银联卡密钥安全管理规则.doc

银联卡密钥安全管理规则

【磁条卡部分】

(经第一届中国银联风险管理委员会第一次会议审议通过)






二OO四年七月





目录

第一章总则 3
3
3
3
4
4
5
第二章个人标识代码(PIN)与密钥管理的基本规定 6
(PIN)加解密基本规定 6
6
第三章密钥生命周期安全管理 9
9
9
10
11
11
11
12
12
12
13
13
13
14
14
14
14
15
16
16
16
17
17
18
18
第四章设备安全管理 20
20
20
21
第五章制度监督 23
23
23
23
24
25
(PIN)及密钥安全进行资格审查 25
25
27
附录A:术语 31
附录B:遵循标准 35
附录C:密钥生命周期各阶段工作表格基本要素 38
第一章总则

提升磁条卡跨行交易的安全性和管理水平,确保持卡人个人标识代码(PIN)与敏感信息在跨行交易过程中的安全传输与转接,维护通过跨行网络开展银行卡交易的银联卡网络参与方的整体利益。

《银联卡密钥安全管理规则》(以下简称《密钥规则》)适用于通过跨行网络进行银行卡交易的中国银联、成员机构、所有受理银联卡的联网机构及其他关联机构(本规则统一简称为银联卡网络参与方)。
本着循序渐进的原则,在现阶段《密钥规则》提出基于传统交易终端(如ATM、POS)发起的跨行磁条卡敏感交易信息加解密的基本规定,主要适用于对称算法的密钥管理。
本规则分章节叙述密钥生命周期各环节应达到的基本要求,对银联卡网络内的终端机具、硬件加密设备的安全管理做出基本规定;对人员管理及制度监督提出原则意见;附录列出安全管理工作表格的基本要素。
本规则与VISA、MASTERCARD等境外信用卡公司的相关规定基本一致。境外卡在银联卡网络的交易同样适用于本规则;银联卡在境外使用时参照本规则执行。

在实际应用当中,密钥按照体系和使用范围划分为不同类别,每个类别具有相应的功能与特点,遵循不同的标准与要求。《密钥规则》规定:在有国内标准的情况下应首先遵循国内标准,如国内标准尚未明确,一般应遵循
ISO颁布的相关国际标准。

现有规范是指由国家主管部门及中国银联制定颁布的,在金融机构范围内实行,涉及银行卡信息交换密钥安全的有关规范,主要包括:
《银行卡联网联合技术规范》 2001(《技术规范》)第三部分“公共接口说明”的第八章“数据传输安全说明”。
《银行卡联网联合安全规范》(简称《安全规范》)第五部分“联网联合安全技术应用”。
《银行卡联网联合技术规范》 2004(《技术规范》)第四部分“数据安全传输控制规范”。
上述规范主要从技术实现的角度阐述了信息交换系统中密钥正确和安全使用的相关规定。本规则重点从管理角度出发规定密钥生命周期各环节的操作规则,与现有规范互相补充、配套。

本规则适用于当前及今后一段时期内的安全管理,其内容随着业务发展变化的具体情况做相应调整和修订。
鉴于目前不同银联卡网络参与方的制度要求与操作方法存在一定差别,为全面实现本规则的要求,现确定实施过渡期(具体期限另行确定)。过渡期间,各银联卡网络参与方应对照要求整章建制,更新相关设备和系统,落实人员,规范操作。过渡期末应达到本规则的基本要求: