03/10/1403  
 
بانکداری - مدیریت و امنیت شماره شناسنایی شخصی - قسمت سوم: الزامات و بکارگیری (pin) به صورت غیربرخط در سامانه های (ATM) و (POS)

بانکداری - مدیریت و امنیت شماره شناسنایی شخصی - قسمت سوم: الزامات و بکارگیری #شماره شناسایی شخصی# (pin) به صورت غیربرخط در سامانه های #ماشین تحویل دار خودکار# (ATM) و #پایانه فروش# (POS)

استاندارد های ملی
ISIRI 10821-3
ISO/IEC 9564-3
1387
35
35-240
35-240-40
کارت¬های تراکنش مالی دارای مدارهای مجتمع (IC)، از لحاظ فنی امکان بررسی درستی یا نادرستی شماره شناسایی شخصی (PIN) را به کارگیری کارت¬های حاوی مدارهای مجتمع (IC) به صورت غیر برخط فراهم نموده¬اند.در حال حاضر، صادرکنندگان این کارت¬ها می-توانند هر دو روش برخط و یا غیر برخط را برای بررسی درستی یا نادرستی شماره شناسایی شخصی (PIN) انتخاب کنند. این قسمت از مجموعه استاندارد ملی ایران به شماره 10821، الزامات خاص برای بکارگیری شماره شناسایی شخصی به صورت غیر برخط را ارائه می-نماید.
در بررسی درستی یا نادرستی شماره شناسایی شخصی (PIN) به صورت غیر برخط، نیازی نیست که شماره شناسایی شخصی مالک کارت برای تأیید به میزان صادر کننده کارت ارسال شود و بدین علت بسیاری از الزامات امنیتی مرتبط با محافظت از شماره شناسایی شخصی (PIN) به صورت غیر برخط، غیرقابل استفاده هستند.
در هر حال بسیاری از اصول و تکنیک¬های کلی حفاظت از PIN حتی در صورت بررسی درستی یا نادرستی PIN به صورت غیر برخط، قابل استفاده هستند.
این قسمت از مجموعه استاندارد ملی ایران به شماره 10821 خود را به الزاماتی که به صورت خاص به ماهیت غیر برخط بکارگیری PIN مربوط هستند، محدود می¬کند و غیر از مواردی که به طور صریح مستثنی شده باشند، سایر اصول پایه مدیریت PIN که در استاندارد ISO 9564-1 ارائه شده¬اند، قابل استفاده هستند. ISO10202 و به ویژه قسمت ششم از این استاندارد ملی، الزامات امنیتی برای بررسی درستی یا نادرستی دارنده کارت با استفاده از کارت¬های IC دار را بیان می¬کند. باید توجه شود که ISO10202 الزامات را برای خود کارت ICدار و نه برای سامانه¬های قبول کارت ICدار، بیان می¬کند و بنابراین می¬توان آن را به عنوان متمم مجموعه استاندارد ملی ایران به شماره 10821 در نظر گرفت.
<p>هدف از تدوین این استاندارد، مشخص کردن حداقل معیارهای امنیتی مورد نیاز برای به کارگیری غیر برخط PIN و ابزارهای استاندارد تبادل داده PIN در یک محیط غیر برخط است. این استاندارد برای تراکنش&not;های مالی، تراکنش&not;های وابسته به کارت که نیاز به بررسی درستی یا نادرستی غیر بر خط PIN دارند و مؤسساتی که مسئول پیاده&not;سازی تکنیک&not;هایی برای مدیریت و محافظت از PINدر دستگاه&not;های پرداخت خودکار (ATM) و پایانه&not;های فروش (POS) هستند، قابل استفاده است. این قسمت از مجموعه استاندارد ملی ایران به شماره 10821 برای موارد زیر کاربرد ندارد: 1. مدیریت و امنیت PIN در محیط برخط، که در استاندارد ملی ایران به شماره ISO9564-1ارائه شده است. 2. الگوریتم&not;های تأیید شده برای رمزگذاری PIN، که در استاندارد ملی ایران به شماره 10821-2 ارائه شده است. 3. بکارگیری PINها در محیط یک شبکه باز، که در استاندارد ملی ایران به شماره ISO9564-4 ارائه شده است. 4. محافظت از PIN در برابر از بین رفتن عمدی یا بکارگیری غلط عمدی به وسیله مشتری یا کارمندان مجاز صادر کننده کارت یا عوامل آن&not;ها. 5. محرمانگی تراکنش داده بدون استفاده از PIN 6. حفاظت از پیام&not;های تراکنش در برابر دستکاری یا جایگزینی، مثلاً یک پاسخ در فرآیند اعطای مجوز برخط 7. محافظت در برابر تکرار PIN یا تراکنش 8. تکنیک&not;های خاص مدیریت کلید 9. تصمیم&not;گیری در مورد این که &laquo; آیا قرار است که کارت ICدار، PIN را به صورت رمزگذاری شده دریافت کند؟&raquo; 10. کارت&not;های ICدار غیر تماسی. اصول پایه مدیریت PIN که در بند4 از استاندارد ISO9564-1 : 2002 شرح داده شده&not;اند، برای این قسمت از مجموعه استاندارد ملی ایران به شماره 10821 الزامی بوده و قابل استفاده هستند. الزامات مربوط به کارت&not;های ICدار چند منظوره، برعهده صادر کننده این کارت&not;ها بوده و در این استاندارد ارائه نشده است. این قسمت از مجموعه استاندارد ملی ایران به شماره 10821-2 در مورد شرایط قابل اجرا در مورد کارت&not;های ICدار می&not;باشد. در هر حال، هدف از بکارگیری این شرایط، محدود کردن کاربرد این استاندارد به فن&not;آوری کارت&not;های ICدار نیست.</p>