Tiêu chuẩn TCVN 8461-1:2010 Nguyên tắc cơ bản và yêu cầu đối với trao đổi PIN tại các hệ thống rút tiền

TIÊU CHUẨN QUỐC GIA

TCVN 8461-1:2010

ISO 9564-1:2002

NGÂN HÀNG - QUẢN LÝ BẢO MẬT SỐ NHẬN DẠNG CÁ NHÂN - PHẦN 1: NGUYÊN TẮC CƠ BẢN VÀ YÊU CẦU ĐỐI VỚI TRAO ĐỔI PIN TẠI CÁC HỆ THỐNG RÚT TIỀN

Banking - Personal Identification Number management and security - Part 1: Basic principles and requirements for online PIN handling in ATM and POS systems

Lời nói đầu

TCVN 8461-1:2010 hoàn toàn tương đương với ISO 9564-1:2005.

TCVN 8461-1:2010 do Ban kỹ thuật Tiêu chuẩn quốc gia TCVN/TC 68 “Tài chính ngân hàng và tiền tệ" biên soạn, Tổng cục Tiêu chuẩn Đo lường Chất lượng đề nghị, Bộ Khoa học và Công nghệ công bố.

Bộ TCVN 8461 (ISO 9564) Ngân hàng - Quản lý bảo mật số nhận dạng cá nhân gồm 2 phần:

- TCVN 8461-1 (ISO 9564-1) - Phần 1: Nguyên tắc cơ bản và yêu cầu đối với trao đổi PIN tại các hệ thống rút tiền.

- TCVN 8461-2 (ISO 9564-2) - Phần 2: Phê chuẩn thuật toán mã hóa PIN.

Bộ (ISO 9564) Banking - Personal Identification Number management and security còn có các phần:

- Part 3: Requirements for offline PIN handling in ATM and POS systems.

- Part 4: Guidelines for PIN handling in open networks.

NGÂN HÀNG - QUẢN LÝ BẢO MẬT SỐ NHẬN DẠNG CÁ NHÂN - PHẦN 1: NGUYÊN TẮC CƠ BẢN VÀ YÊU CẦU ĐỐI VỚI TRAO ĐỔI PIN TẠI CÁC HỆ THỐNG RÚT TIỀN

Banking - Personal Identification Number management and security - Part 1: Basic principles and requirements for online PIN handling in ATM and POS systems

1. Phạm vi áp dụng

Tiêu chuẩn này quy định các kỹ thuật và nguyên tắc cơ bản để đưa ra các giải pháp bảo mật tối thiểu được yêu cầu cho quản lý mã PIN quốc tế. Các giải pháp này được áp dụng cho các cơ quan tổ chức có trách nhiệm thực hiện các kỹ thuật để quản lý và bảo vệ mã PIN.

Tiêu chuẩn này cũng quy định các kỹ thuật bảo vệ mã PIN áp dụng cho các giao dịch tài chính dựa trên thẻ giao dịch gốc trong môi trường trực tuyến và phương pháp trao đổi chuẩn dữ liệu mã PIN. Các kỹ thuật này được áp dụng cho các cơ quan tổ chức có trách nhiệm thực hiện các kỹ thuật về quản lý và bảo vệ các mã Pin tại các máy rút tiền tự động (ATM) và bên thu thẻ đảm trách các thiết bị đầu cuối hệ thống bán hàng (POS).

Các quy định trong tiêu chuẩn này không bao gồm:

a) Quản lý và bảo mật mã PIN trong môi trường mã PIN ngoại tuyến, điều này được đề cập trong ISO 9564-3;

b) Quản lý và bảo mật mã PIN trong các môi trường thương mại điện tử, đây cũng được đề cập trong phần sau của ISO 9564;

c) Việc bảo vệ mã PIN chống lại việc mất mát hoặc lạm dụng có chủ ý bởi khách hàng hoặc các nhân viên được ủy quyền từ bên phát hành;

d) Bí mật của dữ liệu giao dịch phi mã PIN;

e) Bảo vệ các thông điệp giao dịch chống lại các thay đổi hoặc thay thế, như là một ủy quyền đáp ứng để xác minh mã PIN;

f) Bảo vệ chống lại sự gửi lại mã PIN hoặc giao dịch;

g) Các kỹ thuật quản lý khóa cụ thể.

2. Tài liệu viện dẫn

Các tài liệu viện dẫn sau đây là rất cần thiết cho việc áp dụng tiêu chuẩn. Đối với tài liệu viện dẫn ghi năm công bố thì áp dụng phiên bản được nêu. Đối với tài liệu viện dẫn không ghi năm công bố thì áp dụng phiên bản mới nhất, bao gồm cả các bản sửa đổi.

TCVN 8461-2:2010 (ISO 9564-2:1991) Ngân hàng - Quản lý bảo mật số nhận dạng cá nhân - Phần 2: Phê chuẩn thuật toán mã hóa PIN.

ISO 11568 (all Part), Banking - Key managerment (retail) (Ngân hàng - Quản lý khóa).

ISO 13491 (all part), Banking - Secure cryptographic devices (retail) (Ngân hàng - Thiết bị quản lý khóa).

ISO/IEC 7812 (all part) ldentification cards- Identification of issuers (Nhận dạng thẻ - Nhận dạng tổ chức phát hành) (tất cả các phần).

ISO/IEC 7813:2001, Identification cards - Financial transaction cards (Nhận dạng thẻ - Thẻ giao dịch tài chính).

ISO/IEC 7816 (all part) Identification cards - Integrated circuits cards with contacts (Nhận dạng thẻ - Thẻ kết nối thẻ từ) (tất cả các phần).

3. Thuật ngữ và định nghĩa

Tiêu chuẩn này áp dụng các thuật ngữ và định nghĩa sau:

3.1. Bên thu thẻ (acquirer)

Tổ chức (hoặc đại diện của tổ chức) thu thập dữ liệu tài chính liên quan đến giao dịch từ bộ đọc thẻ và nạp dữ liệu như vậy vào một hệ thống trao đổi.

3.2. Thuật toán (algorithm)

Quy trình tính toán bằng toán học được quy định rõ ràng.

3.3. Bộ đọc thẻ (card acceptor)

Bộ chấp nhận thẻ và đưa dữ liệu giao dịch về bên thu thẻ.

3.4. Văn bản mã (cipher text)

Dữ liệu dưới dạng mã hóa của nó.

3.5. Xâm nhập (compromise)

(kỹ thuật mật mã) vượt qua lỗ hổng bảo mật và/hoặc an ninh.

3.6. Khóa mật mã (cryptographic key)

Giá trị toán học có thể được sử dụng trong thuật toán để chuyển văn bản rõ sang văn bản mã hoặc ngược lại.

3.7. Khách hàng (customer)

Cá nhân có tương ứng với số tài khoản chính (PAN) được quy định trong giao dịch.

3.8. Giải mã (decipherment)

Đảo ngược văn bản mã biểu diễn dưới dạng mã thuận nghịch thành dạng hiểu được.

3.9. Điều khiển kép (dual control)

Quá trình sử dụng hai hay nhiều thực riêng rẽ (thường là con người) thao tác trên bảng tính nhằm bảo vệ các chức năng hoặc thông tin nhạy cảm mà nhờ đó không một thực thể đơn lẻ nào có quyền truy cập hoặc sử dụng tài nguyên trên.

VÍ DỤ: Khóa mật mã là một ví dụ về dạng tài nguyên có thể truy cập hoặc sử dụng.

3.10. Sự mã hóa (encipherment)

Biểu diễn văn bản dạng không thể hiểu được bằng cơ chế mã hóa.

3.11. Sự mã hóa không thuận nghịch (irreversible encipherment)

Sự chuyển đổi văn bản rõ sang văn bản mã hóa bằng cách sao cho văn bản rõ ban đầu không thể được phục hồi bằng cách nào ngoài giải pháp sử dụng thậm chí là đã biết khóa mã hóa.

3.12. Sự chuyển đổi không thuận nghịch của khóa (irrevesible transformation of a key)

Sự tạo ra một khóa mới từ các khóa có trước sao cho không thể tồn tại kỹ thuật có khả năng dò ra được khóa có trước từ những thông tin về khóa mới và tất cả chi tiết về sự chuyển đổi.

3.13. Bên phát hành (issuer)

Tổ chức giữ tài khoản được nhận dạng bởi số tài khoản chính (PAN)

3.14. Thành phần khóa (key component)

Một trong ít nhất hai tham số có định dạng là khóa mật mã được cộng modulo-2 với một hoặc nhiều tham số để tạo thành khóa mật mã.

3.15. Bổ sung cộng modulo-2 (modulo-2 addition)

Cộng nhị phân không nhớ.

3.16. Nút (node)

Mọi thực thể xử lý thông điệp mà thông qua đó giao dịch được truyền qua.

3.17. Chứng thực (notarization)

Phương pháp chỉnh sửa một khóa (khóa mật mã) để xác thực các nhận dạng của bên khởi tạo và bên nhận cuối cùng.

3.18. Số nhận dạng cá nhân (personal identification number)

PIN

Dòng mã hoặc mật khẩu mà khách hàng sở hữu, dùng để xác minh danh định

3.19. Thiết bị nhập mã PIN (PIN entry device)

PED

Thiết bị bên trong hộp giữ thẻ để nhập mã PIN.

CHÚ THÍCH: Thiết bị nhập mã PIN có thể gọi là bàn (phím) PIN.

3.20. Văn bản rõ (Plain text)

Dữ liệu dưới dạng gốc chưa mã hóa.

3.21. Số tài khoản chính (primary account number)

PAN

Số được gán bao gồm một số nhận dạng bên phát hành, số nhận dạng tài khoản cá nhân và chữ số kiểm tra phụ (như đã quy định trong ISO/IEC 7812), như vậy có thể nhận biết được bên phát hành thẻ và bên giữ thẻ.

3.22. Số giả ngẫu nhiên (pseudo random number)

Số có xác suất ngẫu nhiên và không thể dự đoán dù được tạo bởi một quy trình thuật toán

3.23. Mã PIN chuẩn (reference PIN)

Giá trị mã PIN được sử dụng để xác minh mã PIN của giao dịch.

