この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
3 用語、定義、略語
このドキュメントの目的のために、次の用語、定義、および略語が適用されます。
ISO と IEC は、次のアドレスで標準化に使用する用語データベースを維持しています。
3.1 TPP事業
3.1.1
支払取引
支払人(3.1.9) と 受取人(3.1.8) の間の基本的な義務とは別に、資金を配置、転送、または引き出す行為
[出典: ISO 12812‑1:2017, 3.40]
3.1.2
支払い口座
支払いトランザクション (3.1.1) の実行に使用される、 支払いサービス ユーザー (3.1.7) の名前で保持されるアカウント
注記 1: ISO 21741 の元の定義は、「支払いトランザクションの実行に使用される、1 人または複数の支払いサービス ユーザーの名前で保持されるアカウント」です。ただし、本書では、1 人の決済サービス利用者が 1 つのアカウントを保有する場合のみを考慮しています。
[出典: ISO/TR 21941:2017, 3.1.7, 修正 — エントリに注 1 が追加されました。]
3.1.3
第三者支払い
TPP
少なくとも 1 つの 仲介 TPPSP (3.1.5) を含む 支払いトランザクション (3.1.1 )
3.1.4
中級
サプライ チェーン内の顧客、供給業者、または当局にサービスを提供する営利団体
注記 1:顧客は 支払いサービスの利用者 (3.1.7) であり、 支払人 (3.1.9) または販売者などの 受取人 (3.1.8) である場合があります。
[出典: ISO/TS 24533:2012, 2.31, 修正 — エントリの注 1 が修正されました。]
3.1.5
サードパーティの支払いサービス プロバイダー
TPPSP
ASPSP (3.1.6) 自体ではない TPP (3.1.3) サービスを提供する決済サービス プロバイダー
- a) 「TPP」は本文書で定義されたビジネスモードであるため、「第三者決済サービスプロバイダー」の省略形は「TPP」ではなく「TPPSP」と明確化されました。
- b) 「アカウント サービス決済サービス プロバイダー」の代わりに短縮形 ASPSP が使用されます。
- c) 「TPP」には「支払開始サービス」が含まれるため、「支払開始サービス」という用語は「TPP」に変更されました。
- d) 「口座の口座情報サービス」は、TPPと密接な関係がないため削除。
[出典: ISO/TR 21941:2017, 3.1.11, 修正 — エントリに注 1 が追加されました。]
3.1.6
アカウント サービス決済サービス プロバイダー
ASPSP
決済サービス 利用者 (3.1.7) のために 決済アカウント (3.1.2) を提供し維持する決済サービスプロバイダー
注記 1: ISO/TR 21941:2017 では、ASPSP は「支払者の支払口座の提供と維持」のみとして定義されています。このドキュメントのコンテキストでは、ASPSP は、決済サービス ユーザーの決済口座を開設および維持する銀行またはその他の機関である可能性があります。
[出典: ISO/TR 21941:2017, 3.1.3, 修正 — エントリに注 1 が追加されました。]
3.1.7
決済サービス利用者
PSU
支払人(3.1.9) 、 受取人(3.1.8) 、またはその両方の立場で決済サービスを利用する自然人または法人
注記 1:一般に、決済サービスの利用者は、TPP 情報システムのエンド ユーザーです。
注記 2:一般に、受取人は商人または商品やサービスを直接提供することなくお金を受け取る人です。このドキュメントでは、必要に応じて、それぞれ販売者と受取人を呼びます。
注記 3:決済サービスの利用者が自然人である場合、この決済サービスの利用者は PII プリンシパル (3.1.10) と見なされます。
[出典: ISO/TR 21941:2017, 3.1.2, 変更 — エントリに注 1, エントリに注 2, エントリに注 3 を追加]
3.1.8
受取人
支払い取引の対象となった資金の受取人である個人または法人 (3.1.1)
[出典: ISO 12812-1:2017, 3.38]
3.1.9
支払人
支払い取引を承認する個人または法人 (3.1.1)
[出典: ISO 12812-1:2017, 3.39]
3.1.10
個人を特定できる情報
PII
i) その情報が関係する PII プリンシパル (3.1.11) を特定するために使用できる情報、または ii) PII プリンシパルに直接的または間接的にリンクされている、またはリンクされている可能性がある情報
