银行卡联网联合安全规范.docx

银行卡联网联合安全规范发布部门:中国人民银行发布文号: 银发2001405号中国人民银行各分行、营业管理部，省会(首府)城市中心支行，国家外汇管理局，各国有独资商业银行、股份制商业银行，邮政储汇局：银行卡联网联合安全规范行业标准，业经全国金融标准化技术委员会审查通过，现予以印发，并就有关事项通知如下：一、标准的编号和名称：JR/T0003-2001银行卡联网联合安全规范二、凡中华人民共和国境内银行卡联网成员必须严格遵循本标准。三、本标准由全国金融标准化技术委员会负责解释。二一年十二月十三日附： 银行卡联网联合安全规范1范围 本标准规定了加入全国银行卡网络的相关入网设备、设施的安全技术要求，也规定了对持卡人、商户、卡片和终端机具供应商以及参加银行卡联合组织工作人员的安全管理要求。本标准适用于银行卡联网成员。本标准提出的技术要求是加入联网联合网络的基本安全要求。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GJB2256军用计算机安全术语GBT2887电子计算机场地通用规范GBT9361计算机场地安全要求GBT93872信息处理系统开放系统互连基本参考模型第2部分：安全体系结构GBT13543数字通讯设备环境实验要求GB17859计算机信息系统安全保护等级划分准则GBT183363信息技术安全技术信息技术安全性评估准则第3部分：安全保证要求ANSIX98银行业个人标识码的管理和安全银行卡联网联合业务规范银行卡联网联合技术规范银行计算机信息系统安全技术规范3术语、定义和缩略语31术语和定义下列术语和定义适用于本标准。311银行卡联合组织association of interoperable bank card service，AIBCS简称联合组织，在中国境内办理银行卡业务的商业银行、邮政储汇局和农村信用社等共同发起组建具有行业自律性质的全国银行卡联合经营组织。312银行卡联网联合interoperable service of bank card简称联网联合，经中国人民银行批准、在中国境内经营银行卡业务的商业银行和邮政储汇局、农村信用社等机构，利用自身的计算机网络系统、终端机具（主要是ATM和POS）、特约商户以及技术服务手段等资源，以相应方式与银行卡信息交换中心相连，实现信息、机具和商户共享以及银行卡的跨行通用。313银行卡信息交换中心bank card information switching center简称信息交换中心，具有对银行卡跨行交易信息进行转接和提供跨行交易清算数据等功能的银行卡跨行联网服务机构，包括总中心和城市（区域）中心。314联网成员member of AIBCE已成为联合组织成员的银行卡金融机构和经联合组织特别认可的其他机构，经一定的入网程序批准正式入网运行，开展银行卡联网联合业务的各方成员，包括办理银行卡业务的银行卡金融机构、银行卡信息交换中心和其他专业性服务机构等。银行卡联网联合业务规范315入网银行bank of AIBCS加入全国银行卡网络进行跨行交易的商业银行及邮政储汇局、农村信用联社等金融组织。316全国银行卡网络national bank card network全国银行卡网络由跨行网络和行内网络组成。跨行网络由总中心连接各入网银行银行卡业务处理中心（简称行内中心）和各城市（区域）中心，以及各城市（区域）中心连接各入网银行分支机构组成。行内网络由各入网银行行内中心连接其分支机构组成。317行内中心information switching center of a bank入网银行负责处理本行卡业务和非本行卡交易信息的中心。318区域中心territorial bank card information switching center负责本区域内跨行交易信息交换和经过本中心的异地跨行交易信息交换的银行卡信息交换中心。银行卡联网联合业务规范319银行卡前置设备prepositive facility of bank card network位于各内部网络与银行卡信息交换中心连接的接口处，实现信息识别、格式转换的一种网络接口设备。3110止付名单系统system of stop payment name list应止付的银行卡信息系统。