3.24. Sự mã hóa thuận nghịch (reversible encipherment)

Phép biến đổi văn bản rõ sang văn bản mã hóa theo cách mà có thể khôi phục lại văn bản gốc đó.

3.25. Biết từng phần (split knowledge)

Điều kiện mà theo đó hai hay nhiều bên giữ các thành phần của một khóa đơn lẻ một cách riêng rẽ và tin cậy sao cho khi truyền riêng rẽ thì không biết được khóa mật mã kết quả

3.26. Thiết bị đầu cuối (terminal)

Thiết bị được đảm bảo của bên thu chấp nhận các thẻ phù hợp với ISO/IEC 7813 và/hoặc ISO/IEC 7816 và nạp vào một hệ thống thanh toán.

CHÚ THÍCH: Có thể bao gồm các thành phần và giao diện khác như giao tiếp các máy chủ.

3.27. Mã PIN giao dịch (transaction PIN)

Mã PIN được nhập bởi khách hàng tại thời điểm giao dịch.

3.28. Bộ tạo số ngẫu nhiên (true random number generator)

Thiết bị sử dụng hiện tượng vật lý không thể dự đoán, không xác định để tạo ra một luồng bit, trong đó khả năng dự đoán bất kỳ bit nào không lớn hơn 0,5 thông tin đã biết của tất cả các bit trước và sau đó.

3.29. Biến thể của khóa (variant of a key)

Khóa mới được hình thành bởi một quá trình không bảo mật với khóa ban đầu sao cho một hoặc nhiều bit lẻ của khóa mới khác với các bít tương ứng của khóa ban đầu.

4. Các nguyên tắc cơ bản của quản lý mã PIN

Quản lý mã PIN bị chi phối bởi các nguyên tắc cơ bản sau đây:

a) Đối với tất cả các chức năng kiểm soát, quản lý mã PIN phải được áp dụng sao cho phần cứng và phần mềm sử dụng không bị thay đổi hoặc truy cập trái phép mà không bị phát hiện, ghi lại và/hoặc bãi bỏ (như xác định trong 6.1.1).

b) Sau khi lựa chọn mã PIN (như xác định trong 7.2) và cho đến khi hết hiệu lực mã PIN (như xác định trong 7.8), mã PIN đó, nếu được lưu giữ phải được mã hóa khi nó không thể bảo mật vật lý như xác định trong 6.2 và 7.7.

c) Đối với các tài khoản khác nhau, việc mã hóa các mã PIN có giá trị giống nhau bằng khóa mã hóa cho trước phải không tạo cùng văn bản mật mã có thể dự đoán (như xác định trong 6.2).

d) Bảo mật của mã PIN mã hóa phải không dựa vào tính bảo mật của thuật toán hoặc thiết kế mã hóa nhưng lại dựa vào khóa mật (như xác định trong 6.2).

e) Văn bản rõ mã PIN sẽ không bao giờ tồn tại trên các phương tiện của bên thu ngoại trừ bên trong thiết bị bảo mật vật lý (như xác định trong 6.3.2).

f) Một văn bản rõ của mã PIN phải tồn tại trong thiết bị máy tính sử dụng cho mục đích chung của bên phát hành, nếu tại thời điểm đó thiết bị là môi trường bảo mật vật lý (như xác định trong 6.3.3).

g) Chỉ khách hàng và/hoặc cá nhân được ủy quyền bởi bên phát hành được tiếp xúc với phần lựa chọn mã PIN (xem 7.2), mã PIN hoặc bất kỳ quá trình nhập mã PIN, trong đó mã PIN liên quan đến thông tin nhận dạng tài khoản. Như vậy cá nhân phải thao tác chỉ trên các thủ tục bắt buộc (ví dụ như điều khiển kép).

h) Mã PIN khi mã hóa được lưu trữ, phải được bảo vệ từ hệ thống thay thế (như xác định trong 7.7).

i) Việc xâm nhập mã PIN (hoặc nghi ngờ bị xâm nhập) phải dẫn đến sự chấm dứt chu kỳ tồn tại của mã PIN (như xác định trong 7.8).

j) Trách nhiệm xác minh mã PIN phải phụ thuộc vào bên phát hành, mặc dù chức năng xác minh này có thể do một tổ chức khác đảm nhiệm (như xác định trong 8.5).

k) Các khóa mật mã khác nhau phải được sử dụng để bảo vệ cho việc lưu trữ và truyền mã PIN (như xác định trong 6.2).

l) Khách hàng phải được thông báo tầm quan trọng của mã PIN và bảo mật mã PIN bằng văn bản (xem Phụ lục G).

5. Thiết bị nhập mã PIN

5.1. Tập ký tự

Tất cả các thiết bị nhập mã PIN phải nhập được các ký tự số thập phân từ 0 đến 9.

CHÚ THÍCH: Chấp nhận cả ký tự chữ cái, mặc dù không có trong phần tiêu chuẩn này, có thể sử dụng tương đương với các ký tự số thập phân. Hướng dẫn thiết kế các thiết bị nhập mã PIN, bao gồm các ánh xạ từ chữ cái sang chữ số xem Phụ lục E.

5.2. Biểu diễn ký tự

Mối liên hệ giữa giá trị số của ký tự mã PIN và việc mã hóa bên trong của các giá trị trước khi mã hóa được quy định trong Bảng 1

Bảng 1 - Biểu diễn ký tự

5.3. Nhập mã PIN

Các giá trị của mã PIN đã nhập phải không được hiển thị dưới dạng văn bản rõ hoặc bị lộ bởi phản hồi nghe được.

5.4. Xem xét về đóng gói

Thiết bị nhập mã PIN có thể được đóng gói như là một phần của thiết bị đầu cuối hoặc có thể điều khiển từ xa bởi bộ điện tử điều khiển thiết bị đầu cuối. Bộ điện tử điều khiển thiết bị đầu cuối có hoặc không được bảo mật vật lý (xem 6.3.2); tuy nhiên thiết bị nhập mã PIN sẽ được bảo mật theo quy định trong 6.3.2 hoặc 6.3.4.

Thiết bị nhập mã PIN phải được thiết kế hoặc cài đặt sao cho khách hàng có thể ngăn ngừa người khác quan sát thấy giá trị mã PIN khi nó đang nhập.

Khi sử dụng thiết bị nhập mã PIN được điều khiển từ xa, các phương tiện truyền thông liên kết giữa nó và thiết bị đầu cuối gắn với nó sẽ được bảo vệ (xem 8.2).

Bảng 2 tóm tắt các yêu cầu bảo mật đối với từng cấu hình của bốn trường hợp thiết bị đầu cuối và thiết bị nhập mã PIN.

Bảng 2 - Xem xét về đóng gói thiết bị nhập mã PIN

6. Vấn đề bảo mật mã PIN

6.1. Yêu cầu kiểm soát mã PIN

6.1.1. Phần cứng và phần mềm

Phần cứng và phần mềm được sử dụng trong các chức năng quản lý mã PIN phải cài đặt để đảm bảo các điều sau:

a) Phần cứng và phần mềm hoạt động chính xác theo chức năng mà nó được thiết kế và chỉ chức năng đó.

b) Phần cứng và phần mềm không thể bị sửa đổi hoặc truy cập mà không bị phát hiện và/hoặc làm mất khả năng.

c) Thông tin không thể bị truy cập hoặc chỉnh sửa trái phép mà không bị phát hiện và bác bỏ xâm nhập.

d) Không thể sử dụng hoặc lạm dụng hệ thống để dò ra mã PIN bằng cách sử dụng phép thử và lỗi.

In hoặc chụp phim danh sách các chương trình hoặc xuất bỏ được dùng trong việc lựa chọn, tính toán hoặc mã hóa của mã PIN nên được kiểm soát trong khi sử dụng, phân phối, lưu trữ và chuyển nhượng.

6.1.2. Thiết bị ghi

Bất kỳ thiết bị ghi (ví dụ các đĩa, băng từ,...) có chứa dữ liệu mà từ dữ liệu đó có thể xác định thì phải giải từ, ghi đè hoặc phá hủy trực tiếp bằng vật lý sau khi sử dụng. Chỉ khi tất cả các vùng lưu trữ (kể cả lưu trữ tạm thời) được dùng trong quá trình trên có thể được nhận dạng và giải từ hoặc ghi đè, trong các quá trình đó có thể sử dụng hệ thống máy tính (xem Phụ lục F).

6.1.3. Truyền đạt bằng lời nói

Không một thủ tục nào yêu cầu hoặc cho phép truyền đạt bằng lời nói về văn bản rõ mã PIN, hoặc bằng người hoặc bằng điện thoại. Không một tổ chức nào cho phép nhân viên thăm hỏi khách hàng để lộ ra mã PIN hoặc để giới thiệu các giá trị cụ thể.

6.1.4. Bàn phím điện thoại

Các thủ tục của cơ quan tổ chức phải không cho phép nhập văn bản rõ mã PIN thông qua bàn phím của điện thoại, trừ phi thiết bị điện thoại được thiết kế và cấu tạo theo các yêu cầu quy định trong 5.4 về các thiết bị nhập mã PIN và trong 8.2 về truyền PIN.

6.2. Mã hóa PIN

Khi cần mã hóa PIN để lưu trữ hoặc truyền (xem 6.3 và 8.2) điều này sẽ được thực hiện bằng cách sử dụng một trong các thuật toán đã kiểm duyệt và quy định tại TCVN 8461-2 (ISO 9564- 2).

Phương pháp có thủ tục mã hóa phải đảm bảo rằng việc mã hóa giá trị văn bản rõ mã PIN sử dụng một khóa mã hóa riêng lẻ không làm cho không thể đoán trước được việc tạo ra cùng giá trị mã hóa khi cùng giá trị mã PIN được giao cho các tài khoản khác [xem 7.8 phần b)].

Các khóa mật mã hóa khác nhau được sử dụng để bảo vệ mã PIN tham khảo và mã PIN truyền.

Các khóa mật mã của mã PIN không được sử dụng cho bất kỳ mục đích mã hóa nào khác.

Các khóa mật mã mã PIN sẽ có chiều dài ít nhất là 112 bit. Kỹ thuật phù hợp được sử dụng bởi khóa DEA chiều dài gấp đôi như đã quy định tại ISO 11568-2.

ISO 11568-1 quy định các nguyên tắc khởi tạo của quản lý khóa.

