Tải bản đầy đủ

Tiêu chuẩn Quốc gia TCVN 8461-1:2010 - ISO 9564-1:2002

TIÊU CHUẨN QUỐC GIA
TCVN 8461-1:2010
ISO 9564-1:2002
NGÂN HÀNG - QUẢN LÝ BẢO MẬT SỐ NHẬN DẠNG CÁ NHÂN - PHẦN 1: NGUYÊN TẮC CƠ
BẢN VÀ YÊU CẦU ĐỐI VỚI TRAO ĐỔI PIN TẠI CÁC HỆ THỐNG RÚT TIỀN
Banking - Personal Identification Number management and security - Part 1: Basic principles and
requirements for online PIN handling in ATM and POS systems
Lời nói đầu
TCVN 8461-1:2010 hoàn toàn tương đương với ISO 9564-1:2005.
TCVN 8461-1:2010 do Ban kỹ thuật Tiêu chuẩn quốc gia TCVN/TC 68 “Tài chính ngân hàng và
tiền tệ" biên soạn, Tổng cục Tiêu chuẩn Đo lường Chất lượng đề nghị, Bộ Khoa học và Công
nghệ công bố.
Bộ TCVN 8461 (ISO 9564) Ngân hàng - Quản lý bảo mật số nhận dạng cá nhân gồm 2 phần:
- TCVN 8461-1 (ISO 9564-1) - Phần 1: Nguyên tắc cơ bản và yêu cầu đối với trao đổi PIN tại các
hệ thống rút tiền.
- TCVN 8461-2 (ISO 9564-2) - Phần 2: Phê chuẩn thuật toán mã hóa PIN.
Bộ (ISO 9564) Banking - Personal Identification Number management and security còn có các
phần:
- Part 3: Requirements for offline PIN handling in ATM and POS systems.
- Part 4: Guidelines for PIN handling in open networks.
NGÂN HÀNG - QUẢN LÝ BẢO MẬT SỐ NHẬN DẠNG CÁ NHÂN - PHẦN 1: NGUYÊN TẮC CƠ

BẢN VÀ YÊU CẦU ĐỐI VỚI TRAO ĐỔI PIN TẠI CÁC HỆ THỐNG RÚT TIỀN
Banking - Personal Identification Number management and security - Part 1: Basic
principles and requirements for online PIN handling in ATM and POS systems
1. Phạm vi áp dụng
Tiêu chuẩn này quy định các kỹ thuật và nguyên tắc cơ bản để đưa ra các giải pháp bảo mật tối
thiểu được yêu cầu cho quản lý mã PIN quốc tế. Các giải pháp này được áp dụng cho các cơ
quan tổ chức có trách nhiệm thực hiện các kỹ thuật để quản lý và bảo vệ mã PIN.
Tiêu chuẩn này cũng quy định các kỹ thuật bảo vệ mã PIN áp dụng cho các giao dịch tài chính
dựa trên thẻ giao dịch gốc trong môi trường trực tuyến và phương pháp trao đổi chuẩn dữ liệu
mã PIN. Các kỹ thuật này được áp dụng cho các cơ quan tổ chức có trách nhiệm thực hiện các
kỹ thuật về quản lý và bảo vệ các mã Pin tại các máy rút tiền tự động (ATM) và bên thu thẻ đảm
trách các thiết bị đầu cuối hệ thống bán hàng (POS).
Các quy định trong tiêu chuẩn này không bao gồm:
a) Quản lý và bảo mật mã PIN trong môi trường mã PIN ngoại tuyến, điều này được đề cập trong
ISO 9564-3;
b) Quản lý và bảo mật mã PIN trong các môi trường thương mại điện tử, đây cũng được đề cập
trong phần sau của ISO 9564;
c) Việc bảo vệ mã PIN chống lại việc mất mát hoặc lạm dụng có chủ ý bởi khách hàng hoặc các
nhân viên được ủy quyền từ bên phát hành;
d) Bí mật của dữ liệu giao dịch phi mã PIN;


e) Bảo vệ các thông điệp giao dịch chống lại các thay đổi hoặc thay thế, như là một ủy quyền đáp
ứng để xác minh mã PIN;
f) Bảo vệ chống lại sự gửi lại mã PIN hoặc giao dịch;
g) Các kỹ thuật quản lý khóa cụ thể.
2. Tài liệu viện dẫn
Các tài liệu viện dẫn sau đây là rất cần thiết cho việc áp dụng tiêu chuẩn. Đối với tài liệu viện dẫn
ghi năm công bố thì áp dụng phiên bản được nêu. Đối với tài liệu viện dẫn không ghi năm công
bố thì áp dụng phiên bản mới nhất, bao gồm cả các bản sửa đổi.
TCVN 8461-2:2010 (ISO 9564-2:1991) Ngân hàng - Quản lý bảo mật số nhận dạng cá nhân Phần 2: Phê chuẩn thuật toán mã hóa PIN.
ISO 11568 (all Part), Banking - Key managerment (retail) (Ngân hàng - Quản lý khóa).
ISO 13491 (all part), Banking - Secure cryptographic devices (retail) (Ngân hàng - Thiết bị quản
lý khóa).
ISO/IEC 7812 (all part) ldentification cards- Identification of issuers (Nhận dạng thẻ - Nhận dạng
tổ chức phát hành) (tất cả các phần).
ISO/IEC 7813:2001, Identification cards - Financial transaction cards (Nhận dạng thẻ - Thẻ giao
dịch tài chính).
ISO/IEC 7816 (all part) Identification cards - Integrated circuits cards with contacts (Nhận dạng
thẻ - Thẻ kết nối thẻ từ) (tất cả các phần).


3. Thuật ngữ và định nghĩa
Tiêu chuẩn này áp dụng các thuật ngữ và định nghĩa sau:
3.1. Bên thu thẻ (acquirer)
Tổ chức (hoặc đại diện của tổ chức) thu thập dữ liệu tài chính liên quan đến giao dịch từ bộ đọc
thẻ và nạp dữ liệu như vậy vào một hệ thống trao đổi.
3.2. Thuật toán (algorithm)
Quy trình tính toán bằng toán học được quy định rõ ràng.
3.3. Bộ đọc thẻ (card acceptor)
Bộ chấp nhận thẻ và đưa dữ liệu giao dịch về bên thu thẻ.
3.4. Văn bản mã (cipher text)
Dữ liệu dưới dạng mã hóa của nó.
3.5. Xâm nhập (compromise)
(kỹ thuật mật mã) vượt qua lỗ hổng bảo mật và/hoặc an ninh.
3.6. Khóa mật mã (cryptographic key)
Giá trị toán học có thể được sử dụng trong thuật toán để chuyển văn bản rõ sang văn bản mã
hoặc ngược lại.
3.7. Khách hàng (customer)
Cá nhân có tương ứng với số tài khoản chính (PAN) được quy định trong giao dịch.
3.8. Giải mã (decipherment)
Đảo ngược văn bản mã biểu diễn dưới dạng mã thuận nghịch thành dạng hiểu được.
3.9. Điều khiển kép (dual control)


Quá trình sử dụng hai hay nhiều thực riêng rẽ (thường là con người) thao tác trên bảng tính
nhằm bảo vệ các chức năng hoặc thông tin nhạy cảm mà nhờ đó không một thực thể đơn lẻ nào
có quyền truy cập hoặc sử dụng tài nguyên trên.
VÍ DỤ: Khóa mật mã là một ví dụ về dạng tài nguyên có thể truy cập hoặc sử dụng.
3.10. Sự mã hóa (encipherment)
Biểu diễn văn bản dạng không thể hiểu được bằng cơ chế mã hóa.
3.11. Sự mã hóa không thuận nghịch (irreversible encipherment)
Sự chuyển đổi văn bản rõ sang văn bản mã hóa bằng cách sao cho văn bản rõ ban đầu không
thể được phục hồi bằng cách nào ngoài giải pháp sử dụng thậm chí là đã biết khóa mã hóa.
3.12. Sự chuyển đổi không thuận nghịch của khóa (irrevesible transformation of a key)
Sự tạo ra một khóa mới từ các khóa có trước sao cho không thể tồn tại kỹ thuật có khả năng dò
ra được khóa có trước từ những thông tin về khóa mới và tất cả chi tiết về sự chuyển đổi.
3.13. Bên phát hành (issuer)
Tổ chức giữ tài khoản được nhận dạng bởi số tài khoản chính (PAN)
3.14. Thành phần khóa (key component)
Một trong ít nhất hai tham số có định dạng là khóa mật mã được cộng modulo-2 với một hoặc
nhiều tham số để tạo thành khóa mật mã.
3.15. Bổ sung cộng modulo-2 (modulo-2 addition)
Cộng nhị phân không nhớ.
3.16. Nút (node)
Mọi thực thể xử lý thông điệp mà thông qua đó giao dịch được truyền qua.
3.17. Chứng thực (notarization)
Phương pháp chỉnh sửa một khóa (khóa mật mã) để xác thực các nhận dạng của bên khởi tạo
và bên nhận cuối cùng.
3.18. Số nhận dạng cá nhân (personal identification number)
PIN
Dòng mã hoặc mật khẩu mà khách hàng sở hữu, dùng để xác minh danh định
3.19. Thiết bị nhập mã PIN (PIN entry device)
PED
Thiết bị bên trong hộp giữ thẻ để nhập mã PIN.
CHÚ THÍCH: Thiết bị nhập mã PIN có thể gọi là bàn (phím) PIN.
3.20. Văn bản rõ (Plain text)
Dữ liệu dưới dạng gốc chưa mã hóa.
3.21. Số tài khoản chính (primary account number)
PAN
Số được gán bao gồm một số nhận dạng bên phát hành, số nhận dạng tài khoản cá nhân và chữ
số kiểm tra phụ (như đã quy định trong ISO/IEC 7812), như vậy có thể nhận biết được bên phát
hành thẻ và bên giữ thẻ.
3.22. Số giả ngẫu nhiên (pseudo random number)
Số có xác suất ngẫu nhiên và không thể dự đoán dù được tạo bởi một quy trình thuật toán