3111不良持卡人系统system of badness cardholder信用度低于联网联合基本要求的银行卡持卡人信息系统。3112不良商户系统system of badness businessman信用度低于联网联合基本要求的银行卡商户信息系统。3113银行卡bank card由商业银行（含邮政储蓄机构）向社会发行的具有消费信用、转账结算、存取现金等全部或部分功能的卡基信用支付工具。本标准中所述银行卡仅指磁条卡。3114个人识别码personal identification number，PIN在联机交易中识别持卡人身份合法性的数据信息。3115报文鉴别码message authentication code，MAC报文发送与接收双方用于确认报文来源和部分或全部报文内容的一种编码，该编码是双方商定算法计算的结果。3116知识分割knowledge split一种把消息分割成许多碎片的方法。分割后每一片所代表的信息足够小，但把这些碎片重新组合在一起就能重现消息。3117鉴别authentication指用户、设备和其他实体的身份以及数据完整性的验证。GJB 225619943118数据完整性data integrity表明数据没有遭受以非授权方式所作的篡改或破坏的性质。GBT 938721995，定义33213119访问控制access control防止对资源的未授权使用，包括防止以未授权方式使用某一资源。GBT938721995，定义33132缩略语下列缩略语适用于本标准。ATM Automatic Teller Machine自动柜员机BIN Bank Idenndcation Number银行标识码CBC Cipher Block Chaining 密文分组链接CFB Cipher Feedback 密文反馈CVV Card Verification Value 卡校验值DAC nscretionary Access Control 自主访问控制DES Data Encryption Standard数据加密标准DSA Digital Signature Algorithm 数字签名算法ECB Electronic Codebook 电子密码本ICIntegrated Circuit集成电路MAB Message Authentication Code Block MAC块MAC Message Authentication Code 报文鉴别码MAK MAC Key MAC加密密钥MKMaster Key主密钥MMK Member Master Key 成员主密钥MTBFMean Time Between Failures平均无故障时间OSI Open System Interconnect开放系统互连OFB Output Feedback 输出反馈PIK PIN Key PIN加密密钥PIN Penal Identification Number 个人标识码POS Point Of Sale 销售点终端TCB Trusted Computing Base可信计算基4银行卡联网联合安全保护对象本标准重点是保护各入网银行系统。网络、行内信息在联网联合后的安全，防止对入网银行行内系统、网络的恶意攻击；保护跨行交换信息的安全，确保信息来源的可靠性，防止对跨行交换信息的非法窃取、篡改和破坏。41联网联合网络411网络结构全国银行卡联网联合的网络结构有三种模式：（1）总中心模式入网银行通过行内中心与全国银行卡信息交换总中心联网，实现银行卡业务的联网联合；（2）区域中心模式入网银行分支机构或行内中心通过与银行卡信息交换区域中心联网，实现银行卡业务的联网联合。在区域中心模式中，根据POS终端是否直接与区域中心系统连接又分为POS间联和POS直联。POS终端通过收单行系统再连接到区域中心系统的为POS间联，POS终端直接与区域中心系统相连的为POS直联。（3）无中心联合模式入网银行分支机构没有共建当地跨行信息交换系统，而是通过多路由POS（包括前置设备方式）共享，实现当地银行卡业务的联网联合。412网络安全保护银行卡的联网联合既要保护联网联合网络自身的安全性、稳定性和可靠性，又要防止对入网银行内部网络系统的攻击和破坏。4121使用专用网络实现入网银行与银行卡信息交换中心的联网，与公用数据网络隔离。