注記 1: PII プリンシパルが識別可能かどうかを判断するには、データを保持するプライバシー利害関係者またはその他の当事者がその自然人を識別するために合理的に使用できるすべての手段を考慮する必要があります。
[出典: ISO/IEC 29100:2011, 2.9, 修正]
3.1.11
PII プリンシパル
PII (3.1.10) が関係する自然人
注記 1:法域および特定のデータ保護とプライバシーに関する法律によっては、「PII プリンシパル」という用語の代わりに「データ主体」という同義語を使用することもできます。
[出典: ISO/IEC 29100:2011, 2.11, 修正 — 「PII」の完全な指定、つまり「個人を特定できる情報」は、定義から削除されました。]
3.1.12
資格情報
識別 (3.1.16) および/または 認証 (3.1.17) の目的で 決済サービス ユーザー (3.1.7) に提供されるデータ
注記 1: 「顧客に提供されるデータ」の代わりに「決済サービス利用者に提供されるデータ」という表現が使用されるため、この文書の文脈では定義がより明確になります。
注記2 「識別および/または認証」の表現は、定義を明確にするために「識別/認証」を置き換えます。
[出典: ISO 12812-1:2017, 3.10, 修正 — エントリに注 1 とエントリに注 2 が追加されました。]
3.1.13
クレデンシャルキャリア
クレデンシャル(3.1.12) を保存および送信するために ペイメントサービスユーザー(3.1.7) が保持する個人用デバイス
注記 1:最新技術のサポートの下で、クレデンシャルは複数のクレデンシャル キャリアに格納できますが、クレデンシャル キャリアは複数のクレデンシャルを格納できます。
注記 2:クレデンシャル キャリアは、スタンドアロン デバイスまたは 支払い手段の一部である場合があります (3.1.19) 。
例:
TPPSP は、デジタル証明書を格納した USB キーを支払者に発行します。この場合、USB キーは TPPSP クレデンシャル キャリアです。
3.1.14
ASPSP資格
ASPSP (3.1.6) によって提供され、 支払いサービスのユーザー (3.1.7) によって使用される 資格情報 (3.1.12 )
3.1.15
TPPSP クレデンシャル
TPPSP (3.1.5) によって提供され、 支払いサービスのユーザー (3.1.7) によって使用される 資格情報 (3.1.12 )
3.1.16
身元
エンティティを識別する属性を認識するプロセス
注記 1: TPP ビジネスでは、エンティティは通常、 決済サービスのユーザーです (3.1.7) 。
[出典: ISO 22300:2021, 3.1.117, 修正 — エントリに注 1 が追加されました]
3.1.17
認証
指定された、または理解されたレベルの保証で実体または属性を裏付けるプロセス
[出典: ISO 22300:2021, 3.2.8, 修正 — 注記 1 および 2 を削除]
3.1.18
強力な顧客認証
認証 (3.1.17) 知識 (ユーザーのみが知っているもの)、所有 (ユーザーのみが所有するもの)、および固有 (ユーザーが所有するもの) として分類される 2 つ以上の要素の使用に基づく認証 (3.1.17) 1 つが他の信頼性を損なうことはなく、認証データの機密性を保護するように設計されています。
[出典: ISO/TR 21941:2017, 3.1.5, 修正]
3.1.19
支払いツール
決済サービス利用者 (3.1.7) と決済サービス提供者の間で合意され、決済注文を開始するために使用される個人化されたデバイスおよび/または一連の手順
注記 1: TPP の文脈では、決済サービスプロバイダーは TPPSP です。
[出典: ISO/TR 21941:2017, 3.1.9, 修正 — エントリに注 1 が追加されました。]
3.2 TPP情報システム
3.2.1
情報システム
アプリケーション、サービス、情報技術資産、またはその他の情報処理コンポーネントのセット
[出典: ISO/IEC 27000:2018, 3.35]
3.2.2
TPP事業情報システム
TPP-BIS
TPPSP (3.1.5) のビジネス機能を有効にし、 TPPSP クレデンシャル (3.1.15) に基づいて 支払いトランザクション (3.1.1) を処理する 情報システム (3.2.1 )
3.2.3
ASPSP ゲートキーパー
ASPSP (3.1.6) によって実装され、関連する規制および技術要件を遵守する TPPSP (3.1.5) に入場が制限されることを保証する機能
3.2.4
TPPSP ゲートキーパー
TPP-BIS (3.2.2) へのアクセス制御サービスを実行する TPPSP (3.1.5) によって実装される機能