3.23. Mã PIN chuẩn (reference PIN)
Giá trị mã PIN được sử dụng để xác minh mã PIN của giao dịch.
3.24. Sự mã hóa thuận nghịch (reversible encipherment)
Phép biến đổi văn bản rõ sang văn bản mã hóa theo cách mà có thể khôi phục lại văn bản gốc
đó.
3.25. Biết từng phần (split knowledge)
Điều kiện mà theo đó hai hay nhiều bên giữ các thành phần của một khóa đơn lẻ một cách riêng
rẽ và tin cậy sao cho khi truyền riêng rẽ thì không biết được khóa mật mã kết quả
3.26. Thiết bị đầu cuối (terminal)
Thiết bị được đảm bảo của bên thu chấp nhận các thẻ phù hợp với ISO/IEC 7813 và/hoặc
ISO/IEC 7816 và nạp vào một hệ thống thanh toán.
CHÚ THÍCH: Có thể bao gồm các thành phần và giao diện khác như giao tiếp các máy chủ.
3.27. Mã PIN giao dịch (transaction PIN)
Mã PIN được nhập bởi khách hàng tại thời điểm giao dịch.
3.28. Bộ tạo số ngẫu nhiên (true random number generator)
Thiết bị sử dụng hiện tượng vật lý không thể dự đoán, không xác định để tạo ra một luồng bit,
trong đó khả năng dự đoán bất kỳ bit nào không lớn hơn 0,5 thông tin đã biết của tất cả các bit
trước và sau đó.
3.29. Biến thể của khóa (variant of a key)
Khóa mới được hình thành bởi một quá trình không bảo mật với khóa ban đầu sao cho một hoặc
nhiều bit lẻ của khóa mới khác với các bít tương ứng của khóa ban đầu.
4. Các nguyên tắc cơ bản của quản lý mã PIN
Quản lý mã PIN bị chi phối bởi các nguyên tắc cơ bản sau đây:
a) Đối với tất cả các chức năng kiểm soát, quản lý mã PIN phải được áp dụng sao cho phần
cứng và phần mềm sử dụng không bị thay đổi hoặc truy cập trái phép mà không bị phát hiện, ghi
lại và/hoặc bãi bỏ (như xác định trong 6.1.1).
b) Sau khi lựa chọn mã PIN (như xác định trong 7.2) và cho đến khi hết hiệu lực mã PIN (như
xác định trong 7.8), mã PIN đó, nếu được lưu giữ phải được mã hóa khi nó không thể bảo mật
vật lý như xác định trong 6.2 và 7.7.
c) Đối với các tài khoản khác nhau, việc mã hóa các mã PIN có giá trị giống nhau bằng khóa mã
hóa cho trước phải không tạo cùng văn bản mật mã có thể dự đoán (như xác định trong 6.2).
d) Bảo mật của mã PIN mã hóa phải không dựa vào tính bảo mật của thuật toán hoặc thiết kế mã
hóa nhưng lại dựa vào khóa mật (như xác định trong 6.2).
e) Văn bản rõ mã PIN sẽ không bao giờ tồn tại trên các phương tiện của bên thu ngoại trừ bên
trong thiết bị bảo mật vật lý (như xác định trong 6.3.2).
f) Một văn bản rõ của mã PIN phải tồn tại trong thiết bị máy tính sử dụng cho mục đích chung của
bên phát hành, nếu tại thời điểm đó thiết bị là môi trường bảo mật vật lý (như xác định trong
6.3.3).
g) Chỉ khách hàng và/hoặc cá nhân được ủy quyền bởi bên phát hành được tiếp xúc với phần
lựa chọn mã PIN (xem 7.2), mã PIN hoặc bất kỳ quá trình nhập mã PIN, trong đó mã PIN liên
quan đến thông tin nhận dạng tài khoản. Như vậy cá nhân phải thao tác chỉ trên các thủ tục bắt
buộc (ví dụ như điều khiển kép).
h) Mã PIN khi mã hóa được lưu trữ, phải được bảo vệ từ hệ thống thay thế (như xác định trong


7.7).
i) Việc xâm nhập mã PIN (hoặc nghi ngờ bị xâm nhập) phải dẫn đến sự chấm dứt chu kỳ tồn tại
của mã PIN (như xác định trong 7.8).
j) Trách nhiệm xác minh mã PIN phải phụ thuộc vào bên phát hành, mặc dù chức năng xác minh
này có thể do một tổ chức khác đảm nhiệm (như xác định trong 8.5).
k) Các khóa mật mã khác nhau phải được sử dụng để bảo vệ cho việc lưu trữ và truyền mã PIN
(như xác định trong 6.2).
l) Khách hàng phải được thông báo tầm quan trọng của mã PIN và bảo mật mã PIN bằng văn
bản (xem Phụ lục G).
5. Thiết bị nhập mã PIN
5.1. Tập ký tự
Tất cả các thiết bị nhập mã PIN phải nhập được các ký tự số thập phân từ 0 đến 9.
CHÚ THÍCH: Chấp nhận cả ký tự chữ cái, mặc dù không có trong phần tiêu chuẩn này, có thể sử
dụng tương đương với các ký tự số thập phân. Hướng dẫn thiết kế các thiết bị nhập mã PIN, bao
gồm các ánh xạ từ chữ cái sang chữ số xem Phụ lục E.
5.2. Biểu diễn ký tự
Mối liên hệ giữa giá trị số của ký tự mã PIN và việc mã hóa bên trong của các giá trị trước khi mã
hóa được quy định trong Bảng 1
Bảng 1 - Biểu diễn ký tự
Ký tự mã PIN

Số nhị phân

0

0000

1

0001

2

0010

3

0011

4

0100

5

0101

6

0110

7

0111

8

1000

9

1001

5.3. Nhập mã PIN
Các giá trị của mã PIN đã nhập phải không được hiển thị dưới dạng văn bản rõ hoặc bị lộ bởi
phản hồi nghe được.
5.4. Xem xét về đóng gói
Thiết bị nhập mã PIN có thể được đóng gói như là một phần của thiết bị đầu cuối hoặc có thể
điều khiển từ xa bởi bộ điện tử điều khiển thiết bị đầu cuối. Bộ điện tử điều khiển thiết bị đầu cuối
có hoặc không được bảo mật vật lý (xem 6.3.2); tuy nhiên thiết bị nhập mã PIN sẽ được bảo mật
theo quy định trong 6.3.2 hoặc 6.3.4.
Thiết bị nhập mã PIN phải được thiết kế hoặc cài đặt sao cho khách hàng có thể ngăn ngừa
người khác quan sát thấy giá trị mã PIN khi nó đang nhập.
Khi sử dụng thiết bị nhập mã PIN được điều khiển từ xa, các phương tiện truyền thông liên kết


giữa nó và thiết bị đầu cuối gắn với nó sẽ được bảo vệ (xem 8.2).
Bảng 2 tóm tắt các yêu cầu bảo mật đối với từng cấu hình của bốn trường hợp thiết bị đầu cuối
và thiết bị nhập mã PIN.
Bảng 2 - Xem xét về đóng gói thiết bị nhập mã PIN
Bảo mật vật lý thiết bị đầu cuối

Không bảo mật vật lý thiết bị đầu
cuối

Thiết bị nhập mã PIN Các yêu cầu bảo vệ vật lý như quy Các yêu cầu bảo vệ vật lý như quy
là một bộ phận của định trong 6.3.2 áp dụng cho toàn bộ định trong 6.3.2 hoặc 6.3.4 áp dụng
thiết bị đầu cuối
thiết bị đầu cuối.
cho thiết bị nhập mã PIN.
Thiết bị đầu cuối phải mã hóa mã
PIN như quy định trong 6.2 để
chuyển giao.
Thiết bị nhập mã PIN Thiết bị nhập mã PIN sẽ được bảo
điều khiển từ xa đến mật như quy định trong 6.3.2 hoặc
thiết bị đầu cuối
6.3.4.
Thiết bị nhập mã PIN phải mã hóa
mã PIN như quy định trong 6.2 để
chuyển giao.

Thiết bị nhập mã PIN phải mã hóa mã
PIN như quy định trong 6.2 để
chuyển giao.
Thiết bị nhập mã PIN phải được bảo
mật như quy định trong 6.3.2 hoặc
6.3.4.
Thiết bị nhập mã PIN phải mã hóa mã
PIN như quy định trong 6.2 để
chuyển giao.

6. Vấn đề bảo mật mã PIN
6.1. Yêu cầu kiểm soát mã PIN
6.1.1. Phần cứng và phần mềm
Phần cứng và phần mềm được sử dụng trong các chức năng quản lý mã PIN phải cài đặt để
đảm bảo các điều sau:
a) Phần cứng và phần mềm hoạt động chính xác theo chức năng mà nó được thiết kế và chỉ
chức năng đó.
b) Phần cứng và phần mềm không thể bị sửa đổi hoặc truy cập mà không bị phát hiện và/hoặc
làm mất khả năng.
c) Thông tin không thể bị truy cập hoặc chỉnh sửa trái phép mà không bị phát hiện và bác bỏ xâm
nhập.
d) Không thể sử dụng hoặc lạm dụng hệ thống để dò ra mã PIN bằng cách sử dụng phép thử và
lỗi.
In hoặc chụp phim danh sách các chương trình hoặc xuất bỏ được dùng trong việc lựa chọn, tính
toán hoặc mã hóa của mã PIN nên được kiểm soát trong khi sử dụng, phân phối, lưu trữ và
chuyển nhượng.
6.1.2. Thiết bị ghi
Bất kỳ thiết bị ghi (ví dụ các đĩa, băng từ,...) có chứa dữ liệu mà từ dữ liệu đó có thể xác định thì
phải giải từ, ghi đè hoặc phá hủy trực tiếp bằng vật lý sau khi sử dụng. Chỉ khi tất cả các vùng
lưu trữ (kể cả lưu trữ tạm thời) được dùng trong quá trình trên có thể được nhận dạng và giải từ
hoặc ghi đè, trong các quá trình đó có thể sử dụng hệ thống máy tính (xem Phụ lục F).
6.1.3. Truyền đạt bằng lời nói
Không một thủ tục nào yêu cầu hoặc cho phép truyền đạt bằng lời nói về văn bản rõ mã PIN,
hoặc bằng người hoặc bằng điện thoại. Không một tổ chức nào cho phép nhân viên thăm hỏi
khách hàng để lộ ra mã PIN hoặc để giới thiệu các giá trị cụ thể.
6.1.4. Bàn phím điện thoại


