Tiêu chuẩn Quốc gia TCVN 8461-1:2010 quy định các kỹ thuật và nguyên tắc cơ bản để đưa ra các giải pháp bảo mật tối thiểu được yêu cầu cho quản lý mã PIN quốc tế. Các giải pháp này được áp dụng cho các cơ quan tổ chức có trách nhiệm thực hiện các kỹ thuật để quản lý và bảo vệ mã PIN.
Trang 1TIÊU CHUẨN QUỐC GIA TCVN 8461-1:2010 ISO 9564-1:2002
NGÂN HÀNG - QUẢN LÝ BẢO MẬT SỐ NHẬN DẠNG CÁ NHÂN - PHẦN 1: NGUYÊN TẮC CƠ
BẢN VÀ YÊU CẦU ĐỐI VỚI TRAO ĐỔI PIN TẠI CÁC HỆ THỐNG RÚT TIỀN
Banking - Personal Identification Number management and security - Part 1: Basic principles and
requirements for online PIN handling in ATM and POS systems
Lời nói đầu
TCVN 8461-1:2010 hoàn toàn tương đương với ISO 9564-1:2005
TCVN 8461-1:2010 do Ban kỹ thuật Tiêu chuẩn quốc gia TCVN/TC 68 “Tài chính ngân hàng và tiền tệ" biên soạn, Tổng cục Tiêu chuẩn Đo lường Chất lượng đề nghị, Bộ Khoa học và Công
nghệ công bố
Bộ TCVN 8461 (ISO 9564) Ngân hàng - Quản lý bảo mật số nhận dạng cá nhân gồm 2 phần:
- TCVN 8461-1 (ISO 9564-1) - Phần 1: Nguyên tắc cơ bản và yêu cầu đối với trao đổi PIN tại các
hệ thống rút tiền
- TCVN 8461-2 (ISO 9564-2) - Phần 2: Phê chuẩn thuật toán mã hóa PIN
Bộ (ISO 9564) Banking - Personal Identification Number management and security còn có các
phần:
- Part 3: Requirements for offline PIN handling in ATM and POS systems
- Part 4: Guidelines for PIN handling in open networks
NGÂN HÀNG - QUẢN LÝ BẢO MẬT SỐ NHẬN DẠNG CÁ NHÂN - PHẦN 1: NGUYÊN TẮC CƠ
BẢN VÀ YÊU CẦU ĐỐI VỚI TRAO ĐỔI PIN TẠI CÁC HỆ THỐNG RÚT TIỀN
Banking - Personal Identification Number management and security - Part 1: Basic principles and requirements for online PIN handling in ATM and POS systems
1 Phạm vi áp dụng
Tiêu chuẩn này quy định các kỹ thuật và nguyên tắc cơ bản để đưa ra các giải pháp bảo mật tối thiểu được yêu cầu cho quản lý mã PIN quốc tế Các giải pháp này được áp dụng cho các cơ quan tổ chức có trách nhiệm thực hiện các kỹ thuật để quản lý và bảo vệ mã PIN
Tiêu chuẩn này cũng quy định các kỹ thuật bảo vệ mã PIN áp dụng cho các giao dịch tài chính dựa trên thẻ giao dịch gốc trong môi trường trực tuyến và phương pháp trao đổi chuẩn dữ liệu
mã PIN Các kỹ thuật này được áp dụng cho các cơ quan tổ chức có trách nhiệm thực hiện các
kỹ thuật về quản lý và bảo vệ các mã Pin tại các máy rút tiền tự động (ATM) và bên thu thẻ đảm trách các thiết bị đầu cuối hệ thống bán hàng (POS)
Các quy định trong tiêu chuẩn này không bao gồm:
a) Quản lý và bảo mật mã PIN trong môi trường mã PIN ngoại tuyến, điều này được đề cập trong ISO 9564-3;
b) Quản lý và bảo mật mã PIN trong các môi trường thương mại điện tử, đây cũng được đề cập trong phần sau của ISO 9564;
c) Việc bảo vệ mã PIN chống lại việc mất mát hoặc lạm dụng có chủ ý bởi khách hàng hoặc các nhân viên được ủy quyền từ bên phát hành;
d) Bí mật của dữ liệu giao dịch phi mã PIN;
Trang 2e) Bảo vệ các thông điệp giao dịch chống lại các thay đổi hoặc thay thế, như là một ủy quyền đáp ứng để xác minh mã PIN;
f) Bảo vệ chống lại sự gửi lại mã PIN hoặc giao dịch;
g) Các kỹ thuật quản lý khóa cụ thể
2 Tài liệu viện dẫn
Các tài liệu viện dẫn sau đây là rất cần thiết cho việc áp dụng tiêu chuẩn Đối với tài liệu viện dẫn ghi năm công bố thì áp dụng phiên bản được nêu Đối với tài liệu viện dẫn không ghi năm công
bố thì áp dụng phiên bản mới nhất, bao gồm cả các bản sửa đổi
TCVN 8461-2:2010 (ISO 9564-2:1991) Ngân hàng - Quản lý bảo mật số nhận dạng cá nhân - Phần 2: Phê chuẩn thuật toán mã hóa PIN
ISO 11568 (all Part), Banking - Key managerment (retail) (Ngân hàng - Quản lý khóa).
