JR∕T 0120.2-2016 银行卡受理终端安全规范 第2部分:受理商户信息系统(金融)
|
ID: |
0019078DFF184751B0245739975E001D |
|
文件大小(MB): |
0.32 |
|
页数: |
16 |
|
文件格式: |
|
|
日期: |
2021-12-21 |
|
购买: |
文本摘录(文本识别可能有误,但文件阅览显示及打印正常,pdf文件可进行文字搜索定位):
ICS 35.240.40,A 11,JR,中华人民共和国金融行业标准,JR/T 0120.2—2016,银行卡受理终端安全规范,第2 部分:受理商户信息系统,Security specification for bank card terminals—,Part 2:Merchant information system,2016-09-06 发布 2016-09-06 实施,中国人民银行 发布,JR/T 0120.2—2016,II,目 次,1 范围 1,2 规范性引用文件 .. 1,3 术语和定义 1,4 缩略语 . 3,5 信息系统数据安全 3,6 信息系统应用安全 5,7 信息系统密钥体系安全 .. 7,8 信息系统访问控制安全 .. 7,9 信息系统传输安全 9,10 信息系统的安全管理 .. 10,11 其他方面安全 .. 11,JR/T 0120.2—2016,III,前 言,JR/T 0120—2016《银行卡受理终端安全规范》由以下五个部分组成:,——第1部分:销售点(POS)终端;,——第2部分:受理商户信息系统;,——第3部分:自助终端;,——第4部分:电话支付终端;,——第5部分:PIN输入设备,本部分按照GB/T 1.1—2009 给出的规则起草,本部分为《银行卡受理终端安全规范》的第2部分,本部分由中国人民银行提出,本部分由全国金融标准化技术委员会(SAC/TC 180)归口,本标准负责起草单位:中国人民银行科技司、中国银联股份有限公司,本部分起草单位:中国工商银行、中国农业银行、中国银行、中国建设银行、交通银行、中国光大,银行、招商银行、中国邮政储蓄银行、中国金融电子化公司、中金金融认证中心有限公司、北京银联金,卡科技有限公司、银联商务有限公司、福建联迪商用设备有限公司、飞天诚信科技有限公司、无线网络,安全技术国家工程实验室、工业和信息化部计算机与微电子发展研究中心(中国软件评测中心)、信息,产业信息安全测评中心,本部分主要起草人:李伟、王永红、陆书春、李兴锋、杜宁、陈则栋、曲维民、汤沁莹、王禄禄、,吴永强、赵哲、贾铮、周皓、王兰、李伟(中国银联)、吴潇、张志波、潘润红、邬向阳、杨倩、刘运、,张晓欢、谭颖、严伟锋、曹宇、俞纹雯、周英斌、夏庆凡、王治纲、王伯铮、于华东、李同勋、冯健诚、,代伟、钱菲、李穗申、李石超、顾才泉、侯智勇、张晓琪、高志民、高强裔、李超、高峰、周诗扬、孙,茂增、马哲、尚可、胡盖、张俊江、蒋利兵、郭鑫、林眺、于海涛、白艳雷、李琴、宋铮、刘健、董晶,晶,JR/T 0120.2—2016,1,银行卡受理终端安全规范,第2部分:受理商户信息系统,1 范围,本部分规定了受理商户信息系统在数据、应用、密钥体系、访问控制、传输及管理等方面的安全要,求,本部分适用于存储、处理、传输持卡人数据的受理商户信息系统,2 规范性引用文件,下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文,件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件,JR/T 0001 银行卡销售点(POS)终端技术规范,JR/T 0002 银行卡自动柜员机(ATM)终端技术规范,JR/T 0120.1 银行卡受理终端安全规范 第1部分:销售点(POS)终端,3 术语和定义,JR/T 0001和JR/T 0002中界定的以及下列术语和定义适用于本文件,3.1,账户信息 account information,银行卡上记录的所有账户信息以及与银行卡交易相关的用户身份验证信息。记录在银行卡上的信息,包括:卡号、磁条信息、卡片验证码2。与银行卡交易相关的用户身份验证信息包括:网上业务、电话,银行、手机银行等业务中的用户注册名、密码、真实姓名、证件号码、联系方式等,3.2,交易信息 transaction information,银行卡在各类业务中的交易处理数据,数据内容视业务不同而有所不同。基本内容包括:卡号、密,码、磁条信息、卡片验证码2,3.3,卡片验证码2 card verified number(CVN2),在邮购/电话订购等非面对面交易中对银行卡的卡片合法性进行验证的代码,3.4,审核记录 audit trail,从信息处理设备中频繁采集的一组记录,这些记录表明某些活动的发生。这些记录可用来判定未授,权使用或试图操作设备的行为是否已经发生,JR/T 0120.2—2016,2,3.5,身份鉴别 authentication,用来验证身份或证实信息完整性的过程,3.6,信息 information,机构转移资金、设定等级、发放贷款、处理交易等所用的数据。这些数据可能是电子形式的,也可,以是在会议中口头提出的,写在纸张或其他任何媒介上的。包含处理系统的软件部分,3.7,不可逆加密 irreversible encryption,将原文转换成加密形式,但这种加密形式是不能还原的一种加密方式,3.8,公共网络 public network,普通大众都可以进入的网络,包括国际互联网和公共电话系统,3.9,静态密码 static password,用户记住的并能多次重复使用的密码。使用静态密码对身份的验证是通过检查用户已知信息来实现,的,3.10,动态密码 dynamic password,使用特定设备,如身份验证令牌等在一定时间内生成密码,该密码只能使用一次,不能重复使用,使用动态密码对身份的验证是通过检查用户知道的东西和他是否拥有某件东西来实现的,3.11,保密性 confidentiality,账户信息与交易数……
……