4122使用银行卡前置设备实现跨行联网系统与入网银行业务主机系统的隔离，避免外部系统直接对入网银行业务主机的访问和操作。4123网络应采用加密措施，保证数据的安全。4124网络应具有访问控制功能，避免非法的访问。4125网络应有监控机制及扫描工具，及时发现并尽量避免非法的攻击（如黑客攻击）。42联网联合信息本标准主要考虑银行卡联网联合信息交换中信息的安全，以及在银行卡联网联合后各入网银行内部信息的安全。421信息的分类4211跨行交换的信息跨行交易信息、清算信息、管理信息。4212入网银行间共享信息止付名单信息、不良持卡人信息、不良商户信息。422信息的保护4221跨行交换的信息为保护跨行交换信息的安全，应采用PIN加密和MAC校验技术，跨行交换信息应采用硬件加密机用于PIN的验证和MAC校验，入网银行内部系统处理跨行交换信息应符合国家的有关安全规定。4222入网银行间共享信息由银行卡联网联合组织联合各入网银行共同建设，各入网银行提供信息，由银行卡信息交换总中心进行汇总、管理，由各入网银行使用。银行间共享信息的使用应符合国家法律和有关信息安全的规定，其保护主要通过访问控制和身份认证机制实现，应防止非法用户对银行间共享信息的访问和破坏。5联网联合安全技术应用联网联合系统内应用的主要安全技术包括：由硬件密码机与终端机具内部密码模块实现对PIN的加解密技术和对传输数据的MAC校验，相关的密钥管理以及由银行卡前置设备提供的信息流控制和访问控制等。51硬件密码机硬件密码机用于保护密钥、产生密钥、PIN的加解密以及报文鉴别等。这些操作应在硬件密码机中完成，密钥和PIN的明码只能出现在密码机中，以防泄露。在联网成员中使用的硬件密码机应通过国家密码主管部门的审批。511密钥生成功能硬件密码机必须具备密钥生成功能。硬件密码机可以有选择地执行内部密钥产生函数。512密码运算5121密码体制在密码体制方面，硬件密码机应具备完整的安全保密体系结构和完善的密钥管理系统。根据联网联合应用业务需求，应采用对称密码体制对数据进行加密保护，签名和密钥交换根据需要可采用非对称密码体制。算法模式可以根据系统保密性和完整性需要，选用ECB、CBC、CFB和OFB中的一种或多种。5122密码算法硬件密码机使用的密码算法应通过国家密码主管部门审批。5123密钥长度密钥分为单字长和双字长密钥。单字长密钥长度为64位，双字长密钥长度为128位。选用单字长还是双字长密钥由各行自定。513支持PIN功能5131PIN的长度PIN的长度为6位（可扩展到12位）。5132PIN的格式PIN的格式应符合ANSIX98标准中PIN的两种格式之一：（1）ANSIX98 Format（不带主账号信息）（2）ANSIX98 Format（带主账号信息）PIN的格式（格式a或格式b）必须在报文的域53（SECURITYRELATEDCONTROLINFORMAON）中标明。514支持MAC功能全国银行卡网络eC域选择采用系统约定的方式，MAC算法采用CBC模式。5141MAC报文域的选择51411金融类报文对于金融类报文，应严格按照报文交换格式定义中规定的域进行选择，以下域出现或条件成立时，就应该包含在MAC计算中。表1金融类报文格式序号域域名属性说明10Message-type-identifiern4报文类型22Primary-account-numbern.19（nPAN）主账号33Processing-coden6交易处理码44Amount-of-Transactionsn12交易金额57Transmission-date-and-timen10交易传输时间611System-trace-audit-numbern6系统跟踪号718Merchants-typen4商户类型825Poinl-of-service-cochtion-coden2服务点条件码932Acquiring-institution-identification-coden.11(LLVAR)代理机构标识码1033Forwording-institution-identification-coden.11(LLVAR)发送机构标识码1138Authonzation