ISO 13491 (all part), Banking - Secure cryptographic devices (retail) (Ngân hàng - Thiết bị quản
Tiêu chuẩn này áp dụng các thuật ngữ và định nghĩa sau:
3.1 Bên thu thẻ (acquirer)
Tổ chức (hoặc đại diện của tổ chức) thu thập dữ liệu tài chính liên quan đến giao dịch từ bộ đọc thẻ và nạp dữ liệu như vậy vào một hệ thống trao đổi
3.2 Thuật toán (algorithm)
Quy trình tính toán bằng toán học được quy định rõ ràng
3.3 Bộ đọc thẻ (card acceptor)
Bộ chấp nhận thẻ và đưa dữ liệu giao dịch về bên thu thẻ
3.4 Văn bản mã (cipher text)
Dữ liệu dưới dạng mã hóa của nó
3.5 Xâm nhập (compromise)
(kỹ thuật mật mã) vượt qua lỗ hổng bảo mật và/hoặc an ninh
3.6 Khóa mật mã (cryptographic key)
Giá trị toán học có thể được sử dụng trong thuật toán để chuyển văn bản rõ sang văn bản mã hoặc ngược lại
3.7 Khách hàng (customer)
Cá nhân có tương ứng với số tài khoản chính (PAN) được quy định trong giao dịch
3.8 Giải mã (decipherment)
Đảo ngược văn bản mã biểu diễn dưới dạng mã thuận nghịch thành dạng hiểu được
3.9 Điều khiển kép (dual control)
Trang 3Quá trình sử dụng hai hay nhiều thực riêng rẽ (thường là con người) thao tác trên bảng tính nhằm bảo vệ các chức năng hoặc thông tin nhạy cảm mà nhờ đó không một thực thể đơn lẻ nào
có quyền truy cập hoặc sử dụng tài nguyên trên
VÍ DỤ: Khóa mật mã là một ví dụ về dạng tài nguyên có thể truy cập hoặc sử dụng
3.10 Sự mã hóa (encipherment)
Biểu diễn văn bản dạng không thể hiểu được bằng cơ chế mã hóa
3.11 Sự mã hóa không thuận nghịch (irreversible encipherment)
Sự chuyển đổi văn bản rõ sang văn bản mã hóa bằng cách sao cho văn bản rõ ban đầu không thể được phục hồi bằng cách nào ngoài giải pháp sử dụng thậm chí là đã biết khóa mã hóa
3.12 Sự chuyển đổi không thuận nghịch của khóa (irrevesible transformation of a key)
Sự tạo ra một khóa mới từ các khóa có trước sao cho không thể tồn tại kỹ thuật có khả năng dò
ra được khóa có trước từ những thông tin về khóa mới và tất cả chi tiết về sự chuyển đổi
3.13 Bên phát hành (issuer)
Tổ chức giữ tài khoản được nhận dạng bởi số tài khoản chính (PAN)
3.14 Thành phần khóa (key component)
Một trong ít nhất hai tham số có định dạng là khóa mật mã được cộng modulo-2 với một hoặc nhiều tham số để tạo thành khóa mật mã
3.15 Bổ sung cộng modulo-2 (modulo-2 addition)
Dòng mã hoặc mật khẩu mà khách hàng sở hữu, dùng để xác minh danh định
3.19 Thiết bị nhập mã PIN (PIN entry device)
PED
Thiết bị bên trong hộp giữ thẻ để nhập mã PIN
CHÚ THÍCH: Thiết bị nhập mã PIN có thể gọi là bàn (phím) PIN
3.20 Văn bản rõ (Plain text)
Dữ liệu dưới dạng gốc chưa mã hóa
3.21 Số tài khoản chính (primary account number)
PAN
Số được gán bao gồm một số nhận dạng bên phát hành, số nhận dạng tài khoản cá nhân và chữ
số kiểm tra phụ (như đã quy định trong ISO/IEC 7812), như vậy có thể nhận biết được bên phát hành thẻ và bên giữ thẻ
3.22 Số giả ngẫu nhiên (pseudo random number)
Số có xác suất ngẫu nhiên và không thể dự đoán dù được tạo bởi một quy trình thuật toán
Trang 43.23 Mã PIN chuẩn (reference PIN)
Giá trị mã PIN được sử dụng để xác minh mã PIN của giao dịch
3.24 Sự mã hóa thuận nghịch (reversible encipherment)
