PCI PIN标准相关截止时间的解读以及近期重要信息分享

于 2024-03-05 16:27:36 发布
阅读量1.8k 收藏 43
点赞数 24
文章标签: PCI PIN Technical FAQ atsec 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54957825/article/details/136469608
版权

作者:atsec 张志鹏 2024年3月

关键词:PCI PIN,Technical FAQ,截止时间,Fixed Key,Key Block,Modified PED,HSM,密钥组件/分量,Visa PIN Security Program,MPOC

众所周知,个人识别码(PIN)数据用于在终端发出的授权x请求中对持卡人进行身份验证。PIN仅由十进制数字组成。PIN码也经常被大家俗称为信用卡的密码。因此,PIN码属于机密性最高的支付认证数据。PCI标委会针对PIN数据保护专门出台了用于保护PIN数据以及相关密钥数据的安全标准 “PCI PIN安全要求和测试程序(PCI PIN Security Requirements and Testing Procedures)”。该标准包含一套完整的安全要求,用于在ATM和销售点(POS)终端进行联机和脱机支付卡交易处理期间,对个人识别码(PIN)数据进行安全管理、处理和传输。该标准适用的机构包括但不限于:收单机构、收单机构的商户、收单机构的代理服务商、处理PIN交易的机构、提供相关密钥管理功能的机构、支持PIN输入设备的机构等。对于PCI PIN标准的介绍,可以参考之前文章“PCI PIN Security标准简介”。

本文重点对PCI PIN标准提及的一些安全要求点的截止时间进行了解读,并介绍了近两年来产业内关于PCI PIN标准的一些重要信息。

一、PCI PIN标准中几个安全要求点截止时间的解读

当前遵循的PCI PIN的标准现行版本是2021年3月所发布的安全标准“PCI_PIN_Security_Requirements_Testing_v3_1_202103”,虽然主标准近三年没有做更新,但是主标准中有些安全要求提及的截止时间点(例如2023年1月1日、2024年1月1日),导致在执行PCI PIN评估中的评估标准也发生了变化。此外,PCI标委会通过不定期的更新Technical FAQ文档“PCI_PIN_Technical_FAQs_v3_December_2023“,对产业内持续产生的一些疑问做了澄清和解答。Technical FAQ文档在这三年里更新了13次。当前最新版本的FAQ是2023年12月发布的v3版本。这里笔者综合上述两篇文档以及产业内的最佳实践,针对近两年的产业内常见问题,给出了以下解读。

1. 关于2-2的解读,标准原文如下:

结合PCI PIN的Technical FAQ中对该要求的答疑,有以下解读:

  • 自2023年1月1日起,不允许POI设备使用基于TDEA算法的固定密钥方案进行PIN加密保护。
  • 自2023年1月1日起,不允许针对主机到主机的PIN加密保护,使用基于TDEA算法的固定密钥方案。
  • 固定密钥方案是一种交易密钥管理方法,是指固定的交易密钥用于交易处理,所有的交易都使用同一个密钥,直到加载新的固定密钥。除非使用最初加载密钥的相同技术,否则无法更改此密钥。固定交易密钥可以物理加载(使用KLD加载或使用密钥组件/分量加载),也可以使用非对称技术远程加载。
  • 主密钥/会话密钥管理方案(MK/SK),是一种使用密钥加密密钥(也称为主密钥)管理交易密钥的方法,主密钥用于加密以分发新的或替换的密钥加密密钥、派生密钥和/或会话密钥(例如,PIN加密密钥)。该方法也称为主密钥/交易密钥方法。

基于当前的行业实践,强调一下,对于那些用于机构和机构之间的PIN保护密钥也要注意此问题。如果PIN保护密钥还在使用基于TDEA算法的固定密钥方案,那么需要升级TDEA算法到更强的算法(如AES128),或者废除固定密钥方案,使用主密钥/会话密钥方案。

2. 关于13-9的解读,标准原文如下:

结合PCI PIN的Technical FAQ中对该要求的答疑,有以下解读:

  • 自2021年1月1日起,对于那些基于PC的密钥加载方法,如果该方法导致明文密钥和/或私钥材料会以明文形式出现在SCD安全边界之外的内存中,则不再允许实体使用此类方法。该截止日期是针对代表其他机构进行密钥注入的场景。
  • 自2023年1月1日起,以上同样的限制生效于支付处理机构自身进行密钥注入的场景。
  • 针对在密钥生成过程中,使用了PC设备并且明文密钥材料通过了PC内存中的场景,在2023年1月1日后,也是禁止使用的。
  • 使用了修改的PED设备(Modified PED)作为密钥加密设备时,修改的PED设备也被视为PC同类设备。即使PED设备曾经通过了PCI认证,修改的PED设备也不视为SCD设备。明文密钥材料也不可以通过其内存。此类修改的PED设备不被作为是SCD,除非它通过了KLD级别的PCIPTS验证。
  • 对于那些通过PC上的终端模拟软件来加载/注入明文密钥或私钥的组件/分量的场景,在2023年1月1日后,也是禁止使用的。
  • 关于在安全房以外,手动抄写明文密钥组件/分量的情况,标准是允许的,但是需要满足以下要求:
    • 明文密钥组件/分量仅允许显示在PCI批准或FIPS批准的SCD(例如HSM 或KLD)的集成显示屏上。密钥组件/分量绝不能出现在SCD或硬件管理设备 (HMD) 防篡改边界之外的内存中。
    • 该过程在ISO 13491-2定义的受控或更高环境中执行。
    • 必须遵循双重控制和分裂知识的原则。
    • 监控摄像机的安装位置必须确保它们不会监控任何用于输入密码/验证码或其他验证凭证的明文密钥材料、密码锁、密码键盘或键盘;否则,密钥保管员必须将其身体放置在遮挡监控的位置。
  • 自2024年1月1日起,在对生产中使用的任何HSM(即使位于满足标准63要求的安全房中)加载明文密钥和私钥的密钥组件/分量时,必须使用SCD通过以下方式之一进行加载:
    • 1)使用SCD设备对HSM做相关加载,例如PCI批准的KLD,
    • 2)PCI批准的远程管理解决方案,或
    • 3)通过集成键盘输入密钥材料,该键盘专为某些HSM型号上可能存在的安全输入而设计。

在方法2)和3)适用的情况下,明文密钥和私钥的密钥组件/分量的加载还可能涉及与方法2)和3)结合使用硬件管理设备 (HMD),如Smart card。

3. 关于18-3的解读,标准原文如下:

结合PCI PIN的Technical FAQ中对该要求的答疑,有以下解读:

  • 对于Phase2的情况,涉及和外部机构之间的配合。服务提供商必须在截止日期2023年1月1日之前为所有支持Key block的外部机构实施Key block方案。当其他机构改造为支持Key block时,服务提供商必须有能力及时为其实施Key block方案。
  • “ASC X9 TR 31: Interoperable Secure Key Exchange Key Block Specification” (简称 TR31)已被ANSI归类为“历史”,“X9.143 Retail Financial Services: Interoperable Secure Key Block Specification”(简称:X9.143)是较新的版本。所有对TR31的引用都已更新为X9.143。简单理解就是使用X9.143的说法代替了TR31的说法。目前在FAQ的新版本中已经使用ANSI X9.143代替了TR31的说法。这样就带来一个问题,生成支持TR31的SCD是否还符合规范要求。笔者认为此类情况仍可以视为合规情况,原因有两点:一是因为X9.143是TR31规范的新版,其中对于Key block部分的定义没有大的调整,二是PCI PIN标准中说明了对于Key block的实现,X9.143并不是唯一的实现,可以使用ANSI X9.143或任何等效方法。基于前几年业界普遍认可TR31的格式,因此认为支持TR31的SCD仍然是符合规范要求的。

4. 关于32-9的解读,标准原文如下:

结合PCI PIN的Technical FAQ中对该要求的答疑,有以下解读:

  • 自2024年1月1日起,针对新部署的POI v5以及更高版本设备的密钥注入,只能使用密文密钥注入的方式。该截止日期是针对代替其他支付处理机构进行密钥注入的场景。
  • 自2026年1月1日起,以上同样的限制生效于支付处理机构自身进行密钥注入的场景。
  • 对于POI v4及更早版本的设备,将继续允许将明文密钥注入设备,直到支付品牌强制要求停止使用任何此类设备。
  • 对于针对那些在2024年1月1日前已经部署的POI v5设备,并且该设备不满足密文密钥注入的功能要求的,如果是次要版本更新,该设备可以继续不满足密文密钥注入的功能要求。如果是主要版本更新部署到设备上,则必须将密文密钥注入的功能更新进该设备。
  • 针对现有商家已部署的POI v5或以上的设备,如果该设备尚不支持密文密钥注入,也尚未对其软件进行必要更新以支持加密密钥加载,则仍然可以使用非加密方法进行明文密钥注入。如果服务提供商在新商家/合法实体合作时或现有商家进行主要软件更新时,展示出POI v5及更高版本设备的加密密钥加载能力,则视为满足标准329的要求。此外,QPA必须在PIN的ROC报告中写明相关加密密钥加载的解决方案。
  • 对于先前部署的设备进行维修或类似更换,以及扩展现有部署等场景,仍然可以使用明文密钥注入的方案。对于新的商家或实体,不允许采用明文密钥加载的方案。