6.3. Bảo mật vật lý

6.3.1. Bảo mật vật lý cho các thiết bị nhập mã PIN

Trong mục này định nghĩa về “thiết bị bảo mật vật lý” và “môi trường bảo mật vật lý” và quy định các yêu cầu đối với thiết bị nhập mã PIN. Các yêu cầu bảo mật vật lý được quy định trong ISO 13491-1.

Mã PIN chuẩn chưa mã hóa tồn tại chỉ khi trong một “môi trường bảo mật vật lý” hoặc “thiết bị bảo mật vật lý". Mã PIN giao dịch chưa mã hóa chỉ tồn tại khi trong một “thiết bị bảo mật vật lý", thiết bị nhập mã PIN tuân theo các yêu cầu trong 6.3.4 hoặc bên phát hành (hoặc do đại lý của bên phát hành) “môi trường bảo mật vật lý”.

6.3.2. Thiết bị bảo mật vật lý

Trong đánh giá bảo mật vật lý cho mọi thiết bị, môi trường điều hành mà tại đó thiết bị làm việc là một lưu ý quan trọng. Thiết bị bảo mật vật lý là thiết bị phần cứng, khi hoạt động trong cách thức và môi trường dự định thì bị xâm nhập và làm lộ toàn bộ hoặc một phần của khóa mật mã, mã PIN hoặc giá trị bí mật khác lưu trong thiết bị.

Việc xâm nhập thiết bị khi hoạt động trong môi trường và theo cách thức dự định thì xóa bỏ tự động ngay tức thì tất cả mã PIN, các giá trị bí mật khác và tất cả phần hữu dụng còn lại chứa trong thiết bị.

Thiết bị sẽ chỉ hoạt động như một thiết bị bảo mật vật lý khi nó có thể đảm bảo các hoạt động bên trong thiết bị chưa bị sửa đổi để cho phép xâm nhập (ví dụ việc chèn bên trong thiết bị của các cơ chế phân nhánh chủ động hoặc bị động).

6.3.3. Môi trường bảo mật vật lý

Môi trường bảo mật vật lý được trang bị các kiểm soát truy cập hoặc các cơ chế khác được thiết kế để ngăn chặn mọi sự xâm nhập mà làm lộ ra tất cả hoặc một phần của bất kỳ khóa mã hóa hoặc mã PIN đang được lưu trữ trong môi trường.

Môi trường bảo mật vật lý hoạt động như vậy cho đến khi tất cả các mã PIN, các khóa mã hóa và các phần hữu dụng còn lại của mã PIN và khóa đã bị xóa bỏ khỏi môi trường.

6.3.4. Các yêu cầu với thiết bị nhập mã PIN

Thiết bị nhập mã PIN chấp thuận các yêu cầu trong 6.3.2 hoặc ít nhất là tuân theo các yêu cầu sau:

a) Phần mã hóa của mã PIN giao dịch được cài đặt vào trong thiết bị theo dạng được phép như trong Điều 8.

b) Cuộc xâm nhập thành công vào thiết bị nhập mã PIN phải không làm lộ bất kỳ mã PIN giao dịch nào đã nhập trước đó kể cả đã biết dữ liệu bổ sung có liên quan, hoặc bị thâm nhập từ bên ngoài thiết bị (ví dụ mã PIN đã mã hóa đã truyền trước đó từ thiết bị).

c) Việc dò xét trái phép dữ liệu bí mật (mã PIN và khóa) được lưu giữ bên trong thiết bị nhập mã PIN, hoặc các nơi bên trong thiết bị của “băng ghi" để ghi lại dữ liệu mật, điều này yêu cầu rằng thiết bị phải có các điều kiện thuận lợi và:

- Không sẵn có trong khoảng thời gian đủ dài để phát hiện xác suất vắng mặt cao của nó từ vị trí hoạt động; và/hoặc

- Tại điều kiện thuận lợi tùy thuộc vào tổn hại vật lý như thiết bị không thể đặt lại vị trí cũ vào dịch vụ mà không phát hiện xác suất xáo trộn cao. Hơn nữa, việc xác định dữ liệu bí mật hoặc đưa “băng ghi” vào trong thiết bị cần các thiết bị và kỹ năng đặc biệt và nó không hề phổ biến.

d) Dữ liệu lưu trữ bên trong thiết bị nhập mã PIN, mặc dù đã xác định thì cũng không thể truyền sang bất kỳ thiết bị khác.

CHÚ THÍCH: Xem Phụ lục C Hướng dẫn thi hành thiết bị nhập mã PIN.

7. Kỹ thuật quản lý và bảo vệ các chức năng mã PIN có liên quan đến tài khoản.

7.1. Chiều dài mã PIN

Chiều dài mã PIN sẽ không ít hơn 4 ký tự và không nhiều hơn 12 ký tự.

Mã PIN dài hơn là một lợi thế bảo mật nhưng lại cản trở tính hữu dụng. Đối với các lý do sử dụng, mã PIN số nên có chiều dài không được vượt quá 6 chữ số. Khuyến cáo đối với lý do bảo mật, các mã PIN chữ cái theo khách hàng lựa chọn sẽ có chiều dài không ít hơn 6 ký tự. Điều này nên được lưu ý rằng rất nhiều hệ thống quốc tế không chấp nhận nhiều hơn 6 chữ số và/hoặc không hỗ trợ nhập mã PIN ban đầu.

7.2. Lựa chọn mã PIN

7.2.1. Kỹ thuật lựa chọn mã PIN

Phải sử dụng một hoặc hơn các kỹ thuật sau đây để lựa chọn mã PIN:

a) Mã PIN dẫn xuất được cấp.

b) Mã PIN ngẫu nhiên được cấp.

c) Mã PIN được khách hàng lựa chọn.

Việc xâm phạm trong quá trình lựa chọn mã PIN có thể gây tổn hại an ninh của bất kỳ mã PIN nào được phát hành.

7.2.2. Mã PIN dẫn xuất được cấp

Khi mã PIN tham khảo là “mã PIN dẫn xuất được cấp”, bên phát hành dẫn xuất nó và dưới dạng mã hóa từ:

a) Số tài khoản chính; và/hoặc

b) Một số giá trị khác được kết hợp với khách hàng.

Quá trình dẫn xuất mã PIN không nên thiên về các giá trị hoặc tập cụ thể.

Nếu kỹ thuật này được sử dụng, bên phát hành không nên duy trì bất kỳ bản ghi nào về mã PIN, như vậy mã PIN có thể được dẫn xuất nếu cần.

CHÚ THÍCH: Khi mã PIN được dẫn xuất từ dữ liệu thẻ, nó có thể được sử dụng để xác minh dữ liệu đó.

7.2.3. Mã PIN ngẫu nhiên được cấp

Khi mã PIN tham khảo là “mã Pin ngẫu nhiên được cấp", bên phát hành nhận được một giá trị từ:

a) Bộ tạo số ngẫu nhiên; hoặc

b) Bộ tạo số giả ngẫu nhiên (xem Phụ lục D).

7.2.4. Mã PIN được khách hàng lựa chọn

Khi mã PIN tham khảo là “mã PIN được khách hàng lựa chọn”, giá trị đó được lựa chọn bởi  khách hàng. Trong trường hợp này, bên phát hành cung cấp cho khách hàng các hướng dẫn và cảnh báo về việc lựa chọn cần thiết (xem Phụ lục G).

CHÚ THÍCH: Đối với bên phát hành, mã PIN được khách hàng lựa chọn là một giá trị ngẫu nhiên.

7.3. Phát hành và phân phối mã PIN

7.3.1. Kiểm soát phát hành và phân phối mã PIN

Tất cả các chức năng phát hành mã PIN liên quan đến nhân viên bên phát hành phải chịu sự kiểm soát kép.

Mã PIN không bao giờ lấy lại và giải mã hoặc tạo lại để tiến hành ghi, thực hiện, hiển thị hoặc in ấn. Ngoại trừ trong bao bì của mã PIN an toàn (hoặc tương đương).

Không được xuất hiện mã PIN dưới dạng văn bản rõ tại mọi điểm trong quá trình phân phối có thể liên quan đến tài khoản khách hàng.

7.3.2. Phân phối mã PIN đã chuyển nhượng

Mã PIN được cấp bởi bên phát hành chuyển tới khách hàng bằng phương pháp gọi là phong bao mã PIN.

Phong bao mã PIN sẽ được in theo cách mà văn bản rõ mã PIN không thể bị nhìn thấy được cho đến khi vỏ bao bị mở. Vỏ phong bao sẽ cho biết dữ liệu tối thiểu cần thiết để phân phối phong bao mã PIN cho đúng khách hàng. Phong bao mã PIN sẽ được chế tạo như thế nó rất có thể bị tình cờ hoặc giả mở ra để xem trước tới khách hàng. Bên phát hành phải cảnh báo với khách hàng không sử dụng mã PIN có chứa trong phong bao mã PIN đã bị mở hoặc rách và phải thông báo cho bên phát hành biết sự việc đó.

Bao bì hoặc nội dung của nó có thể chứa nội dung “phần nháp mã PIN" (ví dụ như giấy than), và bên phát hành nên cảnh báo khách hàng rằng sau khi ghi nhớ mã PIN, họ nên hủy toàn bộ phong bao hoặc giữ phong bao ở một nơi an toàn.

CHÚ THÍCH: Có thể có nhiều thẻ được phát hành cho cùng một tài khoản và mỗi cái có một mã PIN khác nhau. Nếu thế bên ngoài phong bao mã PIN có thông tin chi tiết về nhận dạng khách hàng để có thể phân phối chính xác, thuận tiện.

Mã PIN và thẻ không được gửi chung phong bao mà cũng không cùng một thời điểm.

7.3.3. Phân phối mã PIN được khách hàng lựa chọn

7.3.3.1. Chuyển giao mã PIN

Mã PIN được chọn bởi khách hàng sẽ được chuyển giao từ bên phát hành bằng một trong các kỹ thuật sau:

a) Lựa chọn mã PIN ban đầu tại địa điểm của bên phát hành (xem 7.3.3.2).

b) Lựa chọn mã PIN bằng thư (xem 7.3.3.3).