identification-responsean6授权标识应答码1239Response-codean2应答码1341Card-acceptor-terminal-identificationans8受卡方终端标识码1442Card-acceptor-identification-codeans15受卡方标识码1590Original-data-elementsn20原始数据元其中：Messagetypeidentifier：报文类型0100授权请求0200金融交易请求0110授权完成响应0210金融交易请求响应0220金融交易通知0420代理方撤销通知0422发卡方撤销通知0230金融交易通知响应0430代理方撤销通知响应0432发卡方撤销通知响应；Primaryaccountnumber：主账号，内容为两位的PAN长度PAN；Acquiringinstitutionidentificationcode：代理机构标识码，内容为两位的长度（08）8位机构标识；Forwordinginstitutionidentificationcode：发送机构标识码，内容为两位的长度（08）8位机构标识；Originaldataelements：原始数据元，域90的前20位，内容为：orgmessagetype n4 原始报文类型orgsystemtracenumber n6 原始报文跟踪号orgtlansnllssiondaetimen10原始报文的交易传输时间。51412对账类报文对账类报文只要出现以下域，就应该包含在MAC计算中：表2对账类报文格式序号域域名属性说明10Messagetypeidentifiern4报文类型27transmissiondateandtimen10交易传输时间311systemtraceauditnumbern6系统跟踪号466Settlementcoden1清算代码582Processingfeeamountofcreditsn12贷记服务费金额684Processingfeeamountofdebitsn12借记服务费金额786Amountofcreditsn16贷记金额887Reversalamountofcreditsn16冲正贷记金额988Amountofdebitsn16借记金额1089Reversalamountofdebitsn16冲正借记金额1197Amountofnetsettlementxn16净清算额其中：Messagetypeidentifier：报文类型0520代理方对账通知0522发卡方对账通知0530代理方对账通知响应0532发卡方对账通知响应；Amountofnetsettlement：净清算额，内容为1位符号位（C贷记D借记）16位数字的净清算额。51413密钥管理类报文密钥管理报文指重置密钥请求及其应答报文。其MAC由如下域组成：表3 密钥管理类报文格式序号域域名属性说明10Messagetypen4报文类型27Transmissiondateandtimen10交易传输时间311Systemtraceauditnumbern6系统跟踪号439Responsecodean2应答码553Securityrelatedcontrolinformationn16安全控制信息码670Networkmanagementinformationcoden3网络管理信息码7100Receivinginstitutionidentificationcoden.11(LLVAR)接收机构标识码其中：Messagetypeidentifier：报文类型0800网络管理报文0810网络管理报文响应；Securityrelatedcontrolinformation：安全控制信息码，内容为：1000000000000000（重置PIN密钥PIK），2000000000000000（重置MAC密钥MAK）；Networkmanagementinformationcode：网络管理信息码，内容为“101”；Receivinginstitutionidentificationcode：接收机构标识码，内容为两位的长度（08）8位机构标识。5142MAC域的构成规则MAC域的构成将根据bitmap中报文是否含有5141中描述的域来确定。上述域只要出现在报文中，应截下送入WIC计算域；域和域之间应插入一个空格。51421MAC字符的选择对所选择的MAC报文域，应进一步作字符处理。除去一些冗余信息，以提高MAC的质量。处理方法如下：在域和域之间插入一个空格；所有的小写字母转换成大写字母；除了字母（AZ），数字（09），空格，逗号（，）和点号（）以外的字符都删去；删去所有域的打头空格和结尾空格；多于一个的连续空格，由一个空格代替。51422 构成MAB数据从报文中选择出来后，经MAC字符选择处理，然后构成MAB。构成MAB的方法是：将MAC字符选择处理后的数据按64BIT划分成64BIT的块，一直划分到数据的最后一块，它的位数小于或等于64BIT，不满64BIT时用“NULL”填充。5143MAC的计算当下列情况发生时，不需计算MAC就认为MAC计算失败：报文上没有时间域；时间失效；报文标识越界；密钥无效。在发出报文前，首先从报文中截取MAC所需的报文域，然后进行MAC字符选择处理，再构成MAB并计算出MAB的长度。成员机构应将MAB、长度、MAk的值输入到硬件加密机中，产生MAC并将MAC随报文一起发送。当收到报文后，应首先作MAC鉴别。如果产生的新MAC与传送的MAC致，则接受报文，否则MAC鉴别失败，报文被拒绝。51431联机报文的MAC计算方法（1）普通交易MAC域（128域）是按照规定的算法计算MAC得到的8字节二进制数据的前半部分（4字节二进制数），表示成16进制字符串形式（8个16进制字符）。（2）重置密钥重置密钥请求和应答报文的MAC计算所用的密钥为新下发的密钥，切换PIN密钥时也用新下发的PIN密钥作为密钥计算MAC。MAC域（128域）是按照规定的算法计算MAC得到的8字节二进制数据的前半部分（4字节二进制数）和按照规定的算法计算Check Value得到的8字节二进制数据的前半部分（4字节二进制数）的组合（8字节二进制数）。Check Value计算方法是用密钥对8个字节的二进制0按照规定的算法进行运算。51432双信息批文件的MAC计算方法文件末尾有MAK和MAC两个字段，每个字段都是16个字节长的字符串，字段之间没有分隔符，其后没有结束符，这两个字符串中每个字符都必须是16进制字符（即09、AF且AF必须大写），用于表示8个字节的MAC密钥和8个字节的MAC，采用这种表示方式是为了方便显示，使文件不至于含有不可打印的字符。MAK为生成文件时随机产生的密钥，这里是用机构主密钥加密的密文。MAC分成左右两部分，生成方法如下：将整个文件（不含MAK和MAC）以256字节为一组分组，结尾不满256字节补二进制0；把各组按位异或（XOR）构成256字节的数据块；前128字节按照规定的算法计算MAC，取结果的前半部分（4字节二进制数据），将其表示成16进制字符串形式（8个16进制字符），即为文件MAC字段的前半部分；同样，将256字节的数据块的后半部分按照规定的算法计算MAC，取结果的前半部分（4字节二进制数据），将其表示成16进制字符串形式（8个16进制字符），即为文件MAC字段的后半部分。515密码机内部保护密码机加电后，应自动执行以下自检：密码算法测试、软件固件完整性测试、关键功能测试和随机数生成器统计测试。在进行自检时禁止输出任何数据，成功通过所有测试后，输出相应状态指示。密码机应具备能探测到非授权的物理访问、使用和修改的物理安全机制，必须提供作为篡改证据的材料。对密码机进行物理维护时，所有明文形式存在的秘密密钥、私钥和其他关键安全参数都应立即零化。如果密码机有任何门或可拆除封盖，则须包含篡改响应和零化电路系统。一旦打开门或拆去封盖，该电路系统应立即零化所有明文形式存在的秘密密钥、私钥和其他未受保护的关键安全参数。只要密码机内包含明文密钥和其他未受保护的关键安全参数，零化电路系统就应处于工作状态。如果密码机带有任何通风口或缝，则应设计成可防止对封闭层内部的物理探测（如，至少需要90的弯头或堵塞物）。密码机还应具备抗能量分析、计时分析、错误感应、电磁干扰等攻击的能力。516性能要求5161接口支持根据应用需要，应支持以下接口中的一个或多个：V24RS232CV35RS422SNA Full-Duplex LUOSNA APPCX25100MEthernetTCPIP5162处理速度DES运算速度应不低于5000次s；1024比特RSA的加解密速度不低于10Mbps；其他算法应作相应的换算。