二、行业重要信息分享

除了PCI PIN标准本身的解读,在此也更新行业内的两个重要信息。

1. MPOC标准中提出PCI PIN的相关需求

在PCI标委会发布的MPOC标准中说明,如果MPOC所使用的Back-end system涉及了PIN数据处理或PIN加密密钥管理,那么该系统必须符合PCI PIN的安全要求。原文如下:

2. Visa PIN安全体系的完结(Sunset)

2023年8月1日,VISA发布声明“Visa PIN Security Program Will Be Sunset”,宣布了自2023年10月1日起,Visa取消Visa PIN安全计划“Visa PIN Security Program Guide”,并且不再主动验证PCI PIN安全要求。需要强调的是,Visa更新合规计划的决定并不是对PCI PIN标准重视程度的降低。Visa作为卡品牌之一,不再单独提出详细的PIN安全计划,更多的是从整体产业提出相关安全合规要求,比如产业监管机构、各个收单机构或者合作机构,以及PCI安全标准委员会。产业机构应一如既往达到相关标准合规,从而呈现PIN处理的安全性。

客户、处理商和服务提供商仍需要按照产业相关机构的要求和最佳实践遵守PCI PIN安全要求。PCI PIN安全合规性证明需要合格的PIN评估员 (QPA)来测试和评估要求和控制,并且应至少每2年进行一次。请查看Visa PIN安全计划更新备忘录以了解更多详细信息。参考链接为:Visa PIN Security Program Update Memo

附录:参考文档和链接

  1. PIN Security Requirements and Testing Procedures v3.1: https://docs-prv.pcisecuritystandards.org/PIN/Standard/PCI_PIN_Security_Requirements_Testing_v3_1.pdf
  2. PTS PIN Technical Frequently Asked Questions v3.0: https://docs-prv.pcisecuritystandards.org/PIN/Frequently%20Asked%20Questions%20(FAQ)/PCI_PIN_Technical_FAQs_v3_December_2023.pdf
  3. PIN Security Rqmt 18-3 Key Blocks Information Supplement:https://docs-prv.pcisecuritystandards.org/PIN/Supporting%20Document/PIN_Security_Rqmt_18-3_Key_Blocks_2022_v1.1.pdf
  4. Visa PIN Security Program Update:https://usa.visa.com/content/dam/VCOM/global/partner-with-us/documents/visa-pin-program-memo.pdf
  5. Mobile Payments on COTS Security and Test Requirements v1.0.1 :https://docs-prv.pcisecuritystandards.org/MPoC/Standard/Mobile_Payments_on_COTS-v1-0-1.pdf
  6. atsec: www.atsec.cn

