GB/T 21078.1-2023 金融服务 个人识别码管理与安全 第1部分：基于卡系统的PIN基本原则和要求

ICS35.240.40

CCSA11

中华人民共和国国家标准

/—

GBT21078.12023

代替/—,/—

GBT21078.12007GBT21078.22011

金融服务个人识别码管理与安全

:

第部分基于卡系统的基本

1PIN

原则和要求

—()

FinancialservicesPersonalIdentificationNumberPIN

—:

manaementandsecuritPart1Basicrincilesandreuirementsfor

gyppq

PINsincard-basedsstems

y

(:,)

ISO9564-12017MOD

2023-03-17发布2023-03-17实施

国家市场监督管理总局

发布

国家标准化管理委员会

/—

GBT21078.12023

目次

前言…………………………Ⅲ

引言…………………………Ⅴ

1范围………………………1

2规范性引用文件…………………………1

3术语和定义………………2

4缩略语……………………4

5PIN管理的基本原则……………………4

5.1概述…………………4

5.2基本原则……………5

6PIN处理设备……………6

6.1PIN处理设备安全要求……………6

6.2IC卡读卡器的物理安全……………6

6.3PED的特征…………………………6

7PIN的安全问题…………………………7

7.1PIN的控制要求……………………7

7.2PIN加密……………8

8PIN验证…………………8

8.1概述…………………8

8.2联机PIN验证………………………8

8.3脱机PIN验证………………………8

/……………

9与账号相关的PIN功能的管理保护技术8

9.1PIN长度……………8

9.2PIN建立……………8

9.3PIN发布和交付……………………9

9.4PIN选择……………9

9.5PIN变更……………10

9.6PIN替换……………11

9.7废弃材料和回复的PIN信件的处理……………11

9.8PIN激活……………11

9.9PIN存储……………11

9.10PIN失效…………………………12

9.11PIN信件…………………………12

/…………

10与交易相关的PIN功能的管理保护技术13

Ⅰ

/—

GBT21078.12023

10.1PIN的输入………………………13

10.2传输过程中PIN的保护…………13

10.3压缩PIN数据块格式……………15

10.4扩展的PIN数据块………………18

10.5PIN数据块格式的转换限制……………………22

10.6包含PIN数据的交易日志………………………22

()…………

附录规范性敏感数据销毁

A23

()………………………

附录资料性的设计指南

BPED25

()……………………

附录资料性提供给客户的信息

C28

参考文献……………………29

Ⅱ

/—

GBT21078.12023

前言

/—《:》

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GBT1.120201

起草。

本文件是/的第部分。/已经发布了以下部分:

GBT210781GBT21078

———:

金融服务个人识别码管理与安全第部分基于卡系统的基本原则和要求

1PIN

(/);

GBT21078.1

———:(/);

银行业务个人识别码的管理与安全第部分开放网络中处理指南

3PINGBT21078.3

———:(/)。

金融服务个人识别码管理与安全第部分核准的加密算法

4PINGBT21078.4

本文件代替/