Phép biến đổi văn bản rõ sang văn bản mã hóa theo cách mà có thể khôi phục lại văn bản gốc đó
3.25 Biết từng phần (split knowledge)
Điều kiện mà theo đó hai hay nhiều bên giữ các thành phần của một khóa đơn lẻ một cách riêng
rẽ và tin cậy sao cho khi truyền riêng rẽ thì không biết được khóa mật mã kết quả
3.26 Thiết bị đầu cuối (terminal)
Thiết bị được đảm bảo của bên thu chấp nhận các thẻ phù hợp với ISO/IEC 7813 và/hoặc ISO/IEC 7816 và nạp vào một hệ thống thanh toán
CHÚ THÍCH: Có thể bao gồm các thành phần và giao diện khác như giao tiếp các máy chủ
3.27 Mã PIN giao dịch (transaction PIN)
Mã PIN được nhập bởi khách hàng tại thời điểm giao dịch
3.28 Bộ tạo số ngẫu nhiên (true random number generator)
Thiết bị sử dụng hiện tượng vật lý không thể dự đoán, không xác định để tạo ra một luồng bit, trong đó khả năng dự đoán bất kỳ bit nào không lớn hơn 0,5 thông tin đã biết của tất cả các bit trước và sau đó
3.29 Biến thể của khóa (variant of a key)
Khóa mới được hình thành bởi một quá trình không bảo mật với khóa ban đầu sao cho một hoặc nhiều bit lẻ của khóa mới khác với các bít tương ứng của khóa ban đầu
4 Các nguyên tắc cơ bản của quản lý mã PIN
Quản lý mã PIN bị chi phối bởi các nguyên tắc cơ bản sau đây:
a) Đối với tất cả các chức năng kiểm soát, quản lý mã PIN phải được áp dụng sao cho phần cứng và phần mềm sử dụng không bị thay đổi hoặc truy cập trái phép mà không bị phát hiện, ghi lại và/hoặc bãi bỏ (như xác định trong 6.1.1)
b) Sau khi lựa chọn mã PIN (như xác định trong 7.2) và cho đến khi hết hiệu lực mã PIN (như xác định trong 7.8), mã PIN đó, nếu được lưu giữ phải được mã hóa khi nó không thể bảo mật vật lý như xác định trong 6.2 và 7.7
c) Đối với các tài khoản khác nhau, việc mã hóa các mã PIN có giá trị giống nhau bằng khóa mã hóa cho trước phải không tạo cùng văn bản mật mã có thể dự đoán (như xác định trong 6.2).d) Bảo mật của mã PIN mã hóa phải không dựa vào tính bảo mật của thuật toán hoặc thiết kế mã hóa nhưng lại dựa vào khóa mật (như xác định trong 6.2)
e) Văn bản rõ mã PIN sẽ không bao giờ tồn tại trên các phương tiện của bên thu ngoại trừ bên trong thiết bị bảo mật vật lý (như xác định trong 6.3.2)
f) Một văn bản rõ của mã PIN phải tồn tại trong thiết bị máy tính sử dụng cho mục đích chung của bên phát hành, nếu tại thời điểm đó thiết bị là môi trường bảo mật vật lý (như xác định trong 6.3.3)
g) Chỉ khách hàng và/hoặc cá nhân được ủy quyền bởi bên phát hành được tiếp xúc với phần lựa chọn mã PIN (xem 7.2), mã PIN hoặc bất kỳ quá trình nhập mã PIN, trong đó mã PIN liên quan đến thông tin nhận dạng tài khoản Như vậy cá nhân phải thao tác chỉ trên các thủ tục bắt buộc (ví dụ như điều khiển kép)
h) Mã PIN khi mã hóa được lưu trữ, phải được bảo vệ từ hệ thống thay thế (như xác định trong
Trang 5Tất cả các thiết bị nhập mã PIN phải nhập được các ký tự số thập phân từ 0 đến 9.
CHÚ THÍCH: Chấp nhận cả ký tự chữ cái, mặc dù không có trong phần tiêu chuẩn này, có thể sử dụng tương đương với các ký tự số thập phân Hướng dẫn thiết kế các thiết bị nhập mã PIN, bao gồm các ánh xạ từ chữ cái sang chữ số xem Phụ lục E
Trang 6giữa nó và thiết bị đầu cuối gắn với nó sẽ được bảo vệ (xem 8.2).