7.3.3.2. Việc lựa chọn mã PIN tại địa điểm của bên phát hành

Lựa chọn mã PIN tiến hành tại địa điểm của bên phát hành thông qua một thiết bị nhập mã PIN tuân theo các yêu cầu của 5.4. Lựa chọn và nhập mã PIN không làm cho khách hàng lộ mã PIN cho bất kỳ nhân viên nào của bên phát hành hoặc bên thứ ba. Phải áp dụng thủ tục sau:

a) Một nhân viên được ủy quyền nhận dạng chính xác khách hàng.

b) Hệ thống yêu cầu nhận dạng và sự ủy quyền của nhân viên bên phát hành.

c) Quá trình lựa chọn mã PIN được thực hiện bởi nhân viên được ủy quyền đó. Quá trình sẽ kết thúc khi việc lựa chọn mã PIN hoàn thành.

d) Nhận dạng của nhân viên được ủy quyền cùng với ngày giờ là một phần của bản ghi giao dịch.

7.3.3.3. Lựa chọn mã PIN bằng thư

Lựa chọn mã PIN bằng thư được tiến hành bằng cách sử dụng một mẫu chứa các con số kiểm soát và khoảng trắng cho PIN được chọn. Số kiểm soát không để lộ số tài khoản. Bất kỳ khóa mã hóa nào được sử dụng để tạo ra số kiểm soát không được sử dụng cho bất kỳ mục đích nào khác và được quản lý theo quy định tại ISO 11568. Mẫu hoàn thành không chứa bất kỳ thông tin nào mà liên hệ mã PIN với tên khách hàng, địa chỉ hoặc số tài khoản. Quá trình sau phải được áp dụng:

a) Thư gửi cho khách hàng phải chứa mẫu lựa chọn mã PIN và các hướng dẫn.

b) Quá trình gửi thư sẽ tuân theo các bước quy định trong 7.3.2, xử lý số kiểm soát như là mã PIN.

c) Khách hàng được chỉ dẫn để viết mã PIN lên mẫu, và không viết bất kỳ thông tin nào khác trên mẫu trừ các yêu cầu đặc biệt và không có bất kỳ bức thư nào khác, sau đó được gửi trả lại mẫu theo địa chỉ kèm theo. Một vỏ phong bao có địa chỉ xác định trước được sử dụng.

d) Quá trình này nhận các mẫu lựa chọn mã PIN chỉ được ủy quyền cho có các nhân viên từ bên phát hành.

CHÚ THÍCH: Số kiểm soát có thể được mã hóa từ số tài khoản. Một số bên phát hành chỉ dẫn khách hàng nhập mã PIN đã mã hóa vào mẫu.

7.4. Thay đổi mã PIN

7.4.1. Thay đổi mã PIN trong môi trường trao đổi

Thay đổi mã PIN được thực hiện thông qua hệ thống của bên phát hành theo các yêu cầu của Điều 7.3; nó không thực hiện trong môi trường trao đổi.

7.4.2. Thay đổi mã PIN trên thiết bị đầu cuối đi kèm

Quá trình thay đổi mã PIN trên thiết bị đầu cuối đi kèm giống như việc lựa chọn mã PIN trong 7.3.3.2.

7.4.3. Thay đổi mã PIN trên thiết bị đầu cuối không đi kèm

Quá trình thay đổi mã PIN trên thiết bị đầu cuối không đi kèm trên hệ thống của bên phát hành sẽ yêu cầu cùng mã PIN để nhập và xác minh trước khi lựa chọn và kích hoạt mã PIN được khách hàng lựa chọn thay thế.

Mã PIN mới nên nhập hai lần và cả hai lần nhập phải giống nhau.

7.4.4. Thay đổi mã PIN bằng thư

Quá trình thay đổi mã PIN bằng thư giống với quy định lựa chọn mã PIN trong 7.3.3.3.

7.4.5. Thay thế mã PIN bị quên

Thay thế mã PIN bị quên phải được thực hiện thông qua hệ thống của bên phát hành; nó không được thực hiện trong môi trường trao đổi. Quá trình yêu cầu thay thế mã PIN bị quên phải tuân theo 7.3.

Tại đó mã PIN đã chuyển nhượng đã bị quên và ảnh hưởng tới việc tạo phong bao mã PIN giao tiếp hoặc giá trị mã PIN đã chuyển nhượng mới. Các yêu cầu trong 7.3.2 phải được áp dụng.

7.4.6. Thay thế mã PIN bị xâm nhập

Khi mã PIN bị nghi là đã bị xâm nhập, nó sẽ bị khóa hoạt động càng sớm càng tốt (xem 7.8) và khách hàng được thông báo giá trị thay đổi hoặc lựa chọn mã khác. Mã PIN thay thế không tương tự như cái bị xâm nhập. Việc kích hoạt mã PIN thay thế có thể tiến hành bí mật hoặc công khai (xem 7.6).

Khi tin rằng mã PIN dẫn xuất được cấp được tin là đã bị lộ, thì có ít nhất một phần tử dữ liệu được sử dụng để dẫn xuất mã PIN phải thay đổi và mã PIN mới được dẫn xuất và phát hành. Đây có thể yêu cầu rằng bất kỳ thẻ tương ứng nào được phát hành lại hoặc mã hóa lại và thẻ cũ sẽ bị khóa khi sử dụng.

7.5. Xử lý vật liệu rác và phong bao mã PIN được hoàn trả

Bên phát hành phải đảm bảo rằng có các biện pháp bảo mật thích đáng được thực hiện trên việc xử lý nội bộ, và xử lý phong bao mã PIN được gửi trả, cùng bất kỳ vật liệu rác nào có liên quan đến việc in ấn phong bao mã PIN.

Cần xem xét cho trước các địa chỉ trả lại khác nhau trong trường hợp không phân phối thẻ và phong bao mã PIN.

7.6. Kích hoạt mã PIN

Mã Pin có thể kích hoạt hoặc bí mật hoặc công khai. Dưới hệ thống kích hoạt mã PIN hàm ẩn, bên phát hành giả định việc phân phối mã PIN thành công, không tính trường hợp ngược lại.

Khi mã PIN được kích hoạt công khai, bên phát hành phải không kích hoạt mã PIN cho đến khi khách hàng gửi trả chữ ký và thông tin xác minh chấp nhận hoặc sử dụng một trong các cách sau:

- Xác nhận việc nhận mã PIN; và

- Xác nhận rằng đáp ứng này từ người sở hữu thẻ hợp pháp.

Việc nhận và đáp ứng đều không chứa mã PIN.

7.7. Lưu trữ mã PIN

Mã PIN được lưu trữ trong tệp máy tính của bên phát hành dưới dạng mã hóa như quy định trong 6.2.

Mã hóa mã PIN (thuận nghịch và không thuận nghịch) phải kết hợp chặt chẽ với số tài khoản (hoặc dữ liệu khác) sao cho quá trình xác minh có thể tìm ra sự thay thế của một giá trị từ giá trị được lưu khác.

Khi mã PIN (được chuyển nhượng hoặc được khách hàng lựa chọn) được lưu trên băng từ của thẻ, thì không bao giờ được lưu dưới dạng văn bản rõ. Nếu mã PIN được lưu trên băng từ của thẻ, thì nó phải được mã hóa (ví dụ bộ bù mã PIN).

Khi mã PIN (được chuyển nhượng hoặc được khách hàng lựa chọn) được lưu trên mạch tích hợp (IC) trên thẻ, thì nó được lưu bên trong vùng được bảo vệ của IC hoặc nó nên được mã hóa.

7.8. Khóa hoạt động mã PIN

Trách nhiệm khóa hoạt động mã PIN thuộc về bên phát hành. Bên phát hành phải khóa hoạt động mã PIN nếu bất kỳ điều sau xảy ra:

a) Mã PIN bị xâm nhập (hoặc nghi ngờ bị xâm nhập).

b) Tất cả tài khoản của khách hàng liên quan đến mã PIN bị đóng.

c) Khách hàng gửi yêu cầu khóa hoạt động mã PIN.

d) Bên phát hành vì nguyên nhân nào khác phát hiện việc khóa hoạt động mã PIN là cần thiết.

Trong trường hợp mã PIN bị xâm nhập hoặc có truy vấn khóa hoạt động từ khách hàng, khách hàng được cảnh báo về hành động này.

Bên phát hành phải có biện pháp thích đáng để đảm bảo việc mã PIN đã khóa hoạt động thì không thể sử dụng sau đó với số tài khoản có liên quan.

CHÚ THÍCH: Ví dụ như biện pháp mà xóa bỏ mã PIN đã khóa hoạt động từ bản ghi của bên phát hành và khóa truy cập từ tài khoản.

8. Kỹ thuật quản lý/ bảo vệ các chức năng mã PIN giao dịch

8.1. Nhập mã PIN

Trách nhiệm của việc bảo vệ mã PIN trong suốt quá trình nhập thuộc bên khách hàng, bên chấp nhận thẻ và bên thu thẻ hoặc các đại lý của nó.

Các chữ số đầu tiên được điền vào thiết bị nhập mã PIN phải số có bậc cao (tận cùng bên trái). Số cuối cùng được nhập là số có bậc thấp (tận cùng bên phải).

Trang thiết bị được sử dụng trong quá trình phải hỗ trợ nhập từ 4 ký tự đến 12 ký tự mã PIN.

8.2. Bảo vệ mã PIN trong quá trình giao dịch

Mã PIN phải được bảo vệ trong suốt quá trình truyền (bổ sung, ví dụ, lưu trữ tại các nút mạng) bởi một hoặc cả hai cách sau:

a) Cung cấp bảo vệ vật lý (xem 6.3);

b) Mã hóa mã PIN (xem 6.2).

Bất cứ khi nào nó cần thiết giải mã và mã hóa mã PIN trong quá trình truyền, cho thời điểm giao dịch từ một mã PIN định dạng cho cái khác hoặc để chuyển khóa mã hóa đã sử dụng, mã PIN phải chứa bên trong thiết bị bảo mật vật lý.

8.3. Định dạng khối mã PIN chuẩn

8.3.1. Cấu trúc khối mã PIN và định dạng giá trị gán

Trong điều này quy định cấu trúc của khối 64 bit dữ liệu mã PIN và gắn các bít số, vị trí và chức năng của bit.

