Tiêu chuẩn quốc gia TCVN 8461-1:2010 (ISO 9564-1:2002) quy định các nguyên tắc cơ bản của quản lý mã PIN ra sao?
Phạm vi áp dụng Tiêu chuẩn quốc gia TCVN 8461-1:2010 (ISO 9564-1:2002) về quản lý mã PIN ra sao?
Căn cứ tại Mục 1 Tiêu chuẩn quốc gia TCVN 8461-1:2010 nêu rõ:
Tiêu chuẩn này quy định các kỹ thuật và nguyên tắc cơ bản để đưa ra các giải pháp bảo mật tối thiểu được yêu cầu cho quản lý mã PIN quốc tế. Các giải pháp này được áp dụng cho các cơ quan tổ chức có trách nhiệm thực hiện các kỹ thuật để quản lý và bảo vệ mã PIN.
Tiêu chuẩn này cũng quy định các kỹ thuật bảo vệ mã PIN áp dụng cho các giao dịch tài chính dựa trên thẻ giao dịch gốc trong môi trường trực tuyến và phương pháp trao đổi chuẩn dữ liệu mã PIN. Các kỹ thuật này được áp dụng cho các cơ quan tổ chức có trách nhiệm thực hiện các kỹ thuật về quản lý và bảo vệ các mã Pin tại các máy rút tiền tự động (ATM) và bên thu thẻ đảm trách các thiết bị đầu cuối hệ thống bán hàng (POS).
Các quy định trong tiêu chuẩn này không bao gồm:
- Quản lý và bảo mật mã PIN trong môi trường mã PIN ngoại tuyến, điều này được đề cập trong ISO 9564-3;
- Quản lý và bảo mật mã PIN trong các môi trường thương mại điện tử, đây cũng được đề cập trong phần sau của ISO 9564;
- Việc bảo vệ mã PIN chống lại việc mất mát hoặc lạm dụng có chủ ý bởi khách hàng hoặc các nhân viên được ủy quyền từ bên phát hành;
- Bí mật của dữ liệu giao dịch phi mã PIN;
- Bảo vệ các thông điệp giao dịch chống lại các thay đổi hoặc thay thế, như là một ủy quyền đáp ứng để xác minh mã PIN;
- Bảo vệ chống lại sự gửi lại mã PIN hoặc giao dịch;
- Các kỹ thuật quản lý khóa cụ thể.
Tiêu chuẩn quốc gia TCVN 8461-1:2010 (ISO 9564-1:2002) về Ngân hàng quy định các nguyên tắc cơ bản của quản lý mã PIN ra sao?
Các nguyên tắc cơ bản của quản lý mã PIN theo Tiêu chuẩn quốc gia TCVN 8461-1:2010 ra sao?
Căn cứ tại Mục 4 Tiêu chuẩn quốc gia TCVN 8461-1:2010 quy định các nguyên tắc cơ bản của quản lý mã PIN như sau:
4. Các nguyên tắc cơ bản của quản lý mã PIN
Quản lý mã PIN bị chi phối bởi các nguyên tắc cơ bản sau đây:
a) Đối với tất cả các chức năng kiểm soát, quản lý mã PIN phải được áp dụng sao cho phần cứng và phần mềm sử dụng không bị thay đổi hoặc truy cập trái phép mà không bị phát hiện, ghi lại và/hoặc bãi bỏ (như xác định trong 6.1.1).
b) Sau khi lựa chọn mã PIN (như xác định trong 7.2) và cho đến khi hết hiệu lực mã PIN (như xác định trong 7.8), mã PIN đó, nếu được lưu giữ phải được mã hóa khi nó không thể bảo mật vật lý như xác định trong 6.2 và 7.7.
c) Đối với các tài khoản khác nhau, việc mã hóa các mã PIN có giá trị giống nhau bằng khóa mã hóa cho trước phải không tạo cùng văn bản mật mã có thể dự đoán (như xác định trong 6.2).
d) Bảo mật của mã PIN mã hóa phải không dựa vào tính bảo mật của thuật toán hoặc thiết kế mã hóa nhưng lại dựa vào khóa mật (như xác định trong 6.2).
e) Văn bản rõ mã PIN sẽ không bao giờ tồn tại trên các phương tiện của bên thu ngoại trừ bên trong thiết bị bảo mật vật lý (như xác định trong 6.3.2).