5163稳定性要求密码机系统平均无故障时间（MTBF）应大于20000小时，断电时内部密钥保存时间应大于3年。5164工作环境密码机应通过GBT13543中规定的关于温度（包括高温和低温）、湿度、冲击和震动等方面的环境实验。52密钥管理联网联合业务中使用三层密钥结构，第一层称为主密钥（MK）、第二层称为成员主密钥（MMK）和第三层称为数据密钥，数据密钥又分为PIN密钥（PIK）和MAC密钥（MAK）。密钥管理是对所有密钥的产生、分发和接收、使用、存储、更新、销毁等方面进行管理。521密钥生成5211主密钥（MK）的生成主密钥应由多重控制方式生成。一般采用人工方式，由三名密钥保官员背向将三部分密钥组件（密文）分别输入密码机，输入完毕，由密码机产生主密钥（MK）。三名密钥保管员应来自本机构不同部门。应制定密钥保管制度，防止密钥组件的丢失和泄露。5212成员主密钥（MMK）的生成成员主密钥用于数据密钥在线更新时加密数据密钥，因此，成员主密钥应由并仅由需通信的双方使用。成员主密钥包括：总中心保存所有与之通信的各行内中心、城市（区域）中心及其他联网成员的成员主密钥；各行内中心保存其与总中心通信的成员主密钥和与其所有分行通信的成员主密钥；各入网银行分支机构保存其与本行行内中心通信的成员主密钥、与城市（区域）中心通信的成员主密钥以及与之相连的所有POS终端和ATM终端的成员主密钥。成员主密钥应由多重控制方式生成。一般采用人工方式，由来自不同机构或部门的两人背向将两部分密钥组件分别输入密码机，输入完毕，由密码机生成成员主密钥（MMK）。两部分密钥组件应由来自不同机构或部门的两人分别保管，并采取有效措施防止密钥组件的丢失和泄露。5213数据密钥的生成数据密钥由密码机自动随机生成。522 密钥分发和接收主密钥不分发。成员主密钥应采用脱机方式分发。成员主密钥生成后，构成密钥的两部分密钥组件应在双人控制之下放在不同的密封信封内，分别递交给通信另一方指定的两名负责密钥的人员。接收方收到密钥组件后，应立即检验包装完整性，生成密钥后应立即测试其有效性，并妥善保存密钥组件。初始数据密钥以明文形式人工下发或可用成员主密钥加密后以密文形式下发，初始数据密钥生效之后，立即做一次联机重置，以后日常数据密钥用成员主密钥加密后以密文形式联机分发。523 密钥存储主密钥必须存储在密码机中。成员主密钥可存储在密码机中或以主密钥加密存储在主机中。数据密钥以成员主密钥加密存储在主机中。524密钥使用主密钥用于加密成员主密钥。成员主密钥用于加密数据密钥。数据密钥用于加密PIN及产生MAC。525密钥更新除密钥泄露或可能泄露外，主密钥和成员主密钥一般不更新。若出现主密钥和成员主密钥泄露，应采用与初次生成相同的控制方式产生新的主密钥和成员主密钥。数据密钥必须经常更换，在正常情况下，每日更换一次。必要时可采用人工触发方式更换密钥或在任意时刻响应联网成员的申请重置密钥。数据密钥的联机更新应由负责管理密钥的人员操作，对密钥每次的接收时间、接收情况以及接收者姓名等资料应留有记录，并存档保管。526密钥资料销毁在主密钥生成后，或在出现系统更新、密钥组件存储方式改变等情况时，不再使用的密钥组件或相关信息的资料（如以纸质或IC卡等方式存储的介质）应及时销毁。密钥资料应该在双人控制下由保管员负责销毁，销毁的密钥资料应保证无法被恢复，且密钥组件不被泄露。密钥资料销毁的情况应记录在案，包括销毁的时间、负责人员、监销人等信息。销毁记录由销毁人和监销人签字后与相关资料一同保存。53银行卡前置设备银行卡前置设备一般位于各入网银行内部网络的对外接口处，承担一定程度的网络隔离作用。银行卡前置设备应具备的安全功能包括数据包的过滤、网络访问控制、生成审计日志等。531信息流控制银行卡前置设备应能够设置和执行信息流过滤策略，仅接受来自合法地址和端口的访问。银行卡前置设备应仅允许访问内部相关主机的相关端口。532访问控制银行卡前置设备应能够对不同用户设置和执行不同的访问控制策略。系统以网段、安全区等形式划分成不同的安全区域，分别执行不同的安全策略。应以建立分级授权体系、多层控制体系、分权控制等方式实施访问控制。533安全审计银行卡前置设备应对出入网络接口的数据产生审计日志。银行卡前置设备应对不成功的鉴别尝试产生审计日志。审计日志应仅接受授权用户的访问。审计日志应受到保护以防止非授权的删改。审计日志至少应保存一周以上。