Bảng 2 tóm tắt các yêu cầu bảo mật đối với từng cấu hình của bốn trường hợp thiết bị đầu cuối
thiết bị đầu cuối
Các yêu cầu bảo vệ vật lý như quy định trong 6.3.2 áp dụng cho toàn bộ thiết bị đầu cuối
Thiết bị đầu cuối phải mã hóa mã PIN như quy định trong 6.2 để chuyển giao
Các yêu cầu bảo vệ vật lý như quy định trong 6.3.2 hoặc 6.3.4 áp dụng cho thiết bị nhập mã PIN
Thiết bị nhập mã PIN phải mã hóa mã PIN như quy định trong 6.2 để
chuyển giao
Thiết bị nhập mã PIN
điều khiển từ xa đến
thiết bị đầu cuối
Thiết bị nhập mã PIN sẽ được bảo mật như quy định trong 6.3.2 hoặc 6.3.4
Thiết bị nhập mã PIN phải mã hóa
mã PIN như quy định trong 6.2 để chuyển giao
Thiết bị nhập mã PIN phải được bảo mật như quy định trong 6.3.2 hoặc 6.3.4
Thiết bị nhập mã PIN phải mã hóa mã PIN như quy định trong 6.2 để
6.1.2 Thiết bị ghi
Bất kỳ thiết bị ghi (ví dụ các đĩa, băng từ, ) có chứa dữ liệu mà từ dữ liệu đó có thể xác định thì phải giải từ, ghi đè hoặc phá hủy trực tiếp bằng vật lý sau khi sử dụng Chỉ khi tất cả các vùng lưu trữ (kể cả lưu trữ tạm thời) được dùng trong quá trình trên có thể được nhận dạng và giải từ hoặc ghi đè, trong các quá trình đó có thể sử dụng hệ thống máy tính (xem Phụ lục F)
6.1.3 Truyền đạt bằng lời nói
Không một thủ tục nào yêu cầu hoặc cho phép truyền đạt bằng lời nói về văn bản rõ mã PIN, hoặc bằng người hoặc bằng điện thoại Không một tổ chức nào cho phép nhân viên thăm hỏi khách hàng để lộ ra mã PIN hoặc để giới thiệu các giá trị cụ thể
6.1.4 Bàn phím điện thoại
Trang 7Các thủ tục của cơ quan tổ chức phải không cho phép nhập văn bản rõ mã PIN thông qua bàn phím của điện thoại, trừ phi thiết bị điện thoại được thiết kế và cấu tạo theo các yêu cầu quy định trong 5.4 về các thiết bị nhập mã PIN và trong 8.2 về truyền PIN.
6.2 Mã hóa PIN
Khi cần mã hóa PIN để lưu trữ hoặc truyền (xem 6.3 và 8.2) điều này sẽ được thực hiện bằng cách sử dụng một trong các thuật toán đã kiểm duyệt và quy định tại TCVN 8461-2 (ISO 9564- 2)
Phương pháp có thủ tục mã hóa phải đảm bảo rằng việc mã hóa giá trị văn bản rõ mã PIN sử dụng một khóa mã hóa riêng lẻ không làm cho không thể đoán trước được việc tạo ra cùng giá trị
mã hóa khi cùng giá trị mã PIN được giao cho các tài khoản khác [xem 7.8 phần b)]
Các khóa mật mã hóa khác nhau được sử dụng để bảo vệ mã PIN tham khảo và mã PIN truyền.Các khóa mật mã của mã PIN không được sử dụng cho bất kỳ mục đích mã hóa nào khác.Các khóa mật mã mã PIN sẽ có chiều dài ít nhất là 112 bit Kỹ thuật phù hợp được sử dụng bởi khóa DEA chiều dài gấp đôi như đã quy định tại ISO 11568-2
ISO 11568-1 quy định các nguyên tắc khởi tạo của quản lý khóa
6.3 Bảo mật vật lý
6.3.1 Bảo mật vật lý cho các thiết bị nhập mã PIN
Trong mục này định nghĩa về “thiết bị bảo mật vật lý” và “môi trường bảo mật vật lý” và quy định các yêu cầu đối với thiết bị nhập mã PIN Các yêu cầu bảo mật vật lý được quy định trong ISO 13491-1
Mã PIN chuẩn chưa mã hóa tồn tại chỉ khi trong một “môi trường bảo mật vật lý” hoặc “thiết bị bảo mật vật lý" Mã PIN giao dịch chưa mã hóa chỉ tồn tại khi trong một “thiết bị bảo mật vật lý", thiết bị nhập mã PIN tuân theo các yêu cầu trong 6.3.4 hoặc bên phát hành (hoặc do đại lý của bên phát hành) “môi trường bảo mật vật lý”
Thiết bị sẽ chỉ hoạt động như một thiết bị bảo mật vật lý khi nó có thể đảm bảo các hoạt động bên trong thiết bị chưa bị sửa đổi để cho phép xâm nhập (ví dụ việc chèn bên trong thiết bị của các cơ chế phân nhánh chủ động hoặc bị động)
6.3.3 Môi trường bảo mật vật lý
Môi trường bảo mật vật lý được trang bị các kiểm soát truy cập hoặc các cơ chế khác được thiết
kế để ngăn chặn mọi sự xâm nhập mà làm lộ ra tất cả hoặc một phần của bất kỳ khóa mã hóa hoặc mã PIN đang được lưu trữ trong môi trường
Môi trường bảo mật vật lý hoạt động như vậy cho đến khi tất cả các mã PIN, các khóa mã hóa và các phần hữu dụng còn lại của mã PIN và khóa đã bị xóa bỏ khỏi môi trường
6.3.4 Các yêu cầu với thiết bị nhập mã PIN
Thiết bị nhập mã PIN chấp thuận các yêu cầu trong 6.3.2 hoặc ít nhất là tuân theo các yêu cầu sau:
a) Phần mã hóa của mã PIN giao dịch được cài đặt vào trong thiết bị theo dạng được phép như
Trang 8trong Điều 8.
