3.4工作密钥的启用 (12)
4.密钥的保管 (13)
4.2各类密钥组件的保管 (13)
4.3保管或接收保管 (13)
4.4与密钥安全有关的机密设备及密码的保管 (14)
5.密钥的删除与销毁 (15)
5.1基本要求 (15)
5.2处理要求 (15)
6.密钥的泄漏与重置 (16)
6.1密钥泄漏情况的界定 (16)
6.2审核程序 (17)
网联网6.3密钥泄漏后应采取的措施 (17)
1.基本要求 (19)
朱晓驰2.硬件加密设备安全的管理要求 (19)
3.终端设备安全管理 (20)
第五章制度监督 (22)
1.组织管理 (22)
1.1主要工作职责 (22)
1.2密钥维护人员的基本配备要求 (22)
led发光棒
2.审批与操作制度 (23)
3.自查与监督 (24)
3.1业务开办前对个人标识代码(PIN)及密钥安全进行资格审查 (24)
3.2自查 (24)
3.3监督 (26)
附录A:术语 (30)
附录B:遵循标准 (34)
附录C:密钥生命周期各阶段工作表格基本要素 (37)
第一章总则
1.目的
提升磁条卡跨行交易的安全性和管理水平,确保持卡人个人标识代码(PIN)与敏感信息在跨行交易过程中的安全传输与转接,维护通过跨行网络开展银行卡交易的银联卡网络参与方的整体利益。 玻璃纤维防火布
2.适用范围
《银联卡密钥安全管理规则》(以下简称《密钥规则》)适用于通过跨行网络进行银行卡交易的中国银联、成员机构、所有受理银联卡的联网机构及其他关联机构(本规则统一简称为银联卡网络参与方)。 本着循序渐进的原则,在现阶段《密钥规则》提出基于传统交易终端(如ATM、POS)发起的跨行磁条卡敏感交易信息加解密的基本规定,主要适用于对称算法的密钥管理。
本规则分章节叙述密钥生命周期各环节应达到的基本要求,对银联卡网络内的终端机具、硬件加密设备的安全管理做出基本规定;对人员管理及制度监督提出原则意见;附录列出安全管理工作表格的基本要素。
本规则与VISA、MASTERCARD等信用卡公司的相关规定基本一致。卡在银联卡网络的交易同样适用于本规则;银联卡在使用时参照本规则执行。云端同步
3.遵循标准
在实际应用当中,密钥按照体系和使用范围划分为不同类别,每个类别具有相应的功能与特点,遵循不同的标准与要求。《密钥规则》规定:在有国内标准的情况下应首先遵循国内标准,如国内标准尚
未明确,一般应遵循ISO颁布的相关国际标准。
4.与现有规范的关系
现有规范是指由国家主管部门及中国银联制定颁布的,在金融机构范围内实行,涉及银行卡信息交换密钥安全的有关规范,主要包括:
筛片《银行卡联网联合技术规范》V1.0 2019(简称1.0版《技术规范》)第三部分“公共接口说明”的第八章“数据传输安全说明”。
《银行卡联网联合安全规范》(简称《安全规范》)第五部分“联网联合安全技术应用”。
《银行卡联网联合技术规范》V2.0 2019(简称2.0版《技术规范》)第四部分“数据安全传输控制规范”。
上述规范主要从技术实现的角度阐述了信息交换系统中密钥正确和安全使用的相关规定。本规则重点从管理角度出发规定密钥生命周期各环节的操作规则,与现有规范互相补充、配套。
5.生效说明
本规则适用于当前及今后一段时期内的安全管理,其内容随着业务发展变化的具体情况做相应调整和修订。
鉴于目前不同银联卡网络参与方的制度要求与操作方法存在一定差别,为全面实现本规则的要求,现确定实施过渡期(具体期限另行确定)。过渡期间,各银联卡网络参与方应对照要求整章建制,更新相关设备和系统,落实人员,规范操作。过渡期末应达到本规则的基本要求:
●涉及密码的交易必须采用硬件加密。硬件加密设备的要求必须符合本规则第三章的相关规定;
●凡有条件的银联卡网络参与方必须使用128bit或128bit以上的密钥;
●涉及密钥生命周期的各项操作均应执行双重控制、信息拆分、严密交接、妥善保管、及时更新的基本要求,建立并履行权限划分、严格审批、详细记录、实名操作的规章制度;
●建立并严格执行自查与监督机制,实施业务准入评估与违规处罚。
6.与本规则配套的相关文档
中国银联同步制定了《银联卡密钥安全管理指南》和《中国银联密钥安全管理暂行办法》。前者详细阐述各类密钥及其组件生命周期安全管理的推荐做法。后者主要适用于中国银联银行卡信息交换总中
心和各分公司,银联商务总公司及其分支机构、银联卡网络参与方应比照这一办法制定相应的实施细则。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议