Có 4 bít quan trọng nhất của khối hình thành trường kiểm soát. Các giá trị như sau:

Trong trao đổi quốc tế, khối mã PIN định dạng 0 hoặc định dạng khối mã PIN 3 nên được sử dụng khi mã PAN có mặt, và định dạng khối mã PIN 3 nên được sử dụng khi cùng một khóa mã hóa mã PIN được dùng cho nhiều mã hóa mã PIN.

8.3.2. Khối mã PIN định dạng 0

Khối mã PIN này được kiến thiết bởi phần bổ sung modulo -2 của hai trường 64 bit: trường văn bản rõ mã PIN và trường số tài khoản. Các định dạng của các trường này được mô tả trong 8.3.2.1 và 8.3.2.2 tương ứng.

Khối mã PIN định dạng 0 phải mã hóa thuận nghịch khi giao dịch.

8.3.2.1. Trường văn bản rõ mã PIN

Trường văn bản rõ mã PIN phải định dạng như sau:

Trong đó:

8.3.2.2. Trường số tài khoản

Trường số tài khoản phải được định dạng như sau:

Trong đó:

8.3.3. Khối mã PIN định dạng 1

Khối định dạng này được kiến thiết bởi 2 trường: trường văn bản rõ mã PIN và trường giao dịch.

Khối mã PIN định dạng 1 nên được sử dụng trong trường hợp mà mã PAN không xuất hiện.

Khối mã PIN định dạng 1 nên được mã hóa thuận nghịch khi được giao dịch.

Khối mã PIN định dạng 1 nên được định dạng như sau:

Trong đó:

Trường giao dịch là một số nhị phân hình thành bởi [56-(N* 4)] bít. Số nhị phân này phải là lẻ (không kể bị đổi) để tất cả sự kiện xảy ra tại khối, hộp mã PIN, ví dụ như được dẫn xuất từ một chuỗi số giao dịch, tem thời gian, số ngẫu nhiên hoặc tương tự.

Trường giao dịch không nên giao dịch và không được yêu cầu trong khi thao tác chuyển khối mã PIN sang định dạng khác kể từ khi đã biết chiều dài mã PIN.

8.3.4. Khối mã PIN định dạng 2

Khối mã PIN định dạng 2 được quy định cho nội bộ sử dụng với các thẻ IC. Khối mã PIN định dạng 2 chỉ nên sử dụng trong môi trường ngoại tuyến và không nên sử dụng để xác minh mã PIN trực tuyến.

8.3.5. Khối mã PIN định dạng 3

8.3.5.1. Cấu trúc khối mã PIN định dạng 3

Khối mã PIN định dạng 3 tương tự khối mã PIN định dạng 0 ngoại trừ các số lấp đầy.

Khối mã PIN này được kiến thiết bởi phần bổ sung modulo-2 của hai trường 64 bit: trường văn
bản rõ mã PIN và trường số tài khoản. Các định dạng trường này được mô tả trong 8.3.5.2 và tương ứng.

Khối mã PIN định dạng 3 phải mã hóa thuận nghịch khi giao dịch.

8.3.5.2. Trường văn bản rõ mã PIN

Trường văn bản rõ mã PIN phải được định dạng như sau:

Trong đó:

8.3.5.3. Trường số tài khoản

Trường số tài khoản phải định dạng như sau:

Trong đó:

8.4. Định dạng khối mã PIN khác

Nếu khối mã PIN không thể kiến thiết trên thiết bị đầu cuối thích hợp với các định dạng có trong 8.3, thì các phương pháp thay thế sẽ được sử dụng trong mạng lưới nội bộ sao cho với cùng một mã PIN khi liên kết với các tài khoản khác nhau sẽ tạo ra các kết quả mã hóa khác nhau.

Bên thu thẻ phải đảm bảo chuyển giao bảo mật với định dạng khối mã PIN không chuẩn thành khối mã PIN chuẩn (xem 8.3).

8.5. Kiểm tra xác nhận mã PIN

Trách nhiệm kiểm tra xác nhận mã PIN trực tuyến thuộc về bên phát hành, mặc dù chức năng kiểm tra xác nhận có thể do một tổ chức khác đảm nhiệm.

CHÚ THÍCH: Một số hướng dẫn về các kỹ thuật kiểm tra xác nhận mã PIN được cung cấp trong Phụ lục B.

8.6. Nhật ký việc giao dịch/ chuyển giao có chứa dữ liệu mã PIN

Các thiết bị đầu cuối và các nút khác trên mạng có thể được yêu cầu ghi lại nhật ký (tức là ghi lại đầy đủ văn bản) các thông điệp giao dịch. Các thông điệp được ghi lại không được chứa văn bản rõ mã PIN. Nếu điều này được chấp nhận thì các thông điệp đã ghi lại sẽ chứa mã PIN được mã hóa phù hợp với 6.2. nếu và chỉ nếu ngăn chặn việc làm lộ khóa giải mã mã PIN trong bất kỳ dạng nào cần bảo đảm vòng đời của mã PIN.

Mã PIN không nên lưu dài hơn mức cần thiết.

Chủ thẻ khiếu nại liên quan đến việc lộ mã PIN và/hoặc bị giả mạo nên được ghi lại theo cách mà việc xác định nguồn gốc có thể có của lỗi và/hoặc lợi dụng.

9. Phê chuẩn quy trình mã hóa thuật toán

Trước khi một thuật toán mã hóa bổ sung theo TCVN 8461-2 (ISO 9564-2), phải thỏa mãn các yêu cầu cơ bản sau đây:

a) Nó phải được thiết kế để phục vụ với mục đích chưa có trong TCVN 8461-2 (ISO 9564-2) (ví dụ, cho thị trường khác; để thể hiện việc tiết kiệm chi phí đáng kể trong khi áp dụng hoặc thực thi nó; hoặc để cung cấp một độ đo được lớn được bảo vệ).

b) Nó phải đủ an toàn, đáng tin cậy và ổn định để phục vụ cho mục đích ban đầu. Các thuật toán phải tuân thủ theo các yêu cầu có trong ISO 11568-1 và được mô tả trong Phụ lục A.

Phụ lục A

(Tham khảo)

Các nguyên tắc chung về quản lý khóa

A.1 Phân cấp khóa mã hóa

Quản lý khóa trong tiêu chuẩn quốc tế này được quy định trong ISO 11568. Phần phụ lục này chỉ để tham khảo.

Các khóa mật mã có thể được cấu trúc phân cấp. Các môi trường khác nhau có thể yêu cầu các bậc khác nhau khi phân cấp, ví dụ một số thiết bị đầu cuối phải yêu cầu 2 cấp. Một ví dụ phân cấp bậc 3 như sau:

a) Tại bậc cao nhất của phân cấp là khóa máy chủ. Khóa này hoặc các biến của khóa được sử dụng để mã hóa tất cả các khóa trong các bậc tiếp theo.

b) Tại bậc tiếp theo là các khóa mã hóa khóa. Chúng được sử dụng cho các khóa mã hóa mã PIN đã mã hóa (và các khóa mã hóa dữ liệu) trong kho lưu trữ.

c) Tại bậc thấp nhất là các khóa đang làm việc (ví dụ các khóa đang mã hóa mã PIN được dùng mã hóa tiếp một mã PIN để lưu trữ hoặc chuyển giao).

A.2 Tạo khóa cho các thuật toán khóa bí mật

Các khóa được tạo ra bởi quá trình ngẫu nhiên hoặc ngẫu nhiên giả sao cho không thể đoán trước bất kỳ khóa nào hoặc để xác định các khóa cụ thể nhiều hơn một số khác trong tập của tất cả các khóa xác định.

A.3 Bảo vệ chống lại việc lộ khóa

Một khóa mật mã chỉ tồn tại theo dạng sau:

a) Có ít nhất hai thành phần khóa được kiểm soát bởi quá trình kiểm soát kép và biết từng phần. Mỗi thành phần khóa được tạo ra theo mô tả trong A.2. Mỗi thành phần khóa có chứa cùng số bit với chính khóa đó;

- Việc thành lập khóa từ các thành phần khóa phụ thuộc vào tương tác lẫn nhau của tất cả các thành phần khóa (ví dụ phần bổ sung module - 2).

- Nếu thành phần khóa là dạng con người có thể hiểu (ví dụ dạng bản in văn bản rõ bên trong phong bao) nó được biết chỉ từ nhân viên được ủy quyền, và chỉ tại một thời điểm, và chỉ trong khoảng đủ lâu theo yêu cầu để thành phần khóa có thể nhập vào trong thiết bị hoặc các hệ thống tuân theo 6.3. Nó phải đảm bảo rằng nhân viên được ủy quyền người xử lý thành phần đó là chỉ một người duy nhất đã biết giá trị của nó và có quyền truy cập vào thành phần. Đây có thể nhân viên được ủy quyền sao lưu đã chỉ định là người sẽ duy nhất có quyền truy cập đến thành phần trong trường hợp mà không tồn tại nhân viên được ủy quyền đầu tiên. Các nhân viên này không có quyền truy cập vào các thành phần khác cùng trên một khóa;

b) Trong thiết bị hoặc hệ thống tuân theo các yêu cầu trong 6.3.2 hoặc 6.3.4 hoặc trong điều kiện của bên phát hành tuân theo 6.3.3;

c) trong dạng mã hóa, sử dụng một khóa mã hóa.

A.4 Bảo vệ chống lại sự thay thế khóa

Các khóa và các vật liệu tạo khóa liên quan được vận chuyển và lưu trữ bằng phương pháp để bảo vệ chúng kháng lại việc sửa đổi và thay thế.

Nếu hành động chống lại sự thay thế không được tiến hành, kẻ tấn công sẽ thực hiện thay thế khóa với các giá trị đã biết đối với khóa mà có giá trị chưa biết.

Việc bảo vệ được cung cấp sử dụng một trong các phương pháp sau:

a) Bằng cách kết hợp việc bảo vệ vật lý tuân theo 6.3 và các kỹ thuật thủ tục bảo vệ khỏi sự thay thế.

b) Bằng cách sử dụng các kỹ thuật chứng nhận khóa.

c) Bằng cách đảm bảo rằng điều này không thể xảy ra khi biết có hai giá trị văn bản rõ và nó tương ứng với văn bản mã hóa đã mã hóa bằng khóa mã hóa khóa.