b) Cuộc xâm nhập thành công vào thiết bị nhập mã PIN phải không làm lộ bất kỳ mã PIN giao dịch nào đã nhập trước đó kể cả đã biết dữ liệu bổ sung có liên quan, hoặc bị thâm nhập từ bên ngoài thiết bị (ví dụ mã PIN đã mã hóa đã truyền trước đó từ thiết bị)
c) Việc dò xét trái phép dữ liệu bí mật (mã PIN và khóa) được lưu giữ bên trong thiết bị nhập mã PIN, hoặc các nơi bên trong thiết bị của “băng ghi" để ghi lại dữ liệu mật, điều này yêu cầu rằng thiết bị phải có các điều kiện thuận lợi và:
- Không sẵn có trong khoảng thời gian đủ dài để phát hiện xác suất vắng mặt cao của nó từ vị trí hoạt động; và/hoặc
- Tại điều kiện thuận lợi tùy thuộc vào tổn hại vật lý như thiết bị không thể đặt lại vị trí cũ vào dịch
vụ mà không phát hiện xác suất xáo trộn cao Hơn nữa, việc xác định dữ liệu bí mật hoặc đưa
“băng ghi” vào trong thiết bị cần các thiết bị và kỹ năng đặc biệt và nó không hề phổ biến
d) Dữ liệu lưu trữ bên trong thiết bị nhập mã PIN, mặc dù đã xác định thì cũng không thể truyền sang bất kỳ thiết bị khác
CHÚ THÍCH: Xem Phụ lục C Hướng dẫn thi hành thiết bị nhập mã PIN
7 Kỹ thuật quản lý và bảo vệ các chức năng mã PIN có liên quan đến tài khoản.
7.1 Chiều dài mã PIN
Chiều dài mã PIN sẽ không ít hơn 4 ký tự và không nhiều hơn 12 ký tự
Mã PIN dài hơn là một lợi thế bảo mật nhưng lại cản trở tính hữu dụng Đối với các lý do sử dụng, mã PIN số nên có chiều dài không được vượt quá 6 chữ số Khuyến cáo đối với lý do bảo mật, các mã PIN chữ cái theo khách hàng lựa chọn sẽ có chiều dài không ít hơn 6 ký tự Điều này nên được lưu ý rằng rất nhiều hệ thống quốc tế không chấp nhận nhiều hơn 6 chữ số và/hoặc không hỗ trợ nhập mã PIN ban đầu
7.2 Lựa chọn mã PIN
7.2.1 Kỹ thuật lựa chọn mã PIN
Phải sử dụng một hoặc hơn các kỹ thuật sau đây để lựa chọn mã PIN:
a) Mã PIN dẫn xuất được cấp
b) Mã PIN ngẫu nhiên được cấp
c) Mã PIN được khách hàng lựa chọn
Việc xâm phạm trong quá trình lựa chọn mã PIN có thể gây tổn hại an ninh của bất kỳ mã PIN nào được phát hành
7.2.2 Mã PIN dẫn xuất được cấp
Khi mã PIN tham khảo là “mã PIN dẫn xuất được cấp”, bên phát hành dẫn xuất nó và dưới dạng
mã hóa từ:
a) Số tài khoản chính; và/hoặc
b) Một số giá trị khác được kết hợp với khách hàng
Quá trình dẫn xuất mã PIN không nên thiên về các giá trị hoặc tập cụ thể
Nếu kỹ thuật này được sử dụng, bên phát hành không nên duy trì bất kỳ bản ghi nào về mã PIN, như vậy mã PIN có thể được dẫn xuất nếu cần
CHÚ THÍCH: Khi mã PIN được dẫn xuất từ dữ liệu thẻ, nó có thể được sử dụng để xác minh dữ liệu đó
7.2.3 Mã PIN ngẫu nhiên được cấp
Trang 9Khi mã PIN tham khảo là “mã Pin ngẫu nhiên được cấp", bên phát hành nhận được một giá trị từ:a) Bộ tạo số ngẫu nhiên; hoặc
b) Bộ tạo số giả ngẫu nhiên (xem Phụ lục D)
7.2.4 Mã PIN được khách hàng lựa chọn
Khi mã PIN tham khảo là “mã PIN được khách hàng lựa chọn”, giá trị đó được lựa chọn bởi khách hàng Trong trường hợp này, bên phát hành cung cấp cho khách hàng các hướng dẫn và cảnh báo về việc lựa chọn cần thiết (xem Phụ lục G)
CHÚ THÍCH: Đối với bên phát hành, mã PIN được khách hàng lựa chọn là một giá trị ngẫu nhiên
7.3 Phát hành và phân phối mã PIN
7.3.1 Kiểm soát phát hành và phân phối mã PIN
Tất cả các chức năng phát hành mã PIN liên quan đến nhân viên bên phát hành phải chịu sự kiểm soát kép
Mã PIN không bao giờ lấy lại và giải mã hoặc tạo lại để tiến hành ghi, thực hiện, hiển thị hoặc in
ấn Ngoại trừ trong bao bì của mã PIN an toàn (hoặc tương đương)
Không được xuất hiện mã PIN dưới dạng văn bản rõ tại mọi điểm trong quá trình phân phối có thể liên quan đến tài khoản khách hàng