注記 1: TPPSP ゲートキーパーは、TPP-BIS に対する攻撃を防止および緩和することによって TPP プラットフォームを保護し、メッセージがトランザクション チャネルを介して転送される間、 信頼できるチャネル (3.3.9) を設定することができます。
3.2.5
TPPエージェント情報システム
TPP AIS
情報システム (3.2.1) は、多国間 TPPSP (3.1.5) から 支払取引 (3.1.1) の要求を受信し、それらを多国間 ASPSP (3.1.6) に転送し、次に ASPSP から応答を受信し、それらを関連する TPPSP
注記 1: TPP-AIS が共通の金融インフラとして構築される場合、TPP-AIS は CASS (3.2.6) に直接接続し、その支払トランザクション ログに基づいて清算情報を配信することができます。
注記 2: TPP 全体として、TPP-AIS は内部コンポーネントと見なすことができます。ただし、TPP-AIS は一般にどの TPPSP または ASPSP にも属しません。 TPP-AIS の運用は、TPPSP および/または ASPSP が所有する情報システムから独立しています。
3.2.6
決済システム
キャス
銀行間の資金清算と資金移動を担当するシステム
注記 1: CASS は即時資金清算を提供する場合があります。また、バッチ決済を提供することもできます。この場合、資金決済は従来の期間で完了できます。
3.2.7
トラストセンター
信頼できるメカニズムを実装するエンティティ
注記 1:トラストセンターは、トラステッドチャネルとトラステッドパスの両方の確立を容易にすることができます。ただし、信頼できるチャネルと信頼できるパスの両方を確立するための前提条件ではありません。
3.2.8
TPP決済端末
TPPSP の クレデンシャル キャリア ( 3.1.13) と対話して TPPSP クレデンシャル (3.1.15) を取得し、 支払いトランザクション (3.1.1) を実行するために使用される端末装置。
注記 1: TPP 決済端末は、 決済サービス利用者 (3.1.7) 、加盟店、またはその両方が操作するさまざまなデバイスに実装することができます。
3.3 TPP のセキュリティ
3.3.1
センシティブな支払いデータ
データには、 TSF データ (3.3.10) と ユーザー データ (3.3.11 ) の両方が含まれ、不正の実行に使用される可能性があります。
注記 1: TPPSP (3.1.5) の活動については、口座所有者の名前と口座番号は機密の支払いデータを構成しません。
注記 2: ASPSP クレデンシャル (3.1.14) と TPPSP クレデンシャル (3.1.15) は、2 種類の TSF データです。
注記 3:定義と注記 1 の両方が、ISO/TR 21941:2017, 3.1.10 に基づいて書き直され、ISO/IEC 15408-1:2009 のコンテキストに適合するようになりました。実際、保護されたエンティティには一貫性があります。
[出典: ISO/TR 21941:2017, 3.1.10, 修正 — 注記 2 と注記 3 を追加]
3.3.2
セキュリティ目標
識別された脅威に対抗する、および/または識別された組織のセキュリティポリシー、前提条件、またはその両方を満たすという意図の声明
[出典: ISO/IEC 15408-1:2009, 3.1.60, 修正]
3.3.3
資産
TOE (3.3.4) の所有者がおそらく価値を置くエンティティ
[出典: ISO/IEC 15408-1:2009, 3.1.2, 修正]
3.3.4
評価対象
TOE
ソフトウェア、ファームウェア、ハードウェア、または 3 つすべての組み合わせのセットで、場合によってはガイダンスを伴う
[出典: ISO/IEC 15408-1:2009, 3.1.70, 修正]
3.3.5
セキュリティの問題
TOE が扱うことを意図しているセキュリティの性質と範囲を正式な方法で定義するステートメント
- TOE によって対抗される脅威。
- TOE によって実施される OSP;
- TOE およびその運用環境のために維持される前提。
[出典: ISO/IEC 15408-1:2009, 3.1.61]
3.3.6
TOE セキュリティ機能
TSF
SFR (3.3.7) を正しく実施するために依存しなければならない TOE (3.3.4) のすべてのハードウェア、ソフトウェア、およびファームウェアの結合された機能。
[出典: ISO/IEC 15408-1:2009, 3.1.74]
3.3.7
セキュリティ機能要件
CHF
TOE (3.3.4) がそのリソースへのアクセスと使用、および TOE によって制御される情報とサービスを管理する規則を定義する要件。
3.3.8
信頼できるチャンネル
TSF (3.3.6) と別の高信頼 IT 製品が必要な自信を持って通信できる手段
