的PIN保护; -非PIN交易数据的私密性; 保护交易报文,防止修改或替换,例如联机授权响应: --防止PIN或交易重放: --特定的密钥管理技术; 一由基于服务器的应用(例如:电子钱包)来访间并储存卡数据; 一金融机构布放的、持卡人激活的、安全的PIN输人设备. 2术语和定义 下列术语和定文适用于本文件. 2.1 收单方acquirer 从受卡方获得与交易相关的数据并将数据提交给交换系统的机构或其代理. 2.2 泄露promise (密码学)对保密性和(或)安全性的破坏. 2. 3 加密encipherment 采用某种编码机制将文本翻译为未授权者不可理解的形式. 2. 4 集威电路卡(IC卡)integrated cireuit card(ICC) ID1型卡,根据GB/T14916.GB/T15120.GB/T15694和GB/T17552的定义,其中嵌人了 个或多个集成电路. 性:参见GB/T16649.1. 2.5 发卡方issuer 拥有主账号所标识账户的机构,
GB/T 210...
GB/T 21078.3-2011 银行业务 个人识别码的管理与安全 第3部分:开放网络中PIN处理指南.pdf