7.3.2 Phân phối mã PIN đã chuyển nhượng
Mã PIN được cấp bởi bên phát hành chuyển tới khách hàng bằng phương pháp gọi là phong bao
mã PIN
Phong bao mã PIN sẽ được in theo cách mà văn bản rõ mã PIN không thể bị nhìn thấy được cho đến khi vỏ bao bị mở Vỏ phong bao sẽ cho biết dữ liệu tối thiểu cần thiết để phân phối phong bao mã PIN cho đúng khách hàng Phong bao mã PIN sẽ được chế tạo như thế nó rất có thể bị tình cờ hoặc giả mở ra để xem trước tới khách hàng Bên phát hành phải cảnh báo với khách hàng không sử dụng mã PIN có chứa trong phong bao mã PIN đã bị mở hoặc rách và phải thông báo cho bên phát hành biết sự việc đó
Bao bì hoặc nội dung của nó có thể chứa nội dung “phần nháp mã PIN" (ví dụ như giấy than), và bên phát hành nên cảnh báo khách hàng rằng sau khi ghi nhớ mã PIN, họ nên hủy toàn bộ phong bao hoặc giữ phong bao ở một nơi an toàn
CHÚ THÍCH: Có thể có nhiều thẻ được phát hành cho cùng một tài khoản và mỗi cái có một mã PIN khác nhau Nếu thế bên ngoài phong bao mã PIN có thông tin chi tiết về nhận dạng khách hàng để có thể phân phối chính xác, thuận tiện
Mã PIN và thẻ không được gửi chung phong bao mà cũng không cùng một thời điểm
7.3.3 Phân phối mã PIN được khách hàng lựa chọn
7.3.3.1 Chuyển giao mã PIN
Mã PIN được chọn bởi khách hàng sẽ được chuyển giao từ bên phát hành bằng một trong các
kỹ thuật sau:
a) Lựa chọn mã PIN ban đầu tại địa điểm của bên phát hành (xem 7.3.3.2)
b) Lựa chọn mã PIN bằng thư (xem 7.3.3.3)
7.3.3.2 Việc lựa chọn mã PIN tại địa điểm của bên phát hành
Lựa chọn mã PIN tiến hành tại địa điểm của bên phát hành thông qua một thiết bị nhập mã PIN tuân theo các yêu cầu của 5.4 Lựa chọn và nhập mã PIN không làm cho khách hàng lộ mã PIN cho bất kỳ nhân viên nào của bên phát hành hoặc bên thứ ba Phải áp dụng thủ tục sau:
Trang 10a) Một nhân viên được ủy quyền nhận dạng chính xác khách hàng.
b) Hệ thống yêu cầu nhận dạng và sự ủy quyền của nhân viên bên phát hành
c) Quá trình lựa chọn mã PIN được thực hiện bởi nhân viên được ủy quyền đó Quá trình sẽ kết thúc khi việc lựa chọn mã PIN hoàn thành
d) Nhận dạng của nhân viên được ủy quyền cùng với ngày giờ là một phần của bản ghi giao dịch
7.3.3.3 Lựa chọn mã PIN bằng thư
Lựa chọn mã PIN bằng thư được tiến hành bằng cách sử dụng một mẫu chứa các con số kiểm soát và khoảng trắng cho PIN được chọn Số kiểm soát không để lộ số tài khoản Bất kỳ khóa mã hóa nào được sử dụng để tạo ra số kiểm soát không được sử dụng cho bất kỳ mục đích nào khác và được quản lý theo quy định tại ISO 11568 Mẫu hoàn thành không chứa bất kỳ thông tin nào mà liên hệ mã PIN với tên khách hàng, địa chỉ hoặc số tài khoản Quá trình sau phải được
áp dụng:
a) Thư gửi cho khách hàng phải chứa mẫu lựa chọn mã PIN và các hướng dẫn
b) Quá trình gửi thư sẽ tuân theo các bước quy định trong 7.3.2, xử lý số kiểm soát như là mã PIN
c) Khách hàng được chỉ dẫn để viết mã PIN lên mẫu, và không viết bất kỳ thông tin nào khác trên mẫu trừ các yêu cầu đặc biệt và không có bất kỳ bức thư nào khác, sau đó được gửi trả lại mẫu theo địa chỉ kèm theo Một vỏ phong bao có địa chỉ xác định trước được sử dụng
d) Quá trình này nhận các mẫu lựa chọn mã PIN chỉ được ủy quyền cho có các nhân viên từ bên phát hành
CHÚ THÍCH: Số kiểm soát có thể được mã hóa từ số tài khoản Một số bên phát hành chỉ dẫn khách hàng nhập mã PIN đã mã hóa vào mẫu
7.4 Thay đổi mã PIN
7.4.1 Thay đổi mã PIN trong môi trường trao đổi
Thay đổi mã PIN được thực hiện thông qua hệ thống của bên phát hành theo các yêu cầu của Điều 7.3; nó không thực hiện trong môi trường trao đổi
7.4.2 Thay đổi mã PIN trên thiết bị đầu cuối đi kèm
Quá trình thay đổi mã PIN trên thiết bị đầu cuối đi kèm giống như việc lựa chọn mã PIN trong 7.3.3.2
7.4.3 Thay đổi mã PIN trên thiết bị đầu cuối không đi kèm
Quá trình thay đổi mã PIN trên thiết bị đầu cuối không đi kèm trên hệ thống của bên phát hành sẽ yêu cầu cùng mã PIN để nhập và xác minh trước khi lựa chọn và kích hoạt mã PIN được khách hàng lựa chọn thay thế
Mã PIN mới nên nhập hai lần và cả hai lần nhập phải giống nhau
7.4.4 Thay đổi mã PIN bằng thư
Quá trình thay đổi mã PIN bằng thư giống với quy định lựa chọn mã PIN trong 7.3.3.3
7.4.5 Thay thế mã PIN bị quên
Thay thế mã PIN bị quên phải được thực hiện thông qua hệ thống của bên phát hành; nó không được thực hiện trong môi trường trao đổi Quá trình yêu cầu thay thế mã PIN bị quên phải tuân theo 7.3
Tại đó mã PIN đã chuyển nhượng đã bị quên và ảnh hưởng tới việc tạo phong bao mã PIN giao tiếp hoặc giá trị mã PIN đã chuyển nhượng mới Các yêu cầu trong 7.3.2 phải được áp dụng
Trang 117.4.6 Thay thế mã PIN bị xâm nhập
Khi mã PIN bị nghi là đã bị xâm nhập, nó sẽ bị khóa hoạt động càng sớm càng tốt (xem 7.8) và khách hàng được thông báo giá trị thay đổi hoặc lựa chọn mã khác Mã PIN thay thế không tương tự như cái bị xâm nhập Việc kích hoạt mã PIN thay thế có thể tiến hành bí mật hoặc công khai (xem 7.6)
Khi tin rằng mã PIN dẫn xuất được cấp được tin là đã bị lộ, thì có ít nhất một phần tử dữ liệu được sử dụng để dẫn xuất mã PIN phải thay đổi và mã PIN mới được dẫn xuất và phát hành Đây có thể yêu cầu rằng bất kỳ thẻ tương ứng nào được phát hành lại hoặc mã hóa lại và thẻ cũ
sẽ bị khóa khi sử dụng
7.5 Xử lý vật liệu rác và phong bao mã PIN được hoàn trả
Bên phát hành phải đảm bảo rằng có các biện pháp bảo mật thích đáng được thực hiện trên việc
xử lý nội bộ, và xử lý phong bao mã PIN được gửi trả, cùng bất kỳ vật liệu rác nào có liên quan đến việc in ấn phong bao mã PIN
Cần xem xét cho trước các địa chỉ trả lại khác nhau trong trường hợp không phân phối thẻ và phong bao mã PIN
7.6 Kích hoạt mã PIN
Mã Pin có thể kích hoạt hoặc bí mật hoặc công khai Dưới hệ thống kích hoạt mã PIN hàm ẩn, bên phát hành giả định việc phân phối mã PIN thành công, không tính trường hợp ngược lại.Khi mã PIN được kích hoạt công khai, bên phát hành phải không kích hoạt mã PIN cho đến khi khách hàng gửi trả chữ ký và thông tin xác minh chấp nhận hoặc sử dụng một trong các cách sau:
- Xác nhận việc nhận mã PIN; và
- Xác nhận rằng đáp ứng này từ người sở hữu thẻ hợp pháp
Việc nhận và đáp ứng đều không chứa mã PIN
Khi mã PIN (được chuyển nhượng hoặc được khách hàng lựa chọn) được lưu trên băng từ của thẻ, thì không bao giờ được lưu dưới dạng văn bản rõ Nếu mã PIN được lưu trên băng từ của thẻ, thì nó phải được mã hóa (ví dụ bộ bù mã PIN)
Khi mã PIN (được chuyển nhượng hoặc được khách hàng lựa chọn) được lưu trên mạch tích hợp (IC) trên thẻ, thì nó được lưu bên trong vùng được bảo vệ của IC hoặc nó nên được mã hóa
7.8 Khóa hoạt động mã PIN
Trách nhiệm khóa hoạt động mã PIN thuộc về bên phát hành Bên phát hành phải khóa hoạt động mã PIN nếu bất kỳ điều sau xảy ra:
a) Mã PIN bị xâm nhập (hoặc nghi ngờ bị xâm nhập)
b) Tất cả tài khoản của khách hàng liên quan đến mã PIN bị đóng
c) Khách hàng gửi yêu cầu khóa hoạt động mã PIN
d) Bên phát hành vì nguyên nhân nào khác phát hiện việc khóa hoạt động mã PIN là cần thiết.Trong trường hợp mã PIN bị xâm nhập hoặc có truy vấn khóa hoạt động từ khách hàng, khách
Trang 12hàng được cảnh báo về hành động này.