atsec
关注
  • 24
    点赞
  • 43
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
博客
atsec增加Swift CSP评估资质
08-06 282
atsec信息安全评估员现已被Swift列为Swift客户安全计划(CSP:Customer Security Programme)认证评估员目录中的评估提供商,可以帮助全球金融机构评估其针对CSP强制性和咨询性控制的合规级别。在金融行业,Swift要求使用其消息平台的金融机构接受独立评估提供商的评估,以加强围绕其金融消息服务的安全生态系统。
博客
Guiding the Way through the World of Cyber Security
08-06 553
It is atsec’s firm belief that effective security assurance can only truly be accomplished when the product developers proactively incorporate security requirements they thoroughly understand.
博客
First SP800-140Br1 Compliant FIPS 140-3 Certificates
07-15 709
​On July 11th, 2024, the first three FIPS 140-3 certificates forNIST’s SP800-140Br1pilot program were posted on the NIST website. atsec information security was one of the labs that took part in the pilot program.
博客
Changes Coming to NIAP Entropy Assessment Reports in 2025
06-17 494
Recently, NIAP announced that Entropy Assessment Reports (EARs) must include a NIST Entropy Source Validation (ESV) certificate starting at the turn of the year on January 1st, 2025.
博客
支付卡产业最新发布PCI DSS v4.0.1
06-13 498
自2022年3月PCI DSS v4.0发布以来,受到全球支付产业高度关注,为了解决来自所有产业相关者的反馈和问题,PCI安全标准委员会(PCI SSC)发布了该标准的修订版PCI DSS v4.0.1。其中包括对格式和印刷错误的更正,也澄清了一些要求和指南的重点和意图。本修订版中没有附加或删除的要求内容。
博客
BSI NESAS CCS-GI Scheme Updates
06-11 867
We'd like to inform our customers and partners that the German Federal Office for Information Security (BSI) recently published new documents approving the use of additional Security Assurance Specifications (SCAS).
博客
EUCC and Cybersecurity Certification in Europe
04-24 580
​The European Union Agency for Cybersecurity (ENISA) hosted acybersecurity certification conferenceon April 18, 2024, in Brussels, Belgium. The conference very much focused on the implementation of the EUCC - European Cybersecurity Certification Scheme.
博客
atsec Adds FIDO Evaluation Qualification
04-11 504
atsec information security (branded as “atsec”) has been qualified by the FIDO Alliance as one of the FIDO Accredited Security Laboratories to evaluate the authenticator products.
博客
atsec AB first IEEE 2621 Accredited Medical Device Testing Facility
04-08 534
atsec AB Stockholm, Sweden is thrilled to announce: We are the first IEEE Authorized Testing Facility!
博客
BREAKING NEWS: c@tsec information security Unveils Revolutionary Quantum Computer
04-01 868
April 1, 2024 – Austin, TX: In a groundbreaking announcement today, c@tsec information security, a subsidiary of atsec information security, and the leader in quantum computing technology, proudly unveils its latest innovation: the Quantum PurrProcessor™.
博客
XDRGB - Random Bit Generator using any XOF
03-28 381
Resulting from a joint collaboration between John Kelsey (NIST), Stefan Lucks (Bauhaus-Universität Weimar, Germany) and Stephan Müller (atsec information security), a new deterministic random bit generator (DRBG) is published.
博客
PCI产业概述和产业发展动态分享
03-25 686
我们是从商户购买商品或服务的“支付卡的持卡人”,商户向收单机构发送支付交易数据,收单机构通过卡组织的支付网络向发卡机构发送支付业务数据。发卡机构是实际向持卡人发卡的机构,持卡人执行支付交易时,发卡机构都会向商户的收单银行提供交易授权或拒绝。收单机构和发卡机构需要交换支付信息来完成交易的过程称为“清算”(Clearing)。商户银行(收单机构)为持卡人的购买向商户付款以及持卡人的银行(发卡机构)向持卡人开具账单的过程称为“结算”(Settlement)。
博客
PCI DSS针对恶意脚本防范的新要求及其方案探讨
03-19 1591
2022年3月,支付卡行业安全标准委员会(PCI SSC)公布了PCI DSS v4.0版本。新的PCI DSS版本中引入了有关恶意脚本防范的新要求,特别是条款6.4.3和条款11.6.1。本文旨在探讨条款6.4.3和11.6.1的具体技术要求、对信息安全的影响以及如何实施其安全方案以满足这两项新要求。
博客
Happy Pi Day
03-14 416
To All our Math lover colleagues, Happy Pi Day.
博客
Crypto Module Bootcamp 2024
03-11 861
On Tuesday, February 27, 2024, atsec information security hosted a free day-long hybrid event on the Concordia University campus in Austin, TX.
博客
来自atsec的节日祝福!
12-21 459
全体atsec团队祝福我们的同事、客户、合作伙伴以及供应商圣诞快乐,新年快乐。
博客
A FIPS 140-3 compliant hybrid KEM algorithm
12-06 1574
In addition to the sole use of Kyber KEM, a hybrid mechanism using X25519 can be devised that acts as a drop-in replacement for Kyber KEM.
博客
PQC: Kyber and Dilithium - State of the (Draft) Standards
11-21 184
On November 15 2023 NIST announced that the three algorithms will be available for testing at the ACVP Demo service.
博客
atsec at the PCI Community Meeting 2023
11-17 131
atsec participated in the PCI (Payment Card Industry) Security Standards Council 2023 Asia-Pacific Community Meeting held in Kuala Lumpur, Malaysia, on 15 and 16 November and hosted a booth.
博客
atsec at the International Common Criteria Conference 2023
11-01 426
As in previous years, atsec is attending the International Common Criteria Conference, this time in Washington DC from October 31st to November 2nd 2023.
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值