54终端机具银行卡联网联合系统内的终端机具主要包括POS和ATM。541终端机具内密码模块的管理和控制5411密码模块的标准所有类型的密码模块均应符合国家密码主管部门的规定和相关标准。在操作环境中明文的PIN和明文密钥应仅存在于专门设计的密码模块中。5412密码模块的管理在密钥被调用前应确定密码模块未被非授权修改或替换。应限制对密码模块的物理访问，防止非授权拆卸、替换、修改等。5413密码模块的修改检测当检测到可疑的密钥更换时，应确保不安装密钥直到确认密码模块在物理上或功能上未被非授权修改过。542终端机具的密钥管理密钥管理对象是对PIN加密的密钥和对PIN加密密钥加密的密钥。5421一般控制密钥仅用于单一目的，如PIN的加密密钥PIK不能用作密钥加密的密钥，或其他数据加密的密钥（如MAK）。禁止同一密钥用在多个PIN输入设备上（偶然情况除外）。应确保通信双方共享的密钥不会与其他通信方共享。应确保清除或销毁不再使用的加密密钥或密钥组件。5422密钥生成应采用多重控制和秘密分割原理产生终端机具主密钥。应确保除非已知密钥组件的所有知识，否则不能确定密钥的任何有效比特。应确保密钥和密钥组件产生是随机性的，以防使用弱密钥。5423密钥存储应保证密钥以下列方式之一存在：（1）在密码模块中（2）加密形式（3）采用多重控制和知识分割原理管理应确保受托保护各密钥组件安全的人适当保护组件，以防其他人得到这些密钥组件。POS应至少能存储10组密钥。5424密钥更新在双重控制下安装密钥时，应确保密钥组件仅可在密码模块中合成密钥。终端机具主密钥一般不更新。数据加密密钥应每天更新，如遇密钥不同步等异常情况时应及时进行密钥重置。5425密钥更换出现密钥泄露情况时，应采取以下行动：（1）更换被泄露的密钥（2）更换由该密钥加密的或由其导出的密钥（3）采用多重控制和知识分割原理管理5426密钥分发为确保明文密钥组件的安全传送，应采取以下方法之一防止泄露：（1）分别放在防篡改包装中传递（2）放在物理安全的密码模块中传递为防泄露密钥或密钥组件，应制定密钥或密钥组件安全传递到密码模块的保护程序，这些程序可能是密码模块的外包装检查程序和载入过程的双重监控程序等。5427密钥备份密钥应在系统运行环境一致的少数几个地点存在，例如为灾难恢复或站点备份。543终端机具登录控制5431鉴别强度ATM的持卡人口令应达到6位数字。POS的操作员口令至少为4位数字，操作员的编号至少为2位数字或字母。5432鉴别保护输入的口令字不应回显。5433鉴别失败限制应限定持卡人口令字输入错误的最高次数。应限定终端操作员口令字输入错误的最高次数。55个人标识码（PIN）551PIN的特征加密过程由使用的明文PIN数据块格式应具有使不同账户的相同PIN值以相同密钥加密不一定得出同样结果的特征。552PIN的存储和传输应确保所有PIN在密码模块之外传输和保存时是加密的。553PIN的保护在任何程序中不得要求持卡人以口头或书面方式泄露其PIN。操作程序和终端设备的设计应使持卡人能够适当防止其他人看到其输入的PIN。56网络561物理安全5611网络设备（含安全设备）的机械与电气安全应符合相应的产品标准；5612网络中计算机场地应满足国家标准GBT2887和GBT9361的要求。562逻辑安全5621网络系统的安全规划与安全设备配置应满足安全需求，具有防范大多数攻击的能力；5622网络系统应具有对攻击和高技术犯罪的监视、跟踪和控制能力；5623网络系统应具有完善、合理的安全管理策略；5624安全设备（例如密码机、防火墙等）具有完备的自身保护措施和对被保护网络的保护能力。563系统安全5631应确保参与全国银行卡网络的各运行系统的操作系统安全，至少应达到国家标准GB17859第二级要求；5632应用系统（含数据库管理系统）应具备足够的安全措施，其安全级别不低于国家标准GBT183363所规定评估保证级3的要求；5633网络系统应完善的防病毒措施，包括安装有防病毒系统和制定有一整套规章制度；5634网络系统应具备入侵检测能力、备份恢复能力和应急响应能力。6银行卡联网联合安全管理为防止交易数据丢失、泄密以及由于持卡人、特约商户或银行内部的原因产生的交易和资金风险，保障银行卡跨行交易的正常运行，各联网成员应从业务、技术管理等方面采取风险防范和安全管理措施。