[出典: ISO/IEC 15408-1:2009, 3.1.78]
3.3.9
コバートチャンネル
TOE (3.3.4) のマルチレベル分離ポリシーおよび非可観測性要件にユーザがひそかに違反することを可能にする、強制された違法なシグナリング チャネル。
[出典: ISO/IEC 15408-1:2009, 3.5.1]
3.3.10
信頼できるパス
利用者と TSF (3.3.6) が必要な信頼をもって通信できる手段
[出典: ISO/IEC 15408-1:2009, 3.1.80]
3.3.11
TSF データ
SFR (3.3.7) の実施が依存する TOE (3.3.4) の操作のためのデータ
[出典: ISO/IEC 15408-1:2009, 3.1.81]
3.3.12
ユーザーデータ
TSF の運用に影響を与えない利用者向けデータ (3.3.6)
[出典: ISO/IEC 15408-1:2009, 3.1.83]
3.3.13
保護プロファイル
pp
TOE (3.3.4) タイプのセキュリティニーズの実装に依存しないステートメント
[出典: ISO/IEC 15408-1:2009, 3.1.52, 修正 — 略語が追加されました。]
3.3.14
セキュリティ ターゲット
st
特定の識別された TOE (3.3.4) に対するセキュリティ ニーズの実装依存ステートメント
[出典: ISO/IEC 15408-1:2009, 3.1.63]
参考文献
| [1] | ISO/IEC 2382:2015, 情報技術 — 語彙 |
| [2] | ISO 4217:2015, 通貨の表現のためのコード |
| [3] | ISO 12812-1:2017, コア バンキング — モバイル金融サービス — Part 1: 一般的な枠組み |
| [4] | ISO/IEC 1540, 情報技術 — セキュリティ技術 — IT セキュリティの評価基準 |
| [5] | ISO/TR 21941, 金融サービス — サードパーティの決済サービス プロバイダー |
| [6] | ISO 22300:2021, セキュリティとレジリエンス — 語彙 |
| [7] | ISO/TS 24533:2012, インテリジェント輸送システム — 貨物の移動とそのインターモーダル転送を促進するための電子情報交換 — 道路輸送情報交換方法論 |
| [8] | ISO/IEC 27000:2018, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 概要と語彙 |
| [9] | ISO/IEC 29100:2011, 情報技術 - セキュリティ技術 - プライバシー フレームワーク |
3 Terms, definitions, and abbreviated terms
For the purposes of this document, the following terms, definitions, and abbreviated terms apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
3.1 TPP business
3.1.1
payment transaction
act of placing, transferring or withdrawing funds, irrespective of any underlying obligations between the payer (3.1.9) and the payee (3.1.8)
[SOURCE: ISO 12812‑1:2017, 3.40]
3.1.2
payment account
account held in the name of a payment service user (3.1.7) which is used for the execution of a payment transaction (3.1.1)
Note 1 to entry: The original definition in ISO 21741 is “account held in the name of one or more payment service users which is used for the execution of payment transactions”. However, only cases in which one account is held by one payment service user are considered in this document.
[SOURCE: ISO/TR 21941:2017, 3.1.7, modified — Note 1 to entry has been added.]
