Сколько раз и в скольких местах вам пришлось сегодня вводить ПИН (персональный идентификационный номер) своей банковской карты? Для гарантии целостности данных при любых операциях ИСО технически пересмотрел и обновил стандарт, в котором устанавливаются требования к менеджменту и защите ПИН-кодов (стандарт ISO 9564-1).
Зачем нужен международный стандарт на менеджмент ПИН-кодов? Возьмем, к примеру, такой финансовый институт как банковская карта Visa. В 2007 году в платежную систему Visa входило 20 000 банков-членов, выполняющих 1,59 млрд. операций в год при пиковых нагрузках достигающих 6800 операций в секунду. Стандарт ИСО на менеджмент ПИН-кодов поможет защитить персональные идентификаторы, применяемые при процедурах установления подлинности держателей карт для защиты от несанкционированного раскрытия, компрометации и злоупотребления в любой точке мира. Тем самым, будут снижены риски мошенничества в электронных системах перевода средств.
Марк Саттон, председатель подкомитета ИСО, разработавшего стандарт, комментирует: «Срок жизни ПИН-кода может быть длительным и подразумевать его применение во многих различных странах, банкоматах, магазинах и даже онлайн. Во всех этих случаях необходимо гарантировать его конфиденциальность, как для онлайновых, так и для автономных операций с момента создания до деактивации, включая выпуск, хранение, ввод, передачу, контроль данных и т.п.»
© P.Krieger, ISO
Стандарт ISO 9564-1:2011 «Финансовые услуги. Менеджмент и защита персонального идентификационного номера (ПИН-кода). Часть 1. Основные принципы и требования к ПИН-кодам в системах на основе карт» устанавливает принципы и методы, обеспечивающие минимальные мероприятия по обеспечению безопасности, требующиеся для эффективного международного управления ПИН-кодами. Эти меры предназначены для организаций, ответственных за менеджмент и защиту ПИН-кодов при их создании, выпуске, использовании, деактивации.
Онлайновая и автономная проверка подлинности ПИН-кодов может подразумевать различные требования к безопасности. Поскольку онлайн ПИН-коды могут проверяться на подлинность независимо от самой карты, для проведения операции может быть использован любой тип платежных карт или устройств. Однако существуют специальные требования для карт, используемых при автономной проверке подлинности. В частности, из-за того, что в этом случае не требуется, чтобы ПИН-код держателя карты отсылался на сервер эмитента.
Данная часть стандарта ISO 9564 предназначена для того, чтобы эмитенты могли обеспечить единую процедуру управления ПИН-кодом, обрабатываемого другими организациями. Описаны методы для защиты процесса установления подлинности клиента на основе ПИН-кода на всем жизненном цикле.
«Обновленный стандарт ISO 9564-1 поможет банкам и их партнерам обеспечивать конфиденциальность криптографических ключей. Это крайне важно, так как любой скомпрометированный ключ может нарушать безопасность ПИН-кода».
Стандарт ISO 9564-1 предназначен для менеджмента ПИН-кодов для установления подлинности держателя карт в банковских системах, обслуживающих мелких клиентов, в банкоматах, кассовых терминалах, автоматизированных автозаправках, торговых автоматах, банковских киосках и системах выбора/изменения ПИН-кодов.
Данное 3-е издание стандарта отменяет и заменяет два предыдущих, которые были технически пересмотрены. Стандарт ISO 9564-1 разработан подкомитетом SC 2 «Управление ценными бумагами и общие банковские операции» ISO/TC 68 «Финансовые услуги».