Các thủ tục của cơ quan tổ chức phải không cho phép nhập văn bản rõ mã PIN thông qua bàn
phím của điện thoại, trừ phi thiết bị điện thoại được thiết kế và cấu tạo theo các yêu cầu quy định
trong 5.4 về các thiết bị nhập mã PIN và trong 8.2 về truyền PIN.
6.2. Mã hóa PIN
Khi cần mã hóa PIN để lưu trữ hoặc truyền (xem 6.3 và 8.2) điều này sẽ được thực hiện bằng
cách sử dụng một trong các thuật toán đã kiểm duyệt và quy định tại TCVN 8461-2 (ISO 95642).
Phương pháp có thủ tục mã hóa phải đảm bảo rằng việc mã hóa giá trị văn bản rõ mã PIN sử
dụng một khóa mã hóa riêng lẻ không làm cho không thể đoán trước được việc tạo ra cùng giá trị
mã hóa khi cùng giá trị mã PIN được giao cho các tài khoản khác [xem 7.8 phần b)].
Các khóa mật mã hóa khác nhau được sử dụng để bảo vệ mã PIN tham khảo và mã PIN truyền.
Các khóa mật mã của mã PIN không được sử dụng cho bất kỳ mục đích mã hóa nào khác.
Các khóa mật mã mã PIN sẽ có chiều dài ít nhất là 112 bit. Kỹ thuật phù hợp được sử dụng bởi
khóa DEA chiều dài gấp đôi như đã quy định tại ISO 11568-2.
ISO 11568-1 quy định các nguyên tắc khởi tạo của quản lý khóa.
6.3. Bảo mật vật lý
6.3.1. Bảo mật vật lý cho các thiết bị nhập mã PIN
Trong mục này định nghĩa về “thiết bị bảo mật vật lý” và “môi trường bảo mật vật lý” và quy định
các yêu cầu đối với thiết bị nhập mã PIN. Các yêu cầu bảo mật vật lý được quy định trong ISO
13491-1.
Mã PIN chuẩn chưa mã hóa tồn tại chỉ khi trong một “môi trường bảo mật vật lý” hoặc “thiết bị
bảo mật vật lý". Mã PIN giao dịch chưa mã hóa chỉ tồn tại khi trong một “thiết bị bảo mật vật lý",
thiết bị nhập mã PIN tuân theo các yêu cầu trong 6.3.4 hoặc bên phát hành (hoặc do đại lý của
bên phát hành) “môi trường bảo mật vật lý”.
6.3.2. Thiết bị bảo mật vật lý
Trong đánh giá bảo mật vật lý cho mọi thiết bị, môi trường điều hành mà tại đó thiết bị làm việc là
một lưu ý quan trọng. Thiết bị bảo mật vật lý là thiết bị phần cứng, khi hoạt động trong cách thức
và môi trường dự định thì bị xâm nhập và làm lộ toàn bộ hoặc một phần của khóa mật mã, mã
PIN hoặc giá trị bí mật khác lưu trong thiết bị.
Việc xâm nhập thiết bị khi hoạt động trong môi trường và theo cách thức dự định thì xóa bỏ tự
động ngay tức thì tất cả mã PIN, các giá trị bí mật khác và tất cả phần hữu dụng còn lại chứa
trong thiết bị.
Thiết bị sẽ chỉ hoạt động như một thiết bị bảo mật vật lý khi nó có thể đảm bảo các hoạt động
bên trong thiết bị chưa bị sửa đổi để cho phép xâm nhập (ví dụ việc chèn bên trong thiết bị của
các cơ chế phân nhánh chủ động hoặc bị động).
6.3.3. Môi trường bảo mật vật lý
Môi trường bảo mật vật lý được trang bị các kiểm soát truy cập hoặc các cơ chế khác được thiết
kế để ngăn chặn mọi sự xâm nhập mà làm lộ ra tất cả hoặc một phần của bất kỳ khóa mã hóa
hoặc mã PIN đang được lưu trữ trong môi trường.
Môi trường bảo mật vật lý hoạt động như vậy cho đến khi tất cả các mã PIN, các khóa mã hóa và
các phần hữu dụng còn lại của mã PIN và khóa đã bị xóa bỏ khỏi môi trường.
6.3.4. Các yêu cầu với thiết bị nhập mã PIN
Thiết bị nhập mã PIN chấp thuận các yêu cầu trong 6.3.2 hoặc ít nhất là tuân theo các yêu cầu
sau:
a) Phần mã hóa của mã PIN giao dịch được cài đặt vào trong thiết bị theo dạng được phép như


trong Điều 8.
b) Cuộc xâm nhập thành công vào thiết bị nhập mã PIN phải không làm lộ bất kỳ mã PIN giao
dịch nào đã nhập trước đó kể cả đã biết dữ liệu bổ sung có liên quan, hoặc bị thâm nhập từ bên
ngoài thiết bị (ví dụ mã PIN đã mã hóa đã truyền trước đó từ thiết bị).
c) Việc dò xét trái phép dữ liệu bí mật (mã PIN và khóa) được lưu giữ bên trong thiết bị nhập mã
PIN, hoặc các nơi bên trong thiết bị của “băng ghi" để ghi lại dữ liệu mật, điều này yêu cầu rằng
thiết bị phải có các điều kiện thuận lợi và:
- Không sẵn có trong khoảng thời gian đủ dài để phát hiện xác suất vắng mặt cao của nó từ vị trí
hoạt động; và/hoặc
- Tại điều kiện thuận lợi tùy thuộc vào tổn hại vật lý như thiết bị không thể đặt lại vị trí cũ vào dịch
vụ mà không phát hiện xác suất xáo trộn cao. Hơn nữa, việc xác định dữ liệu bí mật hoặc đưa
“băng ghi” vào trong thiết bị cần các thiết bị và kỹ năng đặc biệt và nó không hề phổ biến.
d) Dữ liệu lưu trữ bên trong thiết bị nhập mã PIN, mặc dù đã xác định thì cũng không thể truyền
sang bất kỳ thiết bị khác.
CHÚ THÍCH: Xem Phụ lục C Hướng dẫn thi hành thiết bị nhập mã PIN.
7. Kỹ thuật quản lý và bảo vệ các chức năng mã PIN có liên quan đến tài khoản.
7.1. Chiều dài mã PIN
Chiều dài mã PIN sẽ không ít hơn 4 ký tự và không nhiều hơn 12 ký tự.
Mã PIN dài hơn là một lợi thế bảo mật nhưng lại cản trở tính hữu dụng. Đối với các lý do sử
dụng, mã PIN số nên có chiều dài không được vượt quá 6 chữ số. Khuyến cáo đối với lý do bảo
mật, các mã PIN chữ cái theo khách hàng lựa chọn sẽ có chiều dài không ít hơn 6 ký tự. Điều
này nên được lưu ý rằng rất nhiều hệ thống quốc tế không chấp nhận nhiều hơn 6 chữ số
và/hoặc không hỗ trợ nhập mã PIN ban đầu.
7.2. Lựa chọn mã PIN
7.2.1. Kỹ thuật lựa chọn mã PIN
Phải sử dụng một hoặc hơn các kỹ thuật sau đây để lựa chọn mã PIN:
a) Mã PIN dẫn xuất được cấp.
b) Mã PIN ngẫu nhiên được cấp.
c) Mã PIN được khách hàng lựa chọn.
Việc xâm phạm trong quá trình lựa chọn mã PIN có thể gây tổn hại an ninh của bất kỳ mã PIN
nào được phát hành.
7.2.2. Mã PIN dẫn xuất được cấp
Khi mã PIN tham khảo là “mã PIN dẫn xuất được cấp”, bên phát hành dẫn xuất nó và dưới dạng
mã hóa từ:
a) Số tài khoản chính; và/hoặc
b) Một số giá trị khác được kết hợp với khách hàng.
Quá trình dẫn xuất mã PIN không nên thiên về các giá trị hoặc tập cụ thể.
Nếu kỹ thuật này được sử dụng, bên phát hành không nên duy trì bất kỳ bản ghi nào về mã PIN,
như vậy mã PIN có thể được dẫn xuất nếu cần.
CHÚ THÍCH: Khi mã PIN được dẫn xuất từ dữ liệu thẻ, nó có thể được sử dụng để xác minh dữ
liệu đó.
7.2.3. Mã PIN ngẫu nhiên được cấp


Khi mã PIN tham khảo là “mã Pin ngẫu nhiên được cấp", bên phát hành nhận được một giá trị từ:
a) Bộ tạo số ngẫu nhiên; hoặc
b) Bộ tạo số giả ngẫu nhiên (xem Phụ lục D).
7.2.4. Mã PIN được khách hàng lựa chọn
Khi mã PIN tham khảo là “mã PIN được khách hàng lựa chọn”, giá trị đó được lựa chọn bởi
khách hàng. Trong trường hợp này, bên phát hành cung cấp cho khách hàng các hướng dẫn và
cảnh báo về việc lựa chọn cần thiết (xem Phụ lục G).
CHÚ THÍCH: Đối với bên phát hành, mã PIN được khách hàng lựa chọn là một giá trị ngẫu
nhiên.
7.3. Phát hành và phân phối mã PIN
7.3.1. Kiểm soát phát hành và phân phối mã PIN
Tất cả các chức năng phát hành mã PIN liên quan đến nhân viên bên phát hành phải chịu sự
kiểm soát kép.
Mã PIN không bao giờ lấy lại và giải mã hoặc tạo lại để tiến hành ghi, thực hiện, hiển thị hoặc in
ấn. Ngoại trừ trong bao bì của mã PIN an toàn (hoặc tương đương).
Không được xuất hiện mã PIN dưới dạng văn bản rõ tại mọi điểm trong quá trình phân phối có
thể liên quan đến tài khoản khách hàng.
7.3.2. Phân phối mã PIN đã chuyển nhượng
Mã PIN được cấp bởi bên phát hành chuyển tới khách hàng bằng phương pháp gọi là phong bao
mã PIN.
Phong bao mã PIN sẽ được in theo cách mà văn bản rõ mã PIN không thể bị nhìn thấy được cho
đến khi vỏ bao bị mở. Vỏ phong bao sẽ cho biết dữ liệu tối thiểu cần thiết để phân phối phong
bao mã PIN cho đúng khách hàng. Phong bao mã PIN sẽ được chế tạo như thế nó rất có thể bị
tình cờ hoặc giả mở ra để xem trước tới khách hàng. Bên phát hành phải cảnh báo với khách
hàng không sử dụng mã PIN có chứa trong phong bao mã PIN đã bị mở hoặc rách và phải thông
báo cho bên phát hành biết sự việc đó.
Bao bì hoặc nội dung của nó có thể chứa nội dung “phần nháp mã PIN" (ví dụ như giấy than), và
bên phát hành nên cảnh báo khách hàng rằng sau khi ghi nhớ mã PIN, họ nên hủy toàn bộ
phong bao hoặc giữ phong bao ở một nơi an toàn.
CHÚ THÍCH: Có thể có nhiều thẻ được phát hành cho cùng một tài khoản và mỗi cái có một mã
PIN khác nhau. Nếu thế bên ngoài phong bao mã PIN có thông tin chi tiết về nhận dạng khách
hàng để có thể phân phối chính xác, thuận tiện.
Mã PIN và thẻ không được gửi chung phong bao mà cũng không cùng một thời điểm.
7.3.3. Phân phối mã PIN được khách hàng lựa chọn
7.3.3.1. Chuyển giao mã PIN
Mã PIN được chọn bởi khách hàng sẽ được chuyển giao từ bên phát hành bằng một trong các
kỹ thuật sau:
a) Lựa chọn mã PIN ban đầu tại địa điểm của bên phát hành (xem 7.3.3.2).
b) Lựa chọn mã PIN bằng thư (xem 7.3.3.3).
7.3.3.2. Việc lựa chọn mã PIN tại địa điểm của bên phát hành
Lựa chọn mã PIN tiến hành tại địa điểm của bên phát hành thông qua một thiết bị nhập mã PIN
tuân theo các yêu cầu của 5.4. Lựa chọn và nhập mã PIN không làm cho khách hàng lộ mã PIN
cho bất kỳ nhân viên nào của bên phát hành hoặc bên thứ ba. Phải áp dụng thủ tục sau:


a) Một nhân viên được ủy quyền nhận dạng chính xác khách hàng.
b) Hệ thống yêu cầu nhận dạng và sự ủy quyền của nhân viên bên phát hành.
c) Quá trình lựa chọn mã PIN được thực hiện bởi nhân viên được ủy quyền đó. Quá trình sẽ kết
thúc khi việc lựa chọn mã PIN hoàn thành.
d) Nhận dạng của nhân viên được ủy quyền cùng với ngày giờ là một phần của bản ghi giao
dịch.
7.3.3.3. Lựa chọn mã PIN bằng thư
Lựa chọn mã PIN bằng thư được tiến hành bằng cách sử dụng một mẫu chứa các con số kiểm
soát và khoảng trắng cho PIN được chọn. Số kiểm soát không để lộ số tài khoản. Bất kỳ khóa mã
hóa nào được sử dụng để tạo ra số kiểm soát không được sử dụng cho bất kỳ mục đích nào
khác và được quản lý theo quy định tại ISO 11568. Mẫu hoàn thành không chứa bất kỳ thông tin
nào mà liên hệ mã PIN với tên khách hàng, địa chỉ hoặc số tài khoản. Quá trình sau phải được
áp dụng:
a) Thư gửi cho khách hàng phải chứa mẫu lựa chọn mã PIN và các hướng dẫn.
b) Quá trình gửi thư sẽ tuân theo các bước quy định trong 7.3.2, xử lý số kiểm soát như là mã
PIN.
c) Khách hàng được chỉ dẫn để viết mã PIN lên mẫu, và không viết bất kỳ thông tin nào khác trên
mẫu trừ các yêu cầu đặc biệt và không có bất kỳ bức thư nào khác, sau đó được gửi trả lại mẫu
theo địa chỉ kèm theo. Một vỏ phong bao có địa chỉ xác định trước được sử dụng.
d) Quá trình này nhận các mẫu lựa chọn mã PIN chỉ được ủy quyền cho có các nhân viên từ bên
phát hành.
CHÚ THÍCH: Số kiểm soát có thể được mã hóa từ số tài khoản. Một số bên phát hành chỉ dẫn
khách hàng nhập mã PIN đã mã hóa vào mẫu.
7.4. Thay đổi mã PIN
7.4.1. Thay đổi mã PIN trong môi trường trao đổi
Thay đổi mã PIN được thực hiện thông qua hệ thống của bên phát hành theo các yêu cầu của
Điều 7.3; nó không thực hiện trong môi trường trao đổi.
7.4.2. Thay đổi mã PIN trên thiết bị đầu cuối đi kèm
Quá trình thay đổi mã PIN trên thiết bị đầu cuối đi kèm giống như việc lựa chọn mã PIN trong
7.3.3.2.
7.4.3. Thay đổi mã PIN trên thiết bị đầu cuối không đi kèm
Quá trình thay đổi mã PIN trên thiết bị đầu cuối không đi kèm trên hệ thống của bên phát hành sẽ
yêu cầu cùng mã PIN để nhập và xác minh trước khi lựa chọn và kích hoạt mã PIN được khách
hàng lựa chọn thay thế.
Mã PIN mới nên nhập hai lần và cả hai lần nhập phải giống nhau.
7.4.4. Thay đổi mã PIN bằng thư
Quá trình thay đổi mã PIN bằng thư giống với quy định lựa chọn mã PIN trong 7.3.3.3.
7.4.5. Thay thế mã PIN bị quên
Thay thế mã PIN bị quên phải được thực hiện thông qua hệ thống của bên phát hành; nó không
được thực hiện trong môi trường trao đổi. Quá trình yêu cầu thay thế mã PIN bị quên phải tuân
theo 7.3.
Tại đó mã PIN đã chuyển nhượng đã bị quên và ảnh hưởng tới việc tạo phong bao mã PIN giao
tiếp hoặc giá trị mã PIN đã chuyển nhượng mới. Các yêu cầu trong 7.3.2 phải được áp dụng.


7.4.6. Thay thế mã PIN bị xâm nhập
Khi mã PIN bị nghi là đã bị xâm nhập, nó sẽ bị khóa hoạt động càng sớm càng tốt (xem 7.8) và
khách hàng được thông báo giá trị thay đổi hoặc lựa chọn mã khác. Mã PIN thay thế không
tương tự như cái bị xâm nhập. Việc kích hoạt mã PIN thay thế có thể tiến hành bí mật hoặc công
khai (xem 7.6).
Khi tin rằng mã PIN dẫn xuất được cấp được tin là đã bị lộ, thì có ít nhất một phần tử dữ liệu
được sử dụng để dẫn xuất mã PIN phải thay đổi và mã PIN mới được dẫn xuất và phát hành.
Đây có thể yêu cầu rằng bất kỳ thẻ tương ứng nào được phát hành lại hoặc mã hóa lại và thẻ cũ
sẽ bị khóa khi sử dụng.
7.5. Xử lý vật liệu rác và phong bao mã PIN được hoàn trả
Bên phát hành phải đảm bảo rằng có các biện pháp bảo mật thích đáng được thực hiện trên việc
xử lý nội bộ, và xử lý phong bao mã PIN được gửi trả, cùng bất kỳ vật liệu rác nào có liên quan
đến việc in ấn phong bao mã PIN.
Cần xem xét cho trước các địa chỉ trả lại khác nhau trong trường hợp không phân phối thẻ và
phong bao mã PIN.
7.6. Kích hoạt mã PIN
Mã Pin có thể kích hoạt hoặc bí mật hoặc công khai. Dưới hệ thống kích hoạt mã PIN hàm ẩn,
bên phát hành giả định việc phân phối mã PIN thành công, không tính trường hợp ngược lại.
Khi mã PIN được kích hoạt công khai, bên phát hành phải không kích hoạt mã PIN cho đến khi
khách hàng gửi trả chữ ký và thông tin xác minh chấp nhận hoặc sử dụng một trong các cách
sau:
- Xác nhận việc nhận mã PIN; và
- Xác nhận rằng đáp ứng này từ người sở hữu thẻ hợp pháp.
Việc nhận và đáp ứng đều không chứa mã PIN.
7.7. Lưu trữ mã PIN
Mã PIN được lưu trữ trong tệp máy tính của bên phát hành dưới dạng mã hóa như quy định
trong 6.2.
Mã hóa mã PIN (thuận nghịch và không thuận nghịch) phải kết hợp chặt chẽ với số tài khoản
(hoặc dữ liệu khác) sao cho quá trình xác minh có thể tìm ra sự thay thế của một giá trị từ giá trị
được lưu khác.
Khi mã PIN (được chuyển nhượng hoặc được khách hàng lựa chọn) được lưu trên băng từ của
thẻ, thì không bao giờ được lưu dưới dạng văn bản rõ. Nếu mã PIN được lưu trên băng từ của
thẻ, thì nó phải được mã hóa (ví dụ bộ bù mã PIN).
Khi mã PIN (được chuyển nhượng hoặc được khách hàng lựa chọn) được lưu trên mạch tích
hợp (IC) trên thẻ, thì nó được lưu bên trong vùng được bảo vệ của IC hoặc nó nên được mã
hóa.
7.8. Khóa hoạt động mã PIN
Trách nhiệm khóa hoạt động mã PIN thuộc về bên phát hành. Bên phát hành phải khóa hoạt
động mã PIN nếu bất kỳ điều sau xảy ra:
a) Mã PIN bị xâm nhập (hoặc nghi ngờ bị xâm nhập).
b) Tất cả tài khoản của khách hàng liên quan đến mã PIN bị đóng.
c) Khách hàng gửi yêu cầu khóa hoạt động mã PIN.
d) Bên phát hành vì nguyên nhân nào khác phát hiện việc khóa hoạt động mã PIN là cần thiết.
Trong trường hợp mã PIN bị xâm nhập hoặc có truy vấn khóa hoạt động từ khách hàng, khách


hàng được cảnh báo về hành động này.
Bên phát hành phải có biện pháp thích đáng để đảm bảo việc mã PIN đã khóa hoạt động thì
không thể sử dụng sau đó với số tài khoản có liên quan.
CHÚ THÍCH: Ví dụ như biện pháp mà xóa bỏ mã PIN đã khóa hoạt động từ bản ghi của bên phát
hành và khóa truy cập từ tài khoản.
8. Kỹ thuật quản lý/ bảo vệ các chức năng mã PIN giao dịch
8.1. Nhập mã PIN
Trách nhiệm của việc bảo vệ mã PIN trong suốt quá trình nhập thuộc bên khách hàng, bên chấp
nhận thẻ và bên thu thẻ hoặc các đại lý của nó.
Các chữ số đầu tiên được điền vào thiết bị nhập mã PIN phải số có bậc cao (tận cùng bên trái).
Số cuối cùng được nhập là số có bậc thấp (tận cùng bên phải).
Trang thiết bị được sử dụng trong quá trình phải hỗ trợ nhập từ 4 ký tự đến 12 ký tự mã PIN.
8.2. Bảo vệ mã PIN trong quá trình giao dịch
Mã PIN phải được bảo vệ trong suốt quá trình truyền (bổ sung, ví dụ, lưu trữ tại các nút mạng)
bởi một hoặc cả hai cách sau:
a) Cung cấp bảo vệ vật lý (xem 6.3);
b) Mã hóa mã PIN (xem 6.2).
Bất cứ khi nào nó cần thiết giải mã và mã hóa mã PIN trong quá trình truyền, cho thời điểm giao
dịch từ một mã PIN định dạng cho cái khác hoặc để chuyển khóa mã hóa đã sử dụng, mã PIN
phải chứa bên trong thiết bị bảo mật vật lý.
8.3. Định dạng khối mã PIN chuẩn
8.3.1. Cấu trúc khối mã PIN và định dạng giá trị gán
Trong điều này quy định cấu trúc của khối 64 bit dữ liệu mã PIN và gắn các bít số, vị trí và chức
năng của bit.
Có 4 bít quan trọng nhất của khối hình thành trường kiểm soát. Các giá trị như sau:
0000

: Định dạng số 0, như xác định trong 8.3.2

0001

: Định dạng số 1, như xác định trong 8.3.3

0010

: Định dạng số 2, như xác định trong ISO 9564-3

0011

: Định dạng số 3, như xác định trong 8.3.5

0100 đến 0111

: Được chỉ định bằng ISO/TC 68

1000 đến 1011

: Dành cho các chỉ định từ các cơ quan tiêu chuẩn quốc gia

1100 đến 1111

: Giao cho cá nhân sử dụng

Trong trao đổi quốc tế, khối mã PIN định dạng 0 hoặc định dạng khối mã PIN 3 nên được sử
dụng khi mã PAN có mặt, và định dạng khối mã PIN 3 nên được sử dụng khi cùng một khóa mã
hóa mã PIN được dùng cho nhiều mã hóa mã PIN.
8.3.2. Khối mã PIN định dạng 0
Khối mã PIN này được kiến thiết bởi phần bổ sung modulo -2 của hai trường 64 bit: trường văn
bản rõ mã PIN và trường số tài khoản. Các định dạng của các trường này được mô tả trong
8.3.2.1 và 8.3.2.2 tương ứng.
Khối mã PIN định dạng 0 phải mã hóa thuận nghịch khi giao dịch.
8.3.2.1. Trường văn bản rõ mã PIN


Trường văn bản rõ mã PIN phải định dạng như sau:

Trong đó:
C = Trường kiểm soát Được nhị phân 0000;
N = Chiều dài mã PIN

Số nhị phân 4 bit với các giá trị chấp nhận từ 0100(4) đến 1000 (12);

P = Số mã PIN

Trường 4 bit với các giá trị chấp nhận từ 0000(số 0) đến 1001 (9);

P/F = Số mã PIN/ lấp
đầy

Chỉ định cho các trường này được xác định bởi trường chiều dài mã
PIN;

F = Số lấp đầy (Fill)

Trường 4 bit giá trị 1111 (15).

8.3.2.2. Trường số tài khoản
Trường số tài khoản phải được định dạng như sau:

Trong đó:
0 = số đệm

Trường 4 bit với chỉ có giá trị chấp nhận là 0000 (số 0)

A1 ... A12 = số tài
khoản

Nội dung của 12 chữ số ngoài cùng bên phải của số tài khoản chính (PAN)
không bao gồm số kiểm tra. A12 là số ngay trước số kiểm tra của mã PAN.
Nếu mã PAN không bao gồm số kiểm tra thì có ít nhất 12 chữ số, các chữ
số được đặt phải và bên trái đệm các số 0. Các giá trị chấp nhận từ 0000
(số 0) đến 1001 (9).

8.3.3. Khối mã PIN định dạng 1
Khối định dạng này được kiến thiết bởi 2 trường: trường văn bản rõ mã PIN và trường giao dịch.
Khối mã PIN định dạng 1 nên được sử dụng trong trường hợp mà mã PAN không xuất hiện.
Khối mã PIN định dạng 1 nên được mã hóa thuận nghịch khi được giao dịch.
Khối mã PIN định dạng 1 nên được định dạng như sau:

Trong đó:
C = Trường kiểm soát Được nhị phân 0000;
N = Chiều dài mã PIN Số nhị phân 4 bit với các giá trị chấp nhận từ 0100(4) đến 1000 (12);
P = Số mã PIN

Trường 4 bit với các giá trị chấp nhận từ 0000(số 0) đến 1001 (9);


P/T = Số mã PIN
chuyển giao

Chỉ định cho các trường này được xác định bởi trường chiều dài mã PIN;

T = Số mã chuyển
giao

Số nhị phân 4 bit với giá trị chấp nhận từ 0000 (số 0) đến 1111 (15).

Trường giao dịch là một số nhị phân hình thành bởi [56-(N* 4)] bít. Số nhị phân này phải là lẻ
(không kể bị đổi) để tất cả sự kiện xảy ra tại khối, hộp mã PIN, ví dụ như được dẫn xuất từ một
chuỗi số giao dịch, tem thời gian, số ngẫu nhiên hoặc tương tự.
Trường giao dịch không nên giao dịch và không được yêu cầu trong khi thao tác chuyển khối mã
PIN sang định dạng khác kể từ khi đã biết chiều dài mã PIN.
8.3.4. Khối mã PIN định dạng 2
Khối mã PIN định dạng 2 được quy định cho nội bộ sử dụng với các thẻ IC. Khối mã PIN định
dạng 2 chỉ nên sử dụng trong môi trường ngoại tuyến và không nên sử dụng để xác minh mã
PIN trực tuyến.
8.3.5. Khối mã PIN định dạng 3
8.3.5.1. Cấu trúc khối mã PIN định dạng 3
Khối mã PIN định dạng 3 tương tự khối mã PIN định dạng 0 ngoại trừ các số lấp đầy.
Khối mã PIN này được kiến thiết bởi phần bổ sung modulo-2 của hai trường 64 bit: trường văn
bản rõ mã PIN và trường số tài khoản. Các định dạng trường này được mô tả trong 8.3.5.2 và
tương ứng.
Khối mã PIN định dạng 3 phải mã hóa thuận nghịch khi giao dịch.
8.3.5.2. Trường văn bản rõ mã PIN
Trường văn bản rõ mã PIN phải được định dạng như sau:

Trong đó:
C = Trường kiểm soát Được nhị phân 0011;
N = Chiều dài mã PIN

Số nhị phân 4 bit với các giá trị chấp nhận từ 0100(4) đến 1000 (12);

P = Số mã PIN

Trường 4 bit với các giá trị chấp nhận từ 0000(số 0) đến 1001 (9);

P/F = Số mã PIN/lấp
đầy

Chỉ định cho các trường này được xác định bởi trường chiều dài mã
PIN;

F = Số lấp đầy (Fill)

Trường 4 bit với giá trị từ 1010 (10) đến 1111(15), tại đó giá trị số lấp
đầy là được lựa chọn ngẫu nhiên hoặc tuần tự từ tập này với 6 giá trị
thích hợp, sao cho khó có thể cấu hình giống nhau trên các số lấp đầy,
sẽ được sử dụng nhiều hơn một lần với cùng một trường số tài khoản
bằng cùng thiết bị mã hóa mã PIN.

8.3.5.3. Trường số tài khoản
Trường số tài khoản phải định dạng như sau:


Trong đó:
0 = số đệm

Trường 4 bit với chỉ có giá trị chấp nhận là 0000 (số 0)

A1 ... A12 = số tài Nội dung của 12 chữ số ngoài cùng bên phải của số tài khoản chính (PAN)
khoản
không bao gồm số kiểm tra. A12 là số ngay trước số kiểm tra của mã PAN.
Nếu mã PAN không bao gồm số kiểm tra thì có ít nhất 12 chữ số, các chữ số
được đặt phải và bên trái đệm các số 0. Các giá trị chấp nhận từ 0000 (số 0)
đến 1001 (9).
8.4. Định dạng khối mã PIN khác
Nếu khối mã PIN không thể kiến thiết trên thiết bị đầu cuối thích hợp với các định dạng có trong
8.3, thì các phương pháp thay thế sẽ được sử dụng trong mạng lưới nội bộ sao cho với cùng
một mã PIN khi liên kết với các tài khoản khác nhau sẽ tạo ra các kết quả mã hóa khác nhau.
Bên thu thẻ phải đảm bảo chuyển giao bảo mật với định dạng khối mã PIN không chuẩn thành
khối mã PIN chuẩn (xem 8.3).
8.5. Kiểm tra xác nhận mã PIN
Trách nhiệm kiểm tra xác nhận mã PIN trực tuyến thuộc về bên phát hành, mặc dù chức năng
kiểm tra xác nhận có thể do một tổ chức khác đảm nhiệm.
CHÚ THÍCH: Một số hướng dẫn về các kỹ thuật kiểm tra xác nhận mã PIN được cung cấp trong
Phụ lục B.
8.6. Nhật ký việc giao dịch/ chuyển giao có chứa dữ liệu mã PIN
Các thiết bị đầu cuối và các nút khác trên mạng có thể được yêu cầu ghi lại nhật ký (tức là ghi lại
đầy đủ văn bản) các thông điệp giao dịch. Các thông điệp được ghi lại không được chứa văn bản
rõ mã PIN. Nếu điều này được chấp nhận thì các thông điệp đã ghi lại sẽ chứa mã PIN được mã
hóa phù hợp với 6.2. nếu và chỉ nếu ngăn chặn việc làm lộ khóa giải mã mã PIN trong bất kỳ
dạng nào cần bảo đảm vòng đời của mã PIN.
Mã PIN không nên lưu dài hơn mức cần thiết.
Chủ thẻ khiếu nại liên quan đến việc lộ mã PIN và/hoặc bị giả mạo nên được ghi lại theo cách
mà việc xác định nguồn gốc có thể có của lỗi và/hoặc lợi dụng.
9. Phê chuẩn quy trình mã hóa thuật toán
Trước khi một thuật toán mã hóa bổ sung theo TCVN 8461-2 (ISO 9564-2), phải thỏa mãn các
yêu cầu cơ bản sau đây:
a) Nó phải được thiết kế để phục vụ với mục đích chưa có trong TCVN 8461-2 (ISO 9564-2) (ví
dụ, cho thị trường khác; để thể hiện việc tiết kiệm chi phí đáng kể trong khi áp dụng hoặc thực thi
nó; hoặc để cung cấp một độ đo được lớn được bảo vệ).
b) Nó phải đủ an toàn, đáng tin cậy và ổn định để phục vụ cho mục đích ban đầu. Các thuật toán
phải tuân thủ theo các yêu cầu có trong ISO 11568-1 và được mô tả trong Phụ lục A.
Phụ lục A
(Tham khảo)
Các nguyên tắc chung về quản lý khóa


A.1 Phân cấp khóa mã hóa
Quản lý khóa trong tiêu chuẩn quốc tế này được quy định trong ISO 11568. Phần phụ lục này chỉ
để tham khảo.
Các khóa mật mã có thể được cấu trúc phân cấp. Các môi trường khác nhau có thể yêu cầu các
bậc khác nhau khi phân cấp, ví dụ một số thiết bị đầu cuối phải yêu cầu 2 cấp. Một ví dụ phân
cấp bậc 3 như sau:
a) Tại bậc cao nhất của phân cấp là khóa máy chủ. Khóa này hoặc các biến của khóa được sử
dụng để mã hóa tất cả các khóa trong các bậc tiếp theo.
b) Tại bậc tiếp theo là các khóa mã hóa khóa. Chúng được sử dụng cho các khóa mã hóa mã
PIN đã mã hóa (và các khóa mã hóa dữ liệu) trong kho lưu trữ.
c) Tại bậc thấp nhất là các khóa đang làm việc (ví dụ các khóa đang mã hóa mã PIN được dùng
mã hóa tiếp một mã PIN để lưu trữ hoặc chuyển giao).
A.2 Tạo khóa cho các thuật toán khóa bí mật
Các khóa được tạo ra bởi quá trình ngẫu nhiên hoặc ngẫu nhiên giả sao cho không thể đoán
trước bất kỳ khóa nào hoặc để xác định các khóa cụ thể nhiều hơn một số khác trong tập của tất
cả các khóa xác định.
A.3 Bảo vệ chống lại việc lộ khóa
Một khóa mật mã chỉ tồn tại theo dạng sau:
a) Có ít nhất hai thành phần khóa được kiểm soát bởi quá trình kiểm soát kép và biết từng phần.
Mỗi thành phần khóa được tạo ra theo mô tả trong A.2. Mỗi thành phần khóa có chứa cùng số bit
với chính khóa đó;
- Việc thành lập khóa từ các thành phần khóa phụ thuộc vào tương tác lẫn nhau của tất cả các
thành phần khóa (ví dụ phần bổ sung module - 2).
- Nếu thành phần khóa là dạng con người có thể hiểu (ví dụ dạng bản in văn bản rõ bên trong
phong bao) nó được biết chỉ từ nhân viên được ủy quyền, và chỉ tại một thời điểm, và chỉ trong
khoảng đủ lâu theo yêu cầu để thành phần khóa có thể nhập vào trong thiết bị hoặc các hệ thống
tuân theo 6.3. Nó phải đảm bảo rằng nhân viên được ủy quyền người xử lý thành phần đó là chỉ
một người duy nhất đã biết giá trị của nó và có quyền truy cập vào thành phần. Đây có thể nhân
viên được ủy quyền sao lưu đã chỉ định là người sẽ duy nhất có quyền truy cập đến thành phần
trong trường hợp mà không tồn tại nhân viên được ủy quyền đầu tiên. Các nhân viên này không
có quyền truy cập vào các thành phần khác cùng trên một khóa;
b) Trong thiết bị hoặc hệ thống tuân theo các yêu cầu trong 6.3.2 hoặc 6.3.4 hoặc trong điều kiện
của bên phát hành tuân theo 6.3.3;
c) trong dạng mã hóa, sử dụng một khóa mã hóa.
A.4 Bảo vệ chống lại sự thay thế khóa
Các khóa và các vật liệu tạo khóa liên quan được vận chuyển và lưu trữ bằng phương pháp để
bảo vệ chúng kháng lại việc sửa đổi và thay thế.
Nếu hành động chống lại sự thay thế không được tiến hành, kẻ tấn công sẽ thực hiện thay thế
khóa với các giá trị đã biết đối với khóa mà có giá trị chưa biết.
Việc bảo vệ được cung cấp sử dụng một trong các phương pháp sau:
a) Bằng cách kết hợp việc bảo vệ vật lý tuân theo 6.3 và các kỹ thuật thủ tục bảo vệ khỏi sự thay
thế.
b) Bằng cách sử dụng các kỹ thuật chứng nhận khóa.
c) Bằng cách đảm bảo rằng điều này không thể xảy ra khi biết có hai giá trị văn bản rõ và nó
tương ứng với văn bản mã hóa đã mã hóa bằng khóa mã hóa khóa.


