标准详情
GB/T 21078.1-2023《金融服务 个人识别码管理与安全 第1部分:基于卡系统的PIN基本原则和要求》基本信息
标准号:GB/T 21078.1-2023
中文名称:《金融服务 个人识别码管理与安全 第1部分:基于卡系统的PIN基本原则和要求》
发布日期:2023-03-17
实施日期:2023-03-17
发布部门:国家市场监督管理总局 国家标准化管理委员会
归口单位:全国金融标准化技术委员会(SAC/TC 180)
起草单位:中国银联股份有限公司、北京银联金卡科技有限公司、中国农业银行股份有限公司
起草人:赵海、汤洋、袁思思、张彦超、谭亦夫、刘刚、马骏、王鹏
中国标准分类号:A11金融、保险
国际标准分类号:35.240.40信息技术在银行中的应用
GB/T 21078.1-2023《金融服务 个人识别码管理与安全 第1部分:基于卡系统的PIN基本原则和要求》介绍
国家市场监督管理总局和国家标准化管理委员会联合发布了GB/T 21078.1-2023《金融服务 个人识别码管理与安全 第1部分:基于卡系统的PIN基本原则和要求》。GB/T 21078.1-2023标准于2023年3月17日发布,并于同日实施。
一、标准概述
标准内容涵盖了PIN的生成、使用、存储、传输以及销毁等各个环节,确保个人识别码在整个生命周期内的安全性得到充分保障。
二、PIN生成与分配
标准规定了PIN生成与分配的基本原则和要求。PIN的生成应确保其随机性和不可预测性,以防止被轻易破解。PIN的分配应保证唯一性,即每个用户拥有唯一的PIN。标准还对PIN的位数和字符集提出了要求,以确保其安全性和易于记忆。
三、PIN的使用与验证
在使用和验证PIN时,标准提出了一系列要求。用户在输入PIN时,应通过安全的方式进行,防止被他人窥视。金融机构应在验证PIN时采用加密技术,确保传输过程的安全。标准还规定了PIN的验证次数和超时机制,以防止恶意攻击。
四、PIN的存储与保护
PIN的存储和保护是保障其安全的关键环节。标准要求金融机构在存储PIN时,应采用加密技术,防止数据泄露。金融机构还应加强对存储系统的安全防护,防止被黑客攻击。对于不再使用的PIN,标准规定了销毁的要求,确保其不被重新利用。
五、PIN的传输与交换
在PIN的传输和交换过程中,标准提出了严格的安全要求。金融机构在传输PIN时,应采用安全的通信协议,防止数据在传输过程中被截获。标准还规定了PIN的交换流程,确保在不同金融机构之间进行PIN交换时,其安全性得到保障。
六、PIN的更新与注销
为了应对PIN泄露的风险,标准规定了PIN的更新和注销机制。用户在发现PIN可能泄露的情况下,应及时更新PIN,以确保账户安全。金融机构应提供便捷的PIN更新服务,方便用户操作。在用户注销账户时,标准要求金融机构应注销其PIN,防止被他人利用。
七、安全要求与评估
标准还对金融机构提出了一系列安全要求,包括对PIN系统的安全管理、风险评估和应急预案等。金融机构应定期对PIN系统进行安全评估,确保其符合标准要求。金融机构还应制定应急预案,以应对可能出现的安全事件。
GB/T 21078.1-2023《金融服务 个人识别码管理与安全 第1部分:基于卡系统的PIN基本原则和要求》的发布,为金融机构提供了一个全面的PIN管理与安全指南。通过遵循该标准,金融机构可以更好地保障用户的交易安全,提升金融服务的质量和效率。该标准的实施也将有助于推动金融服务行业的健康发展。
