本部分规定了在开放网络系统中PIN 的处理指南;在发卡方及收单方没有直接对PIN 管理进行控制的环境中,或在发生交易前PIN 输入设备与收单方没有关系的情况下,为管理PIN 和处理金融卡发起的交易提供金融业务安全措施的最佳实践。
本部分适用于需要验证PIN 的金融卡发起的交易,并适用于负责在开放网络系统中使用的终端和PIN 输入装置中实施PIN 管理技术的组织。
本部分不适用于:
———联机PIN 环境下的PIN 管理和安全,GB/T21078.1和GB/T21078.2包含该项内容;
———核准的PIN 加密算法;
———防止用户或者发卡方及其代理商的授权雇员丢失或故意误用而采取的PIN 保护;
———非PIN 交易数据的私密性;
———保护交易报文,防止修改或替换,例如联机授权响应;
———防止PIN 或交易重放;
———特定的密钥管理技术;
———由基于服务器的应用(例如:电子钱包)来访问并储存卡数据;
———金融机构布放的、持卡人激活的、安全的PIN 输入设备。 |
|