Nếu nó được tin rằng hoặc được biết rằng việc thay thế khóa đã thực hiện, cả hai khóa và bất kỳ khóa mã hóa khóa liên quan nào sẽ bị khóa hoạt động và thay đổi.

A.5 Hạn chế trong việc sử dụng các khóa bảo vệ mã PIN

Khóa được sử dụng để mã hóa mã PIN sẽ không bao giờ được sử dụng cho bất kỳ mục đích mã hóa nào khác. Khóa được sử dụng để bảo vệ khóa mã hóa mã PIN sẽ không bao giờ được sử dụng cho bất kỳ mục đích mã hóa nào khác. Tuy nhiên, các biến của cùng một khóa có thể được sử dụng cho các mục đích khác nhau.

A.6 Giới hạn ảnh hưởng của việc xâm nhập khóa

Theo các bước để tiến hành ngăn chặn sự xâm nhập khóa hoặc các khóa trong một thiết bị mã hóa từ việc xâm nhập bất kỳ các thiết bị mã hóa khác.

Bất kỳ khóa mã hóa khóa hoặc bất kỳ giao dịch khóa mã hóa mã PIN chỉ tồn tại trong số tối thiểu của các địa chỉ thích hợp với các ảnh hưởng từ hoạt động của hệ thống. Điều này có trong nhiều trường hợp sẽ chỉ có hai địa chỉ nhưng trong thí dụ các mạng đàn hồi với các định tuyến thay thế cho việc sử dụng sao lưu nóng (tức thời), sau đó các khóa này khi cần thiết giúp đỡ tại nhiều hơn hai địa chỉ.

Bất kỳ khóa nào được sử dụng bởi thiết bị nhập mã PIN không tuân theo 6.3.2 sẽ không được chia sẻ với bất kỳ thiết bị nhập mã PIN nào khác.

Chỉ có bên phát hành hoặc các đại lý của họ mới có quyền truy cập vào bất kỳ khóa nào sử dụng để mã hóa hoặc dẫn xuất mã PIN tham khảo.

Không khóa mã hóa nào (ngoại trừ bị thay đổi) ngang bằng với bất kỳ khóa mã hóa khác.

Ngoại trừ các biến của khóa, sự chuyển đổi không thuận nghịch của một khóa, hoặc các khóa được mã hóa bởi một khóa, các điều đã biết của một khóa mã hóa không cung cấp thông tin nào về bất kỳ khóa mã hóa nào khác.

Sự chuyển đổi không thuận nghịch của khóa chỉ được sử dụng trong cùng bậc với khóa ban đầu, hoặc bậc trực tiếp bên dưới khóa ban đầu.

Các biến của khóa có thể chỉ được sử dụng trong các thiết bị này có hoặc được dùng bởi khóa ban đầu.

A.7 Thay thế khóa

Khóa mật mã được thay thế bằng một khóa mới bất cứ khi nào đã biết hoặc nghi ngờ có sự xâm nhập vào khóa ban đầu. Các điều đã biết của khóa ban đầu sẽ không cung cấp bất kỳ thông tin nào để có thể xác định ra được khóa thay thế. Khóa thay thế không phải là một biến của khóa ban đầu, hay là một chuyển đổi không thuận nghịch của khóa ban đầu.

Khóa mật mã được thay thế bằng một khóa mới trong thời điểm nghĩ rằng khả năng có thể xác định được khóa bằng giải pháp (tấn công) sử dụng.

Phụ lục B

(Tham khảo)

Kỹ thuật kiểm tra xác nhận mã PIN

B.1 Kỹ thuật kiểm tra xác nhận mã PIN

Phụ lục này mô tả ba kỹ thuật kiểm tra xác nhận mã PIN cơ bản, bằng các phương pháp nhập mã PIN hợp lệ vào thiết bị đầu cuối để có thể kiểm tra. Quá trình này tiến hành như sau:

a) Kiểm tra xác nhận mã PIN tại thiết bị đầu cuối;

b) Kiểm tra xác nhận mã PIN bởi bên phát hành;

c) Kiểm tra xác nhận mã PIN bởi cơ quan tổ chức thiết lập khác bên phát hành.

Nguyên tắc của cả ba kỹ thuật trên là so sánh mã PIN như là khóa (mã PIN giao dịch) với dữ liệu chuẩn ban đầu từ bên phát hành (ví dụ như mã PIN tham khảo). Để so sánh hợp lệ, mã PIN giao dịch hoặc dữ liệu tham khảo, hoặc cả hai phải yêu cầu chuyển đổi, đối với các trường hợp môi trường đặc biệt, việc giải mã hoặc giao dịch, mã hóa không thuận nghịch, đối với các trường hợp sử dụng hàm một chiều phải cung cấp một bảo mật bậc cao khi dữ liệu chuẩn được trao đổi.

Phương pháp được sử dụng để truyền và lưu trữ dữ liệu phải ảnh hưởng đến kỹ thuật được chọn để xác minh mã PIN. Trong phần bổ sung, mỗi kỹ thuật được mô tả gồm cả các bậc khác nhau của độ phức tạp của phần bổ sung và của phần phơi bày dẫn đến rủi ro.

B.2 Kiểm tra xác nhận mã PIN tại thiết bị đầu cuối

Để kiểm tra xác nhận mã PIN tại thiết bị đầu cuối, thiết bị cần có quyền truy cập đến dữ liệu tham khảo (Mã PIN giao dịch sẽ được xuất hiện trong thiết bị đầu cuối như là một phần tiến trình). Dữ liệu tham khảo sẽ:

a) Được thu nhận hoặc được dẫn xuất từ thẻ của khách hàng; hoặc

b) Được thu nhận/ chuyển giao từ bên phát hành.

Trong đó dữ liệu chuẩn được nhận từ thẻ của khách hàng, việc bị lộ của các khóa mã hóa bí mật được dùng trong thiết bị đầu cuối có thể lộ ra tất cả các mã PIN của bên phát hành đó.

B.3 Kiểm tra xác nhận mã PIN bởi bên phát hành

Tại nơi kiểm tra xác nhận mã PIN được tiến hành bởi bên phát hành có liên quan, bên phát hành cần có quyền truy cập vào mã PIN giao dịch hoặc dẫn xuất của chúng (các dữ liệu tham khảo sẽ xuất hiện với bên phát hành như là một phần tiến trình). Phần mã PIN giao dịch được mã hóa cần được giao dịch từ thiết bị đầu cuối đến bên phát hành.

B.4. Kiểm tra xác nhận mã PIN bởi cơ quan tổ chức khác bên phát hành

Kiểm tra xác nhận mã PIN bởi cơ quan tổ chức khác bên phát hành được thực hiện không tại thiết bị đầu cuối mã mã PIN giao dịch đã nhập, mà cũng không tại bên phát hành. Cả hai nhóm dữ liệu được yêu cầu để so sánh cần được cung cấp đến cơ quan tổ chức có liên quan.

Như vậy mã PIN giao dịch hoặc dẫn xuất cần được truyền từ thiết bị đầu cuối. Dữ liệu chuẩn có thể được nhận từ bên phát hành hoặc được dẫn xuất từ dữ liệu trên thẻ của khách hàng và được truyền với mã PIN giao dịch (hoặc dẫn xuất). Khi kỹ thuật này được sử dụng, bảo mật mã PIN của bên phát hành phụ thuộc nhiều vào tính toàn vẹn của các phương tiện của cơ quan tổ chức có liên quan.

Phụ lục C

(Tham khảo)

Thiết bị nhập mã PIN để mã hóa mã PIN trực tuyến

C.1 Quy định chung

Tiêu chuẩn này (xem 6.3.4) cho phép thiết bị nhập mã PIN (đặc biệt với các điểm bán hàng thông dụng) để có mức độ bảo mật vật lý ít hơn làm một “thiết bị bảo mật vật lý”, được cung cấp một số điều kiện đáp ứng. Những điều quan trọng nhất của các điều kiện này không có thông tin còn lại thiết bị ở cuối vụ giao dịch có thể (nếu xác định chắc chắn) được sử dụng để xác định bất kỳ mã PIN nào được nhập vào trong thiết bị này, thậm chí đưa một số điều đã biết của tất cả các dữ liệu có liên quan đã có sẵn bên ngoài thiết bị này. Giả sử rằng thiết bị mã hóa mã PIN tuân theo tiêu chuẩn, các điều kiện này yêu cầu rằng khóa mã hóa được sử dụng để mã hóa mã PIN thay đổi sau tất cả lần giao dịch, và làm cho không có cách nào có khả năng dò ra được bất kỳ khóa cũ nào dù đã biết khóa và các khóa hiện thời được lưu trữ bên trong thiết bị, cũng như các điều đã biết về bất kỳ dữ liệu nào được chuyển giao hoặc từ thiết bị trong khi thực hiện dịch vụ này.

Thông thường sử dụng kỹ thuật “khóa làm việc/ khóa chủ đạo” không có trong điều kiện này, ngay cả khi khóa hoạt động mới được mã hóa bởi khóa chủ đạo được chuyển giao đến thiết bị sau tất cả các giao dịch. Một điều đã biết về khóa chủ đạo cùng với một điều đã biết về dữ liệu có thể được chuyển giao đến và từ thiết bị, sẽ được cho phép giải mã các khóa hoạt động đã mã hóa đến thiết bị, ở đó nói cách khác sẽ cho phép giải mã bất kỳ mã PIN được mã hóa nào đã chuyển giao từ thiết bị.

Một phương pháp được khuyến cáo cho điều kiện bên trên là việc tạo một khóa mã hóa mã PIN mới bởi “sự chuyển đổi không thuận nghịch” của khóa mã hóa mã PIN hiện thời ngay khi việc giao dịch sử dụng khóa hiện thời diễn ra hoàn toàn. (Nếu khóa “X” là một chuyển đổi không thuận nghịch của khóa “Y", các phương pháp này không tồn tại cách xác định “Y” với các điều đã biết về “X”.). Theo cách này, thiết bị có một khóa đơn cho tất cả các giao dịch, nhưng không tồn tại cách xác định bất kỳ khóa có trước khác với các điều đã biết về khóa hiện thời.