61信用管理611资信审查6111资信审查是发卡行对申领银行卡的单位、个人及其担保者的基本条件、信誉、经济状况等方面进行的全面审核及调查。6112各发卡行应建立并执行严格的资信审查制度，严把资信审查关，降低银行卡业务风险。（1）对已经列入“不良持卡人”的申请方或担保方，发卡行应拒绝发放银行卡，并对其已经持有的银行卡及时进行止付处理。（2）严防使用假身份证骗领银行卡。612风险控制6121发卡行应及时对已经或将要形成风险的银行卡进行止付处理，控制风险的进一步扩大。6122对屡次形成风险的不良持卡客户，发卡行应及时将其列入共享的不良持卡人系统。6123在跨行ATM取款交易中，收单行只能根据发卡行的授权答复受理，不得办理ATM脱机取款业务。62卡片管理621防伪6211限国内通用的人民币贷记卡必须在指定位置加贴“银联”标识的全息防伪标志。6212银行卡磁道信息中应包含加密校验数据。622银行卡生命周期管理为确保银行卡的安全，必须对银行卡整个生命周期进行严格管理。卡的生命周期管理涉及到卡的设计、制造、运输、存储、个人化、使用、终止和销毁等环节。6221银行卡的设计、制造应在安全保密的场所进行，该场地应执行严格的出入控制；6222在存储、运输银行卡时，应采取保护措施；6223银行卡的个人化由发卡行负责，应严格依据有关保密程序并在密钥控制下进行；6224银行卡在个人化之前不能发行；6225为确保在卡使用过程中PIN和其他关键安全参数的安全，除发卡行或得到发卡行授权外，其他任何人和机构不得修改和复制卡面及磁条信息；6226卡的终止由发卡行依据严格的控制程序进行；6227卡片销毁应统一进行并由专人负责。623卡片生产商管理6231银行卡的生产企业在产品开发、制造、储存和运输过程中，都必须严格遵守“银联”标识卡生产企业安全管理指南中人员管理、安全设施、生产流程和数字安全管理、产品的储存和运输等方面的要求。6232凡进入中国银行卡市场的卡片生产企业必须通过“银联”标识卡生产企业安全管理指南的认证。624 银行管理6241发卡行对空白卡片、已打未发卡、作废卡应入库保管，领卡及入库时应办理登记手续。6242空白卡片、已打未发卡和作废卡丢失，应立即向当地公安机关报案。“已打未发卡”丢失或被盗，应及时对该卡进行止付处理。6243对“作废卡”应定期销毁。625吞没卡处理6251ATM吞卡（1）跨行交易中，除因终端故障或持卡人超时不取卡引起的吞卡情况外，收单行只能在收到发卡行止付指令的情况下，ATM才做吞卡处理。（2）吞没卡的业务处理参照银行卡联网联合业务规范相应章节执行。（3）收单行应于吞没卡损毁次日通过银行卡信息交换中心（或以传真方式）通知发卡行。6252商户没收卡收单行应要求其特约商户在发生下述情形之一时，通过合理方式没收卡，并取消交易。（1）该银行卡为止付卡；（2）索取授权时，发卡行给出没收卡的指令；（3）其他需要没收卡的情况。商户没收卡后，应尽快通知收单行。63商户管理631不良商户管理6311收单行应对特约商户严格管理和监控，并对存在与持卡人勾结诈骗银行资金等欺诈行为的商户予以强制退出，防止诈骗风险。6312收单行应及时将强制退出的商户列入不良商户名单，各商业银行在两年内不得与不良商户再次签约及提供银行卡业务。632商户受理6321特约商户收银员受理银行卡交易时，应从以下内容审核该银行卡的合法性和完整性：（1）持卡人使用的是已入网的银行卡；（2）卡片没有“样卡”字样；（3）卡片没有被打洞、剪角、折断、涂改或毁坏的痕迹；（4）信用卡交易，须审查卡的有效期、彩照卡上的照片；（5）借记卡交易或发卡行要求输入密码的交易，必须输入个人密码；（6）应对卡片的防伪标识进行识别；（7）收单行培训的其他内容。6322特约商户收银员如发现持卡人与彩照卡上的照片不一致或签购单签字与卡片签名条签字不符时，应拒绝受理并及时与收单行联系处理。6323如果POS屏幕提示发卡行要求没收卡时，收银员应按照没收卡有关规定进行处理。64机具管理641伪终端收单行的银行卡应用系统应具备终端校验的功能，对联网终端进行校验。642终端安全6421ATM所在环境中应有明显标志，标明提醒客户安全保管密码、勿遗忘银行卡和打印凭证等提示文字。6422ATM、POS等银行卡受理终端应具有防拆、防改造和加密等安全措施，防止银行卡磁条信息及持卡人密码被窃取。6423终端软件应采用安全、可靠