Nếu nó được tin rằng hoặc được biết rằng việc thay thế khóa đã thực hiện, cả hai khóa và bất kỳ
khóa mã hóa khóa liên quan nào sẽ bị khóa hoạt động và thay đổi.
A.5 Hạn chế trong việc sử dụng các khóa bảo vệ mã PIN
Khóa được sử dụng để mã hóa mã PIN sẽ không bao giờ được sử dụng cho bất kỳ mục đích mã
hóa nào khác. Khóa được sử dụng để bảo vệ khóa mã hóa mã PIN sẽ không bao giờ được sử
dụng cho bất kỳ mục đích mã hóa nào khác. Tuy nhiên, các biến của cùng một khóa có thể được
sử dụng cho các mục đích khác nhau.
A.6 Giới hạn ảnh hưởng của việc xâm nhập khóa
Theo các bước để tiến hành ngăn chặn sự xâm nhập khóa hoặc các khóa trong một thiết bị mã
hóa từ việc xâm nhập bất kỳ các thiết bị mã hóa khác.
Bất kỳ khóa mã hóa khóa hoặc bất kỳ giao dịch khóa mã hóa mã PIN chỉ tồn tại trong số tối thiểu
của các địa chỉ thích hợp với các ảnh hưởng từ hoạt động của hệ thống. Điều này có trong nhiều
trường hợp sẽ chỉ có hai địa chỉ nhưng trong thí dụ các mạng đàn hồi với các định tuyến thay thế
cho việc sử dụng sao lưu nóng (tức thời), sau đó các khóa này khi cần thiết giúp đỡ tại nhiều
hơn hai địa chỉ.
Bất kỳ khóa nào được sử dụng bởi thiết bị nhập mã PIN không tuân theo 6.3.2 sẽ không được
chia sẻ với bất kỳ thiết bị nhập mã PIN nào khác.
Chỉ có bên phát hành hoặc các đại lý của họ mới có quyền truy cập vào bất kỳ khóa nào sử dụng
để mã hóa hoặc dẫn xuất mã PIN tham khảo.
Không khóa mã hóa nào (ngoại trừ bị thay đổi) ngang bằng với bất kỳ khóa mã hóa khác.
Ngoại trừ các biến của khóa, sự chuyển đổi không thuận nghịch của một khóa, hoặc các khóa
được mã hóa bởi một khóa, các điều đã biết của một khóa mã hóa không cung cấp thông tin nào
về bất kỳ khóa mã hóa nào khác.
Sự chuyển đổi không thuận nghịch của khóa chỉ được sử dụng trong cùng bậc với khóa ban đầu,
hoặc bậc trực tiếp bên dưới khóa ban đầu.
Các biến của khóa có thể chỉ được sử dụng trong các thiết bị này có hoặc được dùng bởi khóa
ban đầu.
A.7 Thay thế khóa
Khóa mật mã được thay thế bằng một khóa mới bất cứ khi nào đã biết hoặc nghi ngờ có sự xâm
nhập vào khóa ban đầu. Các điều đã biết của khóa ban đầu sẽ không cung cấp bất kỳ thông tin
nào để có thể xác định ra được khóa thay thế. Khóa thay thế không phải là một biến của khóa
ban đầu, hay là một chuyển đổi không thuận nghịch của khóa ban đầu.
Khóa mật mã được thay thế bằng một khóa mới trong thời điểm nghĩ rằng khả năng có thể xác
định được khóa bằng giải pháp (tấn công) sử dụng.
Phụ lục B
(Tham khảo)
Kỹ thuật kiểm tra xác nhận mã PIN
B.1 Kỹ thuật kiểm tra xác nhận mã PIN
Phụ lục này mô tả ba kỹ thuật kiểm tra xác nhận mã PIN cơ bản, bằng các phương pháp nhập
mã PIN hợp lệ vào thiết bị đầu cuối để có thể kiểm tra. Quá trình này tiến hành như sau:
a) Kiểm tra xác nhận mã PIN tại thiết bị đầu cuối;
b) Kiểm tra xác nhận mã PIN bởi bên phát hành;
c) Kiểm tra xác nhận mã PIN bởi cơ quan tổ chức thiết lập khác bên phát hành.


Nguyên tắc của cả ba kỹ thuật trên là so sánh mã PIN như là khóa (mã PIN giao dịch) với dữ liệu
chuẩn ban đầu từ bên phát hành (ví dụ như mã PIN tham khảo). Để so sánh hợp lệ, mã PIN giao
dịch hoặc dữ liệu tham khảo, hoặc cả hai phải yêu cầu chuyển đổi, đối với các trường hợp môi
trường đặc biệt, việc giải mã hoặc giao dịch, mã hóa không thuận nghịch, đối với các trường hợp
sử dụng hàm một chiều phải cung cấp một bảo mật bậc cao khi dữ liệu chuẩn được trao đổi.
Phương pháp được sử dụng để truyền và lưu trữ dữ liệu phải ảnh hưởng đến kỹ thuật được
chọn để xác minh mã PIN. Trong phần bổ sung, mỗi kỹ thuật được mô tả gồm cả các bậc khác
nhau của độ phức tạp của phần bổ sung và của phần phơi bày dẫn đến rủi ro.
B.2 Kiểm tra xác nhận mã PIN tại thiết bị đầu cuối
Để kiểm tra xác nhận mã PIN tại thiết bị đầu cuối, thiết bị cần có quyền truy cập đến dữ liệu tham
khảo (Mã PIN giao dịch sẽ được xuất hiện trong thiết bị đầu cuối như là một phần tiến trình). Dữ
liệu tham khảo sẽ:
a) Được thu nhận hoặc được dẫn xuất từ thẻ của khách hàng; hoặc
b) Được thu nhận/ chuyển giao từ bên phát hành.
Trong đó dữ liệu chuẩn được nhận từ thẻ của khách hàng, việc bị lộ của các khóa mã hóa bí mật
được dùng trong thiết bị đầu cuối có thể lộ ra tất cả các mã PIN của bên phát hành đó.
B.3 Kiểm tra xác nhận mã PIN bởi bên phát hành
Tại nơi kiểm tra xác nhận mã PIN được tiến hành bởi bên phát hành có liên quan, bên phát hành
cần có quyền truy cập vào mã PIN giao dịch hoặc dẫn xuất của chúng (các dữ liệu tham khảo sẽ
xuất hiện với bên phát hành như là một phần tiến trình). Phần mã PIN giao dịch được mã hóa
cần được giao dịch từ thiết bị đầu cuối đến bên phát hành.
B.4. Kiểm tra xác nhận mã PIN bởi cơ quan tổ chức khác bên phát hành
Kiểm tra xác nhận mã PIN bởi cơ quan tổ chức khác bên phát hành được thực hiện không tại
thiết bị đầu cuối mã mã PIN giao dịch đã nhập, mà cũng không tại bên phát hành. Cả hai nhóm
dữ liệu được yêu cầu để so sánh cần được cung cấp đến cơ quan tổ chức có liên quan.
Như vậy mã PIN giao dịch hoặc dẫn xuất cần được truyền từ thiết bị đầu cuối. Dữ liệu chuẩn có
thể được nhận từ bên phát hành hoặc được dẫn xuất từ dữ liệu trên thẻ của khách hàng và
được truyền với mã PIN giao dịch (hoặc dẫn xuất). Khi kỹ thuật này được sử dụng, bảo mật mã
PIN của bên phát hành phụ thuộc nhiều vào tính toàn vẹn của các phương tiện của cơ quan tổ
chức có liên quan.
Phụ lục C
(Tham khảo)
Thiết bị nhập mã PIN để mã hóa mã PIN trực tuyến
C.1 Quy định chung
Tiêu chuẩn này (xem 6.3.4) cho phép thiết bị nhập mã PIN (đặc biệt với các điểm bán hàng thông
dụng) để có mức độ bảo mật vật lý ít hơn làm một “thiết bị bảo mật vật lý”, được cung cấp một số
điều kiện đáp ứng. Những điều quan trọng nhất của các điều kiện này không có thông tin còn lại
thiết bị ở cuối vụ giao dịch có thể (nếu xác định chắc chắn) được sử dụng để xác định bất kỳ mã
PIN nào được nhập vào trong thiết bị này, thậm chí đưa một số điều đã biết của tất cả các dữ
liệu có liên quan đã có sẵn bên ngoài thiết bị này. Giả sử rằng thiết bị mã hóa mã PIN tuân theo
tiêu chuẩn, các điều kiện này yêu cầu rằng khóa mã hóa được sử dụng để mã hóa mã PIN thay
đổi sau tất cả lần giao dịch, và làm cho không có cách nào có khả năng dò ra được bất kỳ khóa
cũ nào dù đã biết khóa và các khóa hiện thời được lưu trữ bên trong thiết bị, cũng như các điều
đã biết về bất kỳ dữ liệu nào được chuyển giao hoặc từ thiết bị trong khi thực hiện dịch vụ này.
Thông thường sử dụng kỹ thuật “khóa làm việc/ khóa chủ đạo” không có trong điều kiện này,