Trong một phần bổ sung của phương pháp chuyển đổi không thuận nghịch, quá trình chuyển đổi sử dụng dữ liệu mà bị loại bỏ thông thường khi một Mã Xác thực Thông điệp (trường dữ liệu được sử dụng để xác minh quyền sở hữu của thông điệp) được tạo (phần còn lại mã MAC). Các liên kết mã hóa này giao dịch với nhau, cung cấp một dạng “biên bản hoạt động". Trong các tình hình này, một “khóa thẻ" (một dẫn xuất của dữ liệu thẻ chưa chuyển giao) có mặt, bảo mật có thể được nâng cao bằng cách bổ sung “khóa thẻ” vào trong quá trình chuyển đổi không thuận nghịch.

Bên thu thẻ có khả năng xác định khóa hiện thời trong từng cái trong hàng loạt (có thể hàng chục nghìn) thiết bị nhập mã PIN. Số lượng kỹ thuật tại đó có thể được thực hiện, ba kỹ thuật được miêu tả tại C.2 đến C.4.

C.2 Khóa mã hóa được lưu giữ trong dữ liệu của bên thu thẻ

Phương tiện của bên thu thẻ được thừa nhận có chứa thiết bị bảo mật vật lý và dữ liệu không bảo mật. Khóa hiện thời của mỗi thiết bị nhập mã PIN được lưu trữ trong dữ liệu này dưới dạng mã hóa, khóa mã hóa khóa được biết rằng chỉ có trong thiết bị bảo mật vật lý. Khi một giao dịch được nhận từ thiết bị nhập mã PIN, bên thu đầu tiên đặt khóa mã hóa cho thiết bị vào dữ liệu. Dữ liệu giao dịch thích hợp và khóa được mã hóa này được chuyển đổi đến thiết bị bảo mật vật lý, tại đó giả mã phần sau để xác định khóa hiện thời của thiết bị. Sau đó, thiết bị bảo mật vật lý xác định khóa từ dữ liệu như cùng với khóa trong thiết bị nhập mã PIN (ví dụ thực hiện giải mã khối mã PIN hoặc được xác minh Mã Xác thực Thông điệp mà làm cơ sở trên khóa có liên quan đến khóa mã hóa mã PIN), thiết bị bảo mật vật lý thực hiện cùng việc chuyển đổi không thuận nghịch tại thiết bị nhập mã PIN sẽ thực hiện tạo khóa cho lần giao dịch tiếp theo. Nó sau đó mã hóa khóa này và gửi lại nó để lưu trữ trong dữ liệu.

Điều này có thể thực hiện để dữ liệu được lưu trữ cả hai khóa mã hóa cho lần giao dịch hiện thời và khóa mã hóa cho lần giao dịch tiếp theo. Điều này cung cấp khả năng rằng lần giao dịch hiện thời có thể không thể hoàn thành, dẫn đến thiết bị nhập mã PIN sẽ giữ lại khóa hiện thời hơn là chuyển đổi không thuận nghịch khóa hiện thời để tạo ra khóa mới.

C.3 Khóa mã hóa được lưu trữ tại thiết bị đầu cuối hoặc thiết bị nhập mã PIN

Phương pháp hoạt động này được mô tả trong C.2 ngoại trừ rằng không tồn tại dữ liệu của các khóa mã hóa. Thay vì được lưu trữ trong dữ liệu, khóa được mã hóa tiếp theo cho thiết bị nhập mã PIN (mã hóa bằng phần mã hóa khóa xuất hiện chỉ trong thiết bị bảo mật vật lý của bên thu thẻ), được chuyển giao ngược lại thiết bị đầu cuối tương ứng trong thông điệp đáp ứng giao dịch và được lưu trữ tại đó. Khóa được mã hóa này có trong thông điệp truy vấn lần giao dịch tiếp theo từ thiết bị đầu cuối và do vậy xuất hiện trong thiết bị bảo mật vật lý của bên thu thẻ khi quá trình thực hiện việc giao dịch. Điều chú ý được rút ra từ thực tế là thiết bị nhập mã PIN không có khả năng giả mã khóa mã hóa này nhưng hơn là nhận khóa này từ chuyển đổi không thuận nghịch các khóa trước đó.

Khi kỹ thuật này được sử dụng, việc xác thực thông điệp là được yêu cầu cao để đảm bảo phiên bản mã hóa của khóa mới là chính xác được nhận từ thiết bị đầu cuối là trang thiết bị của bên thu thẻ. Thiết bị nhập mã PIN đảm bảo điều này trước khi tiến hành chuyển đổi không thuận nghịch khóa hiện thời để tạo ra khóa mới.

Loại bỏ cơ sở dữ liệu về các khóa được mã hóa từ trang thiết bị của bên thu thẻ làm giảm các vấn đề phục hồi - hỏng hóc. Với dữ liệu về các khóa được mã hóa chuyển đổi mới nhất, bên thu thẻ cung cấp các cơ chế phục hồi - hỏng hóc sao cho phiên bản mới nhất của mỗi khóa đã mã hóa có thể được phục hồi nếu có hỏng hóc trên vùng lưu trữ có chứa dữ liệu.

C.4 Khóa đơn được dẫn xuất cho mỗi lần giao dịch

Kỹ thuật này tương đương với kỹ thuật được miêu tả ở C.3 tại nơi không cần duy trì dữ liệu các khóa đã mã hóa. Tuy nhiên kỹ thuật này không yêu cầu chuyển giao các khóa đã mã hóa trở lại thiết bị đầu cuối và không hiển thị căn bản với quá trình thực hiện trực tuyến của bên thu thẻ. Thay vào đó, nó không cần đòi hỏi việc xác thực thông điệp.

Trong kỹ thuật này, “số thứ tự khóa" không bí mật mà tăng lên trong mỗi lần giao dịch, được chuyển giao từ thiết bị nhập mã PIN với mỗi mã PIN được mã hóa. Thiết bị bảo mật vật lý của bên thu thẻ có khả năng tính toán mã hóa khóa thiết bị nhập mã PIN hiện thời với chỉ một “khóa dẫn xuất” bí mật, thông thường có rất nhiều thiết bị nhập mã PIN, nhưng không tập trung và số thứ tự khóa được gắn vào lần chuyển tiếp hiện thời.

Để giảm tiến trình tính toán được yêu cầu của thiết bị bảo mật vật lý từ bên thu thẻ, khóa cho lần chuyển tiếp hiện thời là chuyển đổi không thuận nghịch của khóa được sử dụng cho các lần chuyển tiếp trước, nhưng không nhất thiết ngay trước một cái. Trong phần bổ sung hợp lý của kỹ thuật này, bên thu có thể tính toán mã hóa khóa hiện thời của thiết bị nhập mã PIN có sử dụng một số nhỏ các thao tác mã hóa có liên quan. Ví dụ: nếu thiết bị nhập mã PIN có thể dùng một triệu khóa đơn, bên thu thẻ có thể tính toán khóa hiện thời không nhiều hơn mười hai thao tác mã hóa.

Phụ lục D

(tham khảo)

Ví dụ về việc tạo mã PIN ngẫu nhiên giả

Đây là ví dụ sử dụng thuật toán mã hóa dữ liệu, ANSI X3:92:1993, eX(Y) biểu diễn mã hóa DEA của Y bằng khóa X trong bảng tra mã điện tử (ECB). Giả sử K là khóa bí mật DEA-1 và giả sử S là giá trị hạt giống. S có thể là tập ban đầu của bất kỳ số nào. Giả sử DT là chữ cái ngày giờ và dĩ nhiên cho XOR biểu diễn các thao tác hoặc loại trừ từng bít một. Một vectơ trung gian 64 bit I và và một vectơ ngẫu nhiên giả 64 bit R là được tạo như sau:

I = eK (DT)

R = eK (I XOR S)

Và một S mới được cho bởi:

S = eK (R XOR I)

Như với tất cả bộ tạo số ngẫu nhiên, mỗi phần bổ sung sẽ được kiểm tra định kỳ để đảm bảo các chức năng hoạt động tốt.

Các số mã PIN được dẫn xuất từ R bởi quy trình tiếp theo.

Xét R là một khối mã hóa 64 bit, như số thập lục phân 16. Quét các số này, bỏ qua bất kỳ số nào lớn hơn bằng 9 cho đến khi số được yêu cầu (số mã PIN thập phân) được tìm thấy. Nếu tất cả số mã hóa 16 được quét không tìm thấy số yêu cầu (số mã PIN thập phân), tìm các số được yêu cầu còn lại bằng cách quét lại các số mã hóa, chỉ quan tâm đến các số lớn hơn 9 và trừ cho 10 với mỗi số.

Khuyến cáo rằng kỹ thuật này có số lượng so với độ sai lệch không đáng kể đối với các số từ 0 đến 5, và độ sai lệch này chỉ không đáng kể đối với các mã PIN có độ dài từ 4 ký tự đến 6 ký tự.

Phụ lục E

(Tham khảo)

Hướng dẫn bổ sung về thiết kế thiết bị nhập mã PIN

E.1 Giới thiệu

Phụ lục này mô tả tính năng như các khóa chức năng và thiết kế lắp đặt thiết bị nhập mã PIN và như vậy nó bổ sung các yêu cầu có trong Điều 5.

E.2 Bố trí khóa

Trong khi có phần đặc biệt quan trọng là sự bố trí của các khóa số trên thiết bị nhập mã PIN đã được cố định, và việc bố trí tổng thể là điều cần thiết hàng đầu, bao gồm cả bất kỳ các khóa chức năng nào đã được chuẩn hóa sao cho giúp đỡ các khách hàng khi họ đang sử dụng thiết bị nhập mã PIN. Các bố trí thường đẩy mạnh thao tác nhất quán và đầy đủ, do đó giảm thiểu được các lỗi trong nhập mã PIN.

Cũng như việc duy trì một bố trí cố định, các khóa chức năng là rõ ràng và có ý nghĩa cố định. Có ba kiểu chức năng được cung cấp bởi các khóa lẻ là:

a) “nhập” hoặc “nhập hoàn thành”;

b) “xóa” phần nhập;

c) “từ chối” giao dịch.