Bên phát hành phải có biện pháp thích đáng để đảm bảo việc mã PIN đã khóa hoạt động thì không thể sử dụng sau đó với số tài khoản có liên quan
CHÚ THÍCH: Ví dụ như biện pháp mà xóa bỏ mã PIN đã khóa hoạt động từ bản ghi của bên phát hành và khóa truy cập từ tài khoản
8 Kỹ thuật quản lý/ bảo vệ các chức năng mã PIN giao dịch
8.1 Nhập mã PIN
Trách nhiệm của việc bảo vệ mã PIN trong suốt quá trình nhập thuộc bên khách hàng, bên chấp nhận thẻ và bên thu thẻ hoặc các đại lý của nó
Các chữ số đầu tiên được điền vào thiết bị nhập mã PIN phải số có bậc cao (tận cùng bên trái)
Số cuối cùng được nhập là số có bậc thấp (tận cùng bên phải)
Trang thiết bị được sử dụng trong quá trình phải hỗ trợ nhập từ 4 ký tự đến 12 ký tự mã PIN
8.2 Bảo vệ mã PIN trong quá trình giao dịch
Mã PIN phải được bảo vệ trong suốt quá trình truyền (bổ sung, ví dụ, lưu trữ tại các nút mạng) bởi một hoặc cả hai cách sau:
a) Cung cấp bảo vệ vật lý (xem 6.3);
b) Mã hóa mã PIN (xem 6.2)
Bất cứ khi nào nó cần thiết giải mã và mã hóa mã PIN trong quá trình truyền, cho thời điểm giao dịch từ một mã PIN định dạng cho cái khác hoặc để chuyển khóa mã hóa đã sử dụng, mã PIN phải chứa bên trong thiết bị bảo mật vật lý
8.3 Định dạng khối mã PIN chuẩn
8.3.1 Cấu trúc khối mã PIN và định dạng giá trị gán
Trong điều này quy định cấu trúc của khối 64 bit dữ liệu mã PIN và gắn các bít số, vị trí và chức năng của bit
Có 4 bít quan trọng nhất của khối hình thành trường kiểm soát Các giá trị như sau:
1000 đến 1011 : Dành cho các chỉ định từ các cơ quan tiêu chuẩn quốc gia
1100 đến 1111 : Giao cho cá nhân sử dụng
Trong trao đổi quốc tế, khối mã PIN định dạng 0 hoặc định dạng khối mã PIN 3 nên được sử dụng khi mã PAN có mặt, và định dạng khối mã PIN 3 nên được sử dụng khi cùng một khóa mã hóa mã PIN được dùng cho nhiều mã hóa mã PIN
8.3.2 Khối mã PIN định dạng 0
Khối mã PIN này được kiến thiết bởi phần bổ sung modulo -2 của hai trường 64 bit: trường văn bản rõ mã PIN và trường số tài khoản Các định dạng của các trường này được mô tả trong 8.3.2.1 và 8.3.2.2 tương ứng
Khối mã PIN định dạng 0 phải mã hóa thuận nghịch khi giao dịch
8.3.2.1 Trường văn bản rõ mã PIN
Trang 13Trường văn bản rõ mã PIN phải định dạng như sau:
Trong đó:
C = Trường kiểm soát
N = Chiều dài mã PIN
Trường 4 bit giá trị 1111 (15)
8.3.2.2 Trường số tài khoản
Trường số tài khoản phải được định dạng như sau:
Trong đó:
0 = số đệm Trường 4 bit với chỉ có giá trị chấp nhận là 0000 (số 0)
A1 A12 = số tài
khoản Nội dung của 12 chữ số ngoài cùng bên phải của số tài khoản chính (PAN) không bao gồm số kiểm tra A12 là số ngay trước số kiểm tra của mã PAN
Nếu mã PAN không bao gồm số kiểm tra thì có ít nhất 12 chữ số, các chữ
số được đặt phải và bên trái đệm các số 0 Các giá trị chấp nhận từ 0000 (số 0) đến 1001 (9)
8.3.3 Khối mã PIN định dạng 1
Khối định dạng này được kiến thiết bởi 2 trường: trường văn bản rõ mã PIN và trường giao dịch.Khối mã PIN định dạng 1 nên được sử dụng trong trường hợp mà mã PAN không xuất hiện.Khối mã PIN định dạng 1 nên được mã hóa thuận nghịch khi được giao dịch
Khối mã PIN định dạng 1 nên được định dạng như sau:
Trong đó:
C = Trường kiểm soát Được nhị phân 0000;
N = Chiều dài mã PIN Số nhị phân 4 bit với các giá trị chấp nhận từ 0100(4) đến 1000 (12);
P = Số mã PIN Trường 4 bit với các giá trị chấp nhận từ 0000(số 0) đến 1001 (9);