ngay cả khi khóa hoạt động mới được mã hóa bởi khóa chủ đạo được chuyển giao đến thiết bị
sau tất cả các giao dịch. Một điều đã biết về khóa chủ đạo cùng với một điều đã biết về dữ liệu
có thể được chuyển giao đến và từ thiết bị, sẽ được cho phép giải mã các khóa hoạt động đã mã
hóa đến thiết bị, ở đó nói cách khác sẽ cho phép giải mã bất kỳ mã PIN được mã hóa nào đã
chuyển giao từ thiết bị.
Một phương pháp được khuyến cáo cho điều kiện bên trên là việc tạo một khóa mã hóa mã PIN
mới bởi “sự chuyển đổi không thuận nghịch” của khóa mã hóa mã PIN hiện thời ngay khi việc
giao dịch sử dụng khóa hiện thời diễn ra hoàn toàn. (Nếu khóa “X” là một chuyển đổi không
thuận nghịch của khóa “Y", các phương pháp này không tồn tại cách xác định “Y” với các điều đã
biết về “X”.). Theo cách này, thiết bị có một khóa đơn cho tất cả các giao dịch, nhưng không tồn
tại cách xác định bất kỳ khóa có trước khác với các điều đã biết về khóa hiện thời.
Trong một phần bổ sung của phương pháp chuyển đổi không thuận nghịch, quá trình chuyển đổi
sử dụng dữ liệu mà bị loại bỏ thông thường khi một Mã Xác thực Thông điệp (trường dữ liệu
được sử dụng để xác minh quyền sở hữu của thông điệp) được tạo (phần còn lại mã MAC). Các
liên kết mã hóa này giao dịch với nhau, cung cấp một dạng “biên bản hoạt động". Trong các tình
hình này, một “khóa thẻ" (một dẫn xuất của dữ liệu thẻ chưa chuyển giao) có mặt, bảo mật có thể
được nâng cao bằng cách bổ sung “khóa thẻ” vào trong quá trình chuyển đổi không thuận
nghịch.
Bên thu thẻ có khả năng xác định khóa hiện thời trong từng cái trong hàng loạt (có thể hàng chục
nghìn) thiết bị nhập mã PIN. Số lượng kỹ thuật tại đó có thể được thực hiện, ba kỹ thuật được
miêu tả tại C.2 đến C.4.
C.2 Khóa mã hóa được lưu giữ trong dữ liệu của bên thu thẻ
Phương tiện của bên thu thẻ được thừa nhận có chứa thiết bị bảo mật vật lý và dữ liệu không
bảo mật. Khóa hiện thời của mỗi thiết bị nhập mã PIN được lưu trữ trong dữ liệu này dưới dạng
mã hóa, khóa mã hóa khóa được biết rằng chỉ có trong thiết bị bảo mật vật lý. Khi một giao dịch
được nhận từ thiết bị nhập mã PIN, bên thu đầu tiên đặt khóa mã hóa cho thiết bị vào dữ liệu. Dữ
liệu giao dịch thích hợp và khóa được mã hóa này được chuyển đổi đến thiết bị bảo mật vật lý,
tại đó giả mã phần sau để xác định khóa hiện thời của thiết bị. Sau đó, thiết bị bảo mật vật lý xác
định khóa từ dữ liệu như cùng với khóa trong thiết bị nhập mã PIN (ví dụ thực hiện giải mã khối
mã PIN hoặc được xác minh Mã Xác thực Thông điệp mà làm cơ sở trên khóa có liên quan đến
khóa mã hóa mã PIN), thiết bị bảo mật vật lý thực hiện cùng việc chuyển đổi không thuận nghịch
tại thiết bị nhập mã PIN sẽ thực hiện tạo khóa cho lần giao dịch tiếp theo. Nó sau đó mã hóa
khóa này và gửi lại nó để lưu trữ trong dữ liệu.
Điều này có thể thực hiện để dữ liệu được lưu trữ cả hai khóa mã hóa cho lần giao dịch hiện thời
và khóa mã hóa cho lần giao dịch tiếp theo. Điều này cung cấp khả năng rằng lần giao dịch hiện
thời có thể không thể hoàn thành, dẫn đến thiết bị nhập mã PIN sẽ giữ lại khóa hiện thời hơn là
chuyển đổi không thuận nghịch khóa hiện thời để tạo ra khóa mới.
C.3 Khóa mã hóa được lưu trữ tại thiết bị đầu cuối hoặc thiết bị nhập mã PIN
Phương pháp hoạt động này được mô tả trong C.2 ngoại trừ rằng không tồn tại dữ liệu của các
khóa mã hóa. Thay vì được lưu trữ trong dữ liệu, khóa được mã hóa tiếp theo cho thiết bị nhập
mã PIN (mã hóa bằng phần mã hóa khóa xuất hiện chỉ trong thiết bị bảo mật vật lý của bên thu
thẻ), được chuyển giao ngược lại thiết bị đầu cuối tương ứng trong thông điệp đáp ứng giao dịch
và được lưu trữ tại đó. Khóa được mã hóa này có trong thông điệp truy vấn lần giao dịch tiếp
theo từ thiết bị đầu cuối và do vậy xuất hiện trong thiết bị bảo mật vật lý của bên thu thẻ khi quá
trình thực hiện việc giao dịch. Điều chú ý được rút ra từ thực tế là thiết bị nhập mã PIN không có
khả năng giả mã khóa mã hóa này nhưng hơn là nhận khóa này từ chuyển đổi không thuận
nghịch các khóa trước đó.
Khi kỹ thuật này được sử dụng, việc xác thực thông điệp là được yêu cầu cao để đảm bảo phiên
bản mã hóa của khóa mới là chính xác được nhận từ thiết bị đầu cuối là trang thiết bị của bên
thu thẻ. Thiết bị nhập mã PIN đảm bảo điều này trước khi tiến hành chuyển đổi không thuận
nghịch khóa hiện thời để tạo ra khóa mới.


Loại bỏ cơ sở dữ liệu về các khóa được mã hóa từ trang thiết bị của bên thu thẻ làm giảm các
vấn đề phục hồi - hỏng hóc. Với dữ liệu về các khóa được mã hóa chuyển đổi mới nhất, bên thu
thẻ cung cấp các cơ chế phục hồi - hỏng hóc sao cho phiên bản mới nhất của mỗi khóa đã mã
hóa có thể được phục hồi nếu có hỏng hóc trên vùng lưu trữ có chứa dữ liệu.
C.4 Khóa đơn được dẫn xuất cho mỗi lần giao dịch
Kỹ thuật này tương đương với kỹ thuật được miêu tả ở C.3 tại nơi không cần duy trì dữ liệu các
khóa đã mã hóa. Tuy nhiên kỹ thuật này không yêu cầu chuyển giao các khóa đã mã hóa trở lại
thiết bị đầu cuối và không hiển thị căn bản với quá trình thực hiện trực tuyến của bên thu thẻ.
Thay vào đó, nó không cần đòi hỏi việc xác thực thông điệp.
Trong kỹ thuật này, “số thứ tự khóa" không bí mật mà tăng lên trong mỗi lần giao dịch, được
chuyển giao từ thiết bị nhập mã PIN với mỗi mã PIN được mã hóa. Thiết bị bảo mật vật lý của
bên thu thẻ có khả năng tính toán mã hóa khóa thiết bị nhập mã PIN hiện thời với chỉ một “khóa
dẫn xuất” bí mật, thông thường có rất nhiều thiết bị nhập mã PIN, nhưng không tập trung và số
thứ tự khóa được gắn vào lần chuyển tiếp hiện thời.
Để giảm tiến trình tính toán được yêu cầu của thiết bị bảo mật vật lý từ bên thu thẻ, khóa cho lần
chuyển tiếp hiện thời là chuyển đổi không thuận nghịch của khóa được sử dụng cho các lần
chuyển tiếp trước, nhưng không nhất thiết ngay trước một cái. Trong phần bổ sung hợp lý của kỹ
thuật này, bên thu có thể tính toán mã hóa khóa hiện thời của thiết bị nhập mã PIN có sử dụng
một số nhỏ các thao tác mã hóa có liên quan. Ví dụ: nếu thiết bị nhập mã PIN có thể dùng một
triệu khóa đơn, bên thu thẻ có thể tính toán khóa hiện thời không nhiều hơn mười hai thao tác
mã hóa.
Phụ lục D
(tham khảo)
Ví dụ về việc tạo mã PIN ngẫu nhiên giả
Đây là ví dụ sử dụng thuật toán mã hóa dữ liệu, ANSI X3:92:1993, eX(Y) biểu diễn mã hóa DEA
của Y bằng khóa X trong bảng tra mã điện tử (ECB). Giả sử K là khóa bí mật DEA-1 và giả sử S
là giá trị hạt giống. S có thể là tập ban đầu của bất kỳ số nào. Giả sử DT là chữ cái ngày giờ và
dĩ nhiên cho XOR biểu diễn các thao tác hoặc loại trừ từng bít một. Một vectơ trung gian 64 bit I
và và một vectơ ngẫu nhiên giả 64 bit R là được tạo như sau:
I = eK (DT)
R = eK (I XOR S)
Và một S mới được cho bởi:
S = eK (R XOR I)
Như với tất cả bộ tạo số ngẫu nhiên, mỗi phần bổ sung sẽ được kiểm tra định kỳ để đảm bảo các
chức năng hoạt động tốt.
Các số mã PIN được dẫn xuất từ R bởi quy trình tiếp theo.
Xét R là một khối mã hóa 64 bit, như số thập lục phân 16. Quét các số này, bỏ qua bất kỳ số nào
lớn hơn bằng 9 cho đến khi số được yêu cầu (số mã PIN thập phân) được tìm thấy. Nếu tất cả
số mã hóa 16 được quét không tìm thấy số yêu cầu (số mã PIN thập phân), tìm các số được yêu
cầu còn lại bằng cách quét lại các số mã hóa, chỉ quan tâm đến các số lớn hơn 9 và trừ cho 10
với mỗi số.
Khuyến cáo rằng kỹ thuật này có số lượng so với độ sai lệch không đáng kể đối với các số từ 0
đến 5, và độ sai lệch này chỉ không đáng kể đối với các mã PIN có độ dài từ 4 ký tự đến 6 ký tự.
Phụ lục E


(Tham khảo)
Hướng dẫn bổ sung về thiết kế thiết bị nhập mã PIN
E.1 Giới thiệu
Phụ lục này mô tả tính năng như các khóa chức năng và thiết kế lắp đặt thiết bị nhập mã PIN và
như vậy nó bổ sung các yêu cầu có trong Điều 5.
E.2 Bố trí khóa
Trong khi có phần đặc biệt quan trọng là sự bố trí của các khóa số trên thiết bị nhập mã PIN đã
được cố định, và việc bố trí tổng thể là điều cần thiết hàng đầu, bao gồm cả bất kỳ các khóa
chức năng nào đã được chuẩn hóa sao cho giúp đỡ các khách hàng khi họ đang sử dụng thiết bị
nhập mã PIN. Các bố trí thường đẩy mạnh thao tác nhất quán và đầy đủ, do đó giảm thiểu được
các lỗi trong nhập mã PIN.
Cũng như việc duy trì một bố trí cố định, các khóa chức năng là rõ ràng và có ý nghĩa cố định. Có
ba kiểu chức năng được cung cấp bởi các khóa lẻ là:
a) “nhập” hoặc “nhập hoàn thành”;
b) “xóa” phần nhập;
c) “từ chối” giao dịch.
Trong phần bổ sung của bất kỳ các bản in khắc chỉ báo cho chức năng của các khóa, khuyến
khích các khóa sử dụng màu như sau:
a) Màu xanh lục cho “nhập";
b) Màu vàng cho “xóa”;
c) Màu đỏ cho “từ chối”.
trong khi các khóa chức năng được sắp xếp theo chiều dọc, chúng được đặt tại bên phải của các
khóa số với khóa “từ chối” ở trên cùng, khóa “xóa” nằm ở giữa và khóa “nhập” nằm ở dưới cùng.
Khi sắp xếp theo chiều ngang, cùng thứ tự được sử dụng với khóa “từ chối" ở bên trái, và khóa
“nhập" ở bên phải và khóa “xóa” nằm ở giữa. Để hỗ trợ cho các khách hàng bị mù hoặc gần mù,
khuyến khích nên dùng khóa “5" có khả năng tăng các nhận dạng điểm hoặc xúc giác khác trên
nó.
VÍ DỤ 1: Thiết bị nhập mã PIN dạng số với các khóa chức năng đặt tại 2 hàng ngang:
1

2

3

4

5

6

7

8

9

Đỏ

0

Xanh lục

VÍ DỤ 2: Thiết bị nhập mã PIN dạng số mã ANSI ban đầu với các khóa chức năng được xếp
hàng dọc.
QZ