Trong phần bổ sung của bất kỳ các bản in khắc chỉ báo cho chức năng của các khóa, khuyến khích các khóa sử dụng màu như sau:

a) Màu xanh lục cho “nhập";

b) Màu vàng cho “xóa”;

c) Màu đỏ cho “từ chối”.

trong khi các khóa chức năng được sắp xếp theo chiều dọc, chúng được đặt tại bên phải của các khóa số với khóa “từ chối” ở trên cùng, khóa “xóa” nằm ở giữa và khóa “nhập” nằm ở dưới cùng. Khi sắp xếp theo chiều ngang, cùng thứ tự được sử dụng với khóa “từ chối" ở bên trái, và khóa “nhập" ở bên phải và khóa “xóa” nằm ở giữa. Để hỗ trợ cho các khách hàng bị mù hoặc gần mù, khuyến khích nên dùng khóa “5" có khả năng tăng các nhận dạng điểm hoặc xúc giác khác trên nó.

VÍ DỤ 1: Thiết bị nhập mã PIN dạng số với các khóa chức năng đặt tại 2 hàng ngang:

VÍ DỤ 2: Thiết bị nhập mã PIN dạng số mã ANSI ban đầu với các khóa chức năng được xếp hàng dọc.

VÍ DỤ 3: Thiết bị nhập mã PIN dạng số mã ITU-E.161 ban đầu với các khóa chức năng xếp hàng dọc.

E.3 Sự tách biệt trong khi nhập mã PIN

Việc quan sát trực quan các mã PIN là cách thông thường nhất để xâm nhập mã PIN. Sự tách biệt trong khi nhập mã PIN có thể đạt được bằng cách kết hợp ca pô trên các nút hoặc bằng cách định vị các thiết bị nhập mã PIN sao cho khi nhập mã PIN các khóa được che chắn bằng chính cơ thể khách hàng. Ví dụ: khi sử dụng các thiết bị nhập mã PIN giữ bằng tay. Cần chú ý đặc biệt đến ngăn chặn việc ghi lại có thể xảy ra khi nhập mã PIN bởi máy quay video.

E.4 Ánh xạ chữ thành số

Các mối liên hệ được mô tả dưới đây giữa tập các ký tự khách hàng đã biết (nó có thể là chữ cái, số hoặc cả hai) và các mã nhị phân bên trong. Các ký tự chữ cái chỉ đồng nghĩa với các số thập phân và không phân biệt bởi thiết bị đầu cuối hay hệ thống mạng. Bảng E.1 và Bảng E.2 cho biết ánh xạ chữ cái số mã ANSI và ITU-E 161.

Bên phát hành thẻ cần thực hiện ánh xạ theo bảng chữ cái "Q” và “Z” để số thập phân thay đổi quốc tế. Khuyến khích rằng nếu số PIN không phải là số thì sẽ được sử dụng trao đổi xen kẽ quốc tế, sau đó bên phát hành có trách nhiệm thông báo cho khách hàng của họ.

Bảng E.1 - Ánh xạ chữ thành số ANSI

Bảng E.2 - Ánh xạ chữ thành số ITU-E.161

Phụ lục F

(Tham khảo)

Hướng dẫn xóa và các bước phá hỏng dữ liệu nhạy cảm

F.1 Mục đích

Để hướng dẫn thiết lập trên các loại xóa giống nhau (sự zerô hóa) (ví dụ sự khử từ, xóa và ghi đè), xáo và các bước phá hỏng đối với vật liệu lưu trữ được sử dụng sao cho sự truy cập không được phép hoặc xâm nhập vào dữ liệu đều bị ngăn chặn.

F.2 Tổng quan

Bởi vì các tính chất vật lý và khả năng lưu lại của các phương tiện, thiết bị lưu trữ (ví dụ: đĩa và các mạch vi điện tử) được sử dụng để lưu trữ, ghi lại hoặc điều khiển các dữ liệu nhạy cảm, sự phòng ngừa đặc biệt là để cho phòng hộ chống lại sự xâm nhập có thể đối với thông tin dư. Phần phụ lục này khuyến khích thực hiện quá trình zerô hóa hoặc phá hỏng.

F.3 Băng từ

Băng từ là được zerô hóa bằng các máy móc khử từ hoặc kỹ thuật có khả năng khử từ khác. Băng từ có thể bị xóa bằng ghi đè trong một lần với bất kỳ một ký tự nào. Tuy nhiên băng từ đã xóa trở thành được phòng hộ, điều khiển và đánh dấu trên các bậc tương ứng với các thông tin nhạy cảm nhất được ghi lại trên chúng trước khi chúng được thông qua để phá hủy. Trước khi thông qua để zerô hóa băng từ, nó được đưa ra cho hai vòng khử từ và rồi mới ra khỏi guồng, sau đó được phá hủy bởi sự phân rã của các phần 9 mm hoặc nhỏ hơn hoặc bị thiêu đốt.

F.4 Bộ đăng ký, bộ đệm và bộ nhớ trong

Bộ đăng ký, bộ đệm và bộ nhớ trong được zerô hóa đầu tiên bằng cách sử dụng phần cứng chuyển đổi xóa hoặc mạch thiết lập tắt/mở nguồn, và sau đó bị ghi đè tất cả các vị trí bit dữ liệu chuyển thành dữ liệu ngẫu nhiên cho 1000 mạch. Việc xác minh định kỳ được thực hiện để đảm bảo rằng (các) phương pháp hoạt động chính xác. Xác minh thành công việc nhập khi ghi đè thông qua một phần cứng sao lưu - đọc ra ngẫu nhiên hoặc thông qua các thiết bị xác minh khác. Cuối cùng, tất cả các vị trí sẽ được ghi đè với dữ liệu ngẫu nhiên không nhạy cảm và đã được xác minh.

F.5 Bộ nhớ bán dẫn

a) Bộ nhớ truy cập Ngẫu nhiên (RAM) là mạch được khởi động bằng cách dùng mạch thiết lập tắt/mở nguồn. Vùng lưu trữ được ghi đè bằng cách thiết lập lần lượt từng vị trí bit dữ liệu thành zerô (không) sau đó tất cả chia cho 1000 mạch. Việc xác minh định kỳ để đảm bảo rằng phương pháp hoạt động chính xác. Việc xác minh làm trên định dạng của mẫu ngẫu nhiên hoặc sử dụng một chương trình đọc và so sánh. Cuối cùng, tất cả các vị trí đều được ghi đè với dữ liệu không nhạy cảm và đã được xác minh.

b) Bộ nhớ chỉ đọc có thể Lập trình Xóa (EPROM) là mạch được khởi động bằng cách dùng kỹ thuật xóa theo mảng bằng cách chiếu tia cực tím. Quá trình zerô hóa được xác minh. Tất cả các vị trí lưu trữ đều được ghi đè bằng dữ liệu không nhạy cảm ngẫu nhiên và đã được xác minh.

c) Bộ nhớ chỉ đọc Khả hiểu điện tử (EAROM) là mạch được khởi động bằng cách phát xung toàn bộ các cổng. Quá trình zerô hóa được xác minh. Tất cả các vị trí lưu trữ bị ghi đè bằng dữ liệu không nhạy cảm ngẫu nhiên và đã được xác minh.

d) Bộ nhớ chỉ đọc có thể Lập trình Xóa bằng điện (EEPROM) được khởi động bằng cách phát xung các cổng kiểm soát xáo. Quá trình zerô hóa được xác minh. Tất cả các vị trí lưu trữ bị ghi đè bằng dữ liệu không nhạy cảm ngẫu nhiên và đã được xác minh.

e) Bộ nhớ chỉ đọc (ROM) được lập trình vật lý bởi nhà sản xuất. Quá trình phá hỏng vật lý là phương pháp duy nhất được khuyến khích để tiến hành xóa.

F.6 Vật liệu giấy

Vật liệu giấy bị phá hủy bằng cách đốt, tán miếng hoặc cắt thành các miếng nhỏ. Khi vật liệu bị tán miếng, tất cả phần còn lại thành các miếng 5 mm hoặc nhỏ hơn. Khi vật liệu bị đốt, phần còn lại là tro trắng.

F.7 Trục cuộn và duy băng

Các trục cuộn và duy băng máy in bị tháo ra từ máy tin trước khi máy in được thông qua. Trục cuộn (chỉ có bề mặt cao su được lấy ra để phá hỏng) và các duy băng thì bị phá hủy (ví dụ như đốt thành tro).

Phụ lục G

(Tham khảo)

Thông tin cho khách hàng

Bên phát hành phải cung cấp cho các khách hàng có thẻ và mã PIN liên quan các thông tin về các điều quan trọng về mã PIN và bảo mật mã PIN. Trong trường hợp riêng biệt, các thông tin sau đây cần được cung cấp:

a) Khách hàng không bao giờ được trao đổi văn bản rõ của mã PIN bằng miệng hay vật lý (ví dụ như fax hoặc gửi thư điện tử) cho bất kỳ người nào hoặc thiết bị nào.

b) Khách hàng không bao giờ được nhập mã PIN bằng bàn phím điện thoại, ngoại trừ điện thoại thỏa mãn các yêu cầu đối với thiết bị nhập mã PIN được quy định tại Điều 5, và đối với an ninh giao tiếp được quy định tại 8.2.

c) Khi khách hàng lựa chọn hoặc chuyển mã PIN, họ cần thực hiện đảm bảo các điều sau:

1) Việc lựa chọn mã PIN không có giá trị dễ biết từ khách hàng (ví dụ tên riêng, số điện thoại, ngày sinh...);

2) Khi lựa chọn giá trị mã PIN không nên chọn:

- Một chuỗi số tài khoản in nổi;

- Cùng một chuỗi số;

- Tăng hoặc giảm các số liên tiếp;

- Ngày có ý nghĩa trong đời;

- Chuỗi ký tự theo bảng chữ cái (chữ cái) ít hơn 6 ký tự;

- Chuỗi ký tự số (chữ số) ít hơn 6 ký tự.

3) Các thông tin tự nguyện là không bao gồm trên hoặc với các dạng lựa chọn mã PIN.

d) Khi thay đổi mã PIN ban đầu của khách hàng bắt đầu có hiệu lực, phải có thông báo về thay đổi này, nhưng không có giá trị mã PIN, như gửi thư cho khách hàng. Thông báo có chứa các hướng dẫn để liên hệ với bên phát hành có trách nhiệm nếu việc thay đổi không được yêu cầu từ bên khách hàng.

e) Khách hàng cần đảm bảo nhập mã PIN mà người khác không thể nhìn thấy.