f) Một văn bản rõ của mã PIN phải tồn tại trong thiết bị máy tính sử dụng cho mục đích chung của bên phát hành, nếu tại thời điểm đó thiết bị là môi trường bảo mật vật lý (như xác định trong 6.3.3).
g) Chỉ khách hàng và/hoặc cá nhân được ủy quyền bởi bên phát hành được tiếp xúc với phần lựa chọn mã PIN (xem 7.2), mã PIN hoặc bất kỳ quá trình nhập mã PIN, trong đó mã PIN liên quan đến thông tin nhận dạng tài khoản. Như vậy cá nhân phải thao tác chỉ trên các thủ tục bắt buộc (ví dụ như điều khiển kép).
h) Mã PIN khi mã hóa được lưu trữ, phải được bảo vệ từ hệ thống thay thế (như xác định trong 7.7).
i) Việc xâm nhập mã PIN (hoặc nghi ngờ bị xâm nhập) phải dẫn đến sự chấm dứt chu kỳ tồn tại của mã PIN (như xác định trong 7.8).
j) Trách nhiệm xác minh mã PIN phải phụ thuộc vào bên phát hành, mặc dù chức năng xác minh này có thể do một tổ chức khác đảm nhiệm (như xác định trong 8.5).
k) Các khóa mật mã khác nhau phải được sử dụng để bảo vệ cho việc lưu trữ và truyền mã PIN (như xác định trong 6.2).
l) Khách hàng phải được thông báo tầm quan trọng của mã PIN và bảo mật mã PIN bằng văn bản (xem Phụ lục G).
Theo đó, quản lý mã PIN bị chi phối bởi các nguyên tắc cơ bản theo quy định nêu trên.
Thiết bị nhập mã PIN được xem xét về đóng gói theo quy định như thế nào?
Căn cứ theo quy định tại tiểu mục 5.4 Mục 5 Tiêu chuẩn quốc gia TCVN 8461-1:2010 về việc xem xét về đóng gói đối với thiết bị mã PIN như sau:
Thiết bị nhập mã PIN có thể được đóng gói như là một phần của thiết bị đầu cuối hoặc có thể điều khiển từ xa bởi bộ điện tử điều khiển thiết bị đầu cuối. Bộ điện tử điều khiển thiết bị đầu cuối có hoặc không được bảo mật vật lý (xem 6.3.2); tuy nhiên thiết bị nhập mã PIN sẽ được bảo mật theo quy định trong 6.3.2 hoặc 6.3.4.
Thiết bị nhập mã PIN phải được thiết kế hoặc cài đặt sao cho khách hàng có thể ngăn ngừa người khác quan sát thấy giá trị mã PIN khi nó đang nhập.
Khi sử dụng thiết bị nhập mã PIN được điều khiển từ xa, các phương tiện truyền thông liên kết giữa nó và thiết bị đầu cuối gắn với nó sẽ được bảo vệ (xem mục 8.2).
Xem tóm tắt các yêu cầu bảo mật đối với từng cấu hình của bốn trường hợp thiết bị đầu cuối và thiết bị nhập mã PIN theo bảng sau:
Bảo mật vật lý thiết bị đầu cuối | Không bảo mật vật lý thiết bị đầu cuối | |
Thiết bị nhập mã PIN là một bộ phận của thiết bị đầu cuối | Các yêu cầu bảo vệ vật lý như quy định trong 6.3.2 áp dụng cho toàn bộ thiết bị đầu cuối. Thiết bị đầu cuối phải mã hóa mã PIN như quy định trong 6.2 để chuyển giao. | Các yêu cầu bảo vệ vật lý như quy định trong 6.3.2 hoặc 6.3.4 áp dụng cho thiết bị nhập mã PIN. Thiết bị nhập mã PIN phải mã hóa mã PIN như quy định trong 6.2 để chuyển giao. |
Thiết bị nhập mã PIN điều khiển từ xa đến thiết bị đầu cuối | Thiết bị nhập mã PIN sẽ được bảo mật như quy định trong 6.3.2 hoặc 6.3.4. Thiết bị nhập mã PIN phải mã hóa mã PIN như quy định trong 6.2 để chuyển giao. | Thiết bị nhập mã PIN phải được bảo mật như quy định trong 6.3.2 hoặc 6.3.4. Thiết bị nhập mã PIN phải mã hóa mã PIN như quy định trong 6.2 để chuyển giao. |
Quý khách cần hỏi thêm thông tin về có thể đặt câu hỏi tại đây.