ABC

DEF

1

2

3

GHI

JKL

MNO

4

5

6

PRS

TUV

WXY

7

8

9

ĐỎ
VÀNG
XANH LỤC


0
VÍ DỤ 3: Thiết bị nhập mã PIN dạng số mã ITU-E.161 ban đầu với các khóa chức năng xếp hàng
dọc.
ABC

DEF

1

2

3

GHI

JKL

MNO

4

5

6

PQRS

TUV

WXYZ

7

8

9

ĐỎ
VÀNG
XANH LỤC

0
E.3 Sự tách biệt trong khi nhập mã PIN
Việc quan sát trực quan các mã PIN là cách thông thường nhất để xâm nhập mã PIN. Sự tách
biệt trong khi nhập mã PIN có thể đạt được bằng cách kết hợp ca pô trên các nút hoặc bằng
cách định vị các thiết bị nhập mã PIN sao cho khi nhập mã PIN các khóa được che chắn bằng
chính cơ thể khách hàng. Ví dụ: khi sử dụng các thiết bị nhập mã PIN giữ bằng tay. Cần chú ý
đặc biệt đến ngăn chặn việc ghi lại có thể xảy ra khi nhập mã PIN bởi máy quay video.
E.4 Ánh xạ chữ thành số
Các mối liên hệ được mô tả dưới đây giữa tập các ký tự khách hàng đã biết (nó có thể là chữ
cái, số hoặc cả hai) và các mã nhị phân bên trong. Các ký tự chữ cái chỉ đồng nghĩa với các số
thập phân và không phân biệt bởi thiết bị đầu cuối hay hệ thống mạng. Bảng E.1 và Bảng E.2
cho biết ánh xạ chữ cái số mã ANSI và ITU-E 161.
Bên phát hành thẻ cần thực hiện ánh xạ theo bảng chữ cái "Q” và “Z” để số thập phân thay đổi
quốc tế. Khuyến khích rằng nếu số PIN không phải là số thì sẽ được sử dụng trao đổi xen kẽ
quốc tế, sau đó bên phát hành có trách nhiệm thông báo cho khách hàng của họ.
Bảng E.1 - Ánh xạ chữ thành số ANSI
Bảng chữ cái khách hàng đã Số thập phân khách hàng đã
biết
biết

Số nhị phân bên trong

0

0000

QZ

1

0001

ABC

2

0010

DEF

3

0011

GHI

4

0100

JKL

5

0101

MNO

6

0110

PRS

7

0111

TUV

8

1000

WXY

9

1001

CHÚ THÍCH: ANSI không có quyền ánh xạ chữ thành số đối với số không.
Bảng E.2 - Ánh xạ chữ thành số ITU-E.161
Bảng chữ cái khách hàng đã

Số thập phân khách hàng đã

Số nhị phân bên trong


biết

biết
0

0000

1

0001

ABC

2

0010

DEF

3

0011

GHI

4

0100

JKL

5

0101

MNO

6

0110

PQRS

7

0111

TUV

8

1000

WXYZ

9

1001

CHÚ THÍCH: ITU không có quyền ánh xạ chữ thành số đối với số 0 và 1.
Phụ lục F
(Tham khảo)
Hướng dẫn xóa và các bước phá hỏng dữ liệu nhạy cảm
F.1 Mục đích
Để hướng dẫn thiết lập trên các loại xóa giống nhau (sự zerô hóa) (ví dụ sự khử từ, xóa và ghi
đè), xáo và các bước phá hỏng đối với vật liệu lưu trữ được sử dụng sao cho sự truy cập không
được phép hoặc xâm nhập vào dữ liệu đều bị ngăn chặn.
F.2 Tổng quan
Bởi vì các tính chất vật lý và khả năng lưu lại của các phương tiện, thiết bị lưu trữ (ví dụ: đĩa và
các mạch vi điện tử) được sử dụng để lưu trữ, ghi lại hoặc điều khiển các dữ liệu nhạy cảm, sự
phòng ngừa đặc biệt là để cho phòng hộ chống lại sự xâm nhập có thể đối với thông tin dư. Phần
phụ lục này khuyến khích thực hiện quá trình zerô hóa hoặc phá hỏng.
F.3 Băng từ
Băng từ là được zerô hóa bằng các máy móc khử từ hoặc kỹ thuật có khả năng khử từ khác.
Băng từ có thể bị xóa bằng ghi đè trong một lần với bất kỳ một ký tự nào. Tuy nhiên băng từ đã
xóa trở thành được phòng hộ, điều khiển và đánh dấu trên các bậc tương ứng với các thông tin
nhạy cảm nhất được ghi lại trên chúng trước khi chúng được thông qua để phá hủy. Trước khi
thông qua để zerô hóa băng từ, nó được đưa ra cho hai vòng khử từ và rồi mới ra khỏi guồng,
sau đó được phá hủy bởi sự phân rã của các phần 9 mm hoặc nhỏ hơn hoặc bị thiêu đốt.
F.4 Bộ đăng ký, bộ đệm và bộ nhớ trong
Bộ đăng ký, bộ đệm và bộ nhớ trong được zerô hóa đầu tiên bằng cách sử dụng phần cứng
chuyển đổi xóa hoặc mạch thiết lập tắt/mở nguồn, và sau đó bị ghi đè tất cả các vị trí bit dữ liệu
chuyển thành dữ liệu ngẫu nhiên cho 1000 mạch. Việc xác minh định kỳ được thực hiện để đảm
bảo rằng (các) phương pháp hoạt động chính xác. Xác minh thành công việc nhập khi ghi đè
thông qua một phần cứng sao lưu - đọc ra ngẫu nhiên hoặc thông qua các thiết bị xác minh khác.
Cuối cùng, tất cả các vị trí sẽ được ghi đè với dữ liệu ngẫu nhiên không nhạy cảm và đã được
xác minh.
F.5 Bộ nhớ bán dẫn
a) Bộ nhớ truy cập Ngẫu nhiên (RAM) là mạch được khởi động bằng cách dùng mạch thiết lập


tắt/mở nguồn. Vùng lưu trữ được ghi đè bằng cách thiết lập lần lượt từng vị trí bit dữ liệu thành
zerô (không) sau đó tất cả chia cho 1000 mạch. Việc xác minh định kỳ để đảm bảo rằng phương
pháp hoạt động chính xác. Việc xác minh làm trên định dạng của mẫu ngẫu nhiên hoặc sử dụng
một chương trình đọc và so sánh. Cuối cùng, tất cả các vị trí đều được ghi đè với dữ liệu không
nhạy cảm và đã được xác minh.
b) Bộ nhớ chỉ đọc có thể Lập trình Xóa (EPROM) là mạch được khởi động bằng cách dùng kỹ
thuật xóa theo mảng bằng cách chiếu tia cực tím. Quá trình zerô hóa được xác minh. Tất cả các
vị trí lưu trữ đều được ghi đè bằng dữ liệu không nhạy cảm ngẫu nhiên và đã được xác minh.
c) Bộ nhớ chỉ đọc Khả hiểu điện tử (EAROM) là mạch được khởi động bằng cách phát xung toàn
bộ các cổng. Quá trình zerô hóa được xác minh. Tất cả các vị trí lưu trữ bị ghi đè bằng dữ liệu
không nhạy cảm ngẫu nhiên và đã được xác minh.
d) Bộ nhớ chỉ đọc có thể Lập trình Xóa bằng điện (EEPROM) được khởi động bằng cách phát
xung các cổng kiểm soát xáo. Quá trình zerô hóa được xác minh. Tất cả các vị trí lưu trữ bị ghi
đè bằng dữ liệu không nhạy cảm ngẫu nhiên và đã được xác minh.
e) Bộ nhớ chỉ đọc (ROM) được lập trình vật lý bởi nhà sản xuất. Quá trình phá hỏng vật lý là
phương pháp duy nhất được khuyến khích để tiến hành xóa.
F.6 Vật liệu giấy
Vật liệu giấy bị phá hủy bằng cách đốt, tán miếng hoặc cắt thành các miếng nhỏ. Khi vật liệu bị
tán miếng, tất cả phần còn lại thành các miếng 5 mm hoặc nhỏ hơn. Khi vật liệu bị đốt, phần còn
lại là tro trắng.
F.7 Trục cuộn và duy băng
Các trục cuộn và duy băng máy in bị tháo ra từ máy tin trước khi máy in được thông qua. Trục
cuộn (chỉ có bề mặt cao su được lấy ra để phá hỏng) và các duy băng thì bị phá hủy (ví dụ như
đốt thành tro).
Phụ lục G
(Tham khảo)
Thông tin cho khách hàng
Bên phát hành phải cung cấp cho các khách hàng có thẻ và mã PIN liên quan các thông tin về
các điều quan trọng về mã PIN và bảo mật mã PIN. Trong trường hợp riêng biệt, các thông tin
sau đây cần được cung cấp:
a) Khách hàng không bao giờ được trao đổi văn bản rõ của mã PIN bằng miệng hay vật lý (ví dụ
như fax hoặc gửi thư điện tử) cho bất kỳ người nào hoặc thiết bị nào.
b) Khách hàng không bao giờ được nhập mã PIN bằng bàn phím điện thoại, ngoại trừ điện thoại
thỏa mãn các yêu cầu đối với thiết bị nhập mã PIN được quy định tại Điều 5, và đối với an ninh
giao tiếp được quy định tại 8.2.
c) Khi khách hàng lựa chọn hoặc chuyển mã PIN, họ cần thực hiện đảm bảo các điều sau:
1) Việc lựa chọn mã PIN không có giá trị dễ biết từ khách hàng (ví dụ tên riêng, số điện thoại,
ngày sinh...);
2) Khi lựa chọn giá trị mã PIN không nên chọn:
- Một chuỗi số tài khoản in nổi;
- Cùng một chuỗi số;
- Tăng hoặc giảm các số liên tiếp;
- Ngày có ý nghĩa trong đời;


- Chuỗi ký tự theo bảng chữ cái (chữ cái) ít hơn 6 ký tự;
- Chuỗi ký tự số (chữ số) ít hơn 6 ký tự.
3) Các thông tin tự nguyện là không bao gồm trên hoặc với các dạng lựa chọn mã PIN.
d) Khi thay đổi mã PIN ban đầu của khách hàng bắt đầu có hiệu lực, phải có thông báo về thay
đổi này, nhưng không có giá trị mã PIN, như gửi thư cho khách hàng. Thông báo có chứa các
hướng dẫn để liên hệ với bên phát hành có trách nhiệm nếu việc thay đổi không được yêu cầu từ
bên khách hàng.
e) Khách hàng cần đảm bảo nhập mã PIN mà người khác không thể nhìn thấy.
f) Các khách hàng mà bên phát hành trợ giúp lựa chọn mã PIN theo chữ - số được đảm bảo từ
bên phát hành rằng nó không thể bị sử dụng giá trị nào khác giá trị mã PIN theo số trong hệ
thống khác của bên phát hành.
g) Khách hàng phải đảm bảo nhớ mã PIN và không viết nó ra trên thẻ hoặc viết nó trên giấy
được lưu trữ cùng với thẻ.
h) Các khách hàng phải đảm bảo rằng thông báo với bên phát hành nếu mã PIN được gửi thư
đến đã bị mở từ trước hoặc không nhận được.
MỤC LỤC
1. Phạm vi áp dụng
2. Tài liệu Viện dẫn
3. Thuật ngữ và định nghĩa
4. Nguyên tắc cơ bản của quản lý mã PIN
5. Thiết bị nhập mã PIN
5.1. Tập ký tự
5.2. Biểu diễn ký tự
5.3. Nhập mã PIN
5.4. Xem xét về đóng gói
6. Vấn đề bảo mật mã PIN
6.1. Yêu cầu kiểm soát mã PIN
6.2. Mã hóa PIN
6.3. Bảo mật vật lý
7. Kỹ thuật quản lý và bảo vệ chức năng mã PIN có liên quan đến tài khoản
7.1. Chiều dài mã PIN
7.2. Lựa chọn mã PIN
7.3. Phát hành và phân phối mã PIN
7.4. Thay đổi mã PIN
7.5. Xử lý vật liệu rác và phong bao mã PIN được hoàn trả
7.6. Kích hoạt mã PIN
7.7. Lưu trữ mã PIN
7.8. Khóa hoạt động mã PIN


Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay

×