3.1.3
third-party payment
TPP
payment transaction (3.1.1) involving at least one intermediary TPPSP (3.1.5)
3.1.4
intermediary
commercial party who provides services to customers, suppliers or authorities within the supply chain
Note 1 to entry: The customer is the payment service user (3.1.7) , who may be a payer (3.1.9) or a payee (3.1.8) , such as a merchant.
[SOURCE: ISO/TS 24533:2012, 2.31, modified — Note 1 to entry has been revised.]
3.1.5
third-party payment service provider
TPPSP
payment service provider offering TPP (3.1.3) services where they are not the ASPSP (3.1.6) itself
- a) the abbreviated form of “third-party payment service provider” has been clarified as “TPPSP” instead of “TPP” because “TPP” is a business mode which has been defined in this document;
- b) the abbreviated form ASPSP is utilized instead of “account servicing payment service provider”;
- c) the term “payment initiation service” has been changed to “TPP” since the “TPP” contains “the payment initiation services”;
- d) “account information service on accounts” has been removed because it is not linked to TPP closely.
[SOURCE: ISO/TR 21941:2017, 3.1.11, modified — Note 1 to entry has been added.]
3.1.6
account servicing payment service provider
ASPSP
payment service provider providing and maintaining a payment account (3.1.2) for a payment service user (3.1.7)
Note 1 to entry: In ISO/TR 21941:2017, an ASPSP is defined as “providing and maintaining a payment account for a payer” only. In the context of this document, an ASPSP can be a bank or other institution which opens and maintains a payment account for the payment service user.
[SOURCE: ISO/TR 21941:2017, 3.1.3, modified — Note 1 to entry has been added.]
3.1.7
payment service user
PSU
natural or legal person making use of a payment service in the capacity of payer (3.1.9) , payee (3.1.8) or both
Note 1 to entry: Generally, a payment service user is an end user of a TPP information system.
Note 2 to entry: Generally, the payee is a merchant or a person who receives the money without offering goods or services directly. In this document they are called merchant and payee, respectively, if necessary.
Note 3 to entry: In situations where the payment service user is a natural person, this payment service user is deemed a PII principal (3.1.10) .
[SOURCE: ISO/TR 21941:2017, 3.1.2, modified — Note 1 to entry, Note 2 to entry and Note 3 to entry have been added.]
3.1.8
payee
person or legal entity who is the intended recipient of funds which have been the subject of a payment transaction (3.1.1)
[SOURCE: ISO 12812-1:2017, 3.38]
3.1.9
payer
person or legal entity who authorizes a payment transaction (3.1.1)
[SOURCE: ISO 12812-1:2017, 3.39]
3.1.10
personally identifiable information
PII
information that i) can be used to identify the PII principal (3.1.11) to whom such information relates or ii) is or is possibly directly or indirectly linked to a PII principal
Note 1 to entry: To determine whether a PII principal is identifiable, account should be taken of all the means which can reasonably be used by the privacy stakeholder holding the data, or by any other party, to identify that natural person.
[SOURCE: ISO/IEC 29100:2011, 2.9, modified]
3.1.11
PII principal
natural person to whom the PII (3.1.10) relates
Note 1 to entry: Depending on the jurisdiction and the particular data protection and privacy legislation, the synonym “data subject” can also be used instead of the term “PII principal”.
[SOURCE: ISO/IEC 29100:2011, 2.11, modified — The full designation of “PII”, i.e. “personally identifiable information”, has been removed from the definition.]
3.1.12
credential
data provided to the payment service user (3.1.7) for identification (3.1.16) and/or authentication (3.1.17) purposes
Note 1 to entry: The phrase “data provided to the payment service user” is used instead of “data provided to the customer” so that the definition is clearer in the context of this document.
Note 2 to entry: The expression of “identification and/or authentication” replaces “identification/authentication” in the definition to improve clarity.
[SOURCE: ISO 12812-1:2017, 3.10, modified — Note 1 to entry and Note 2 to entry have been added.]
3.1.13
credential carrier
personal device held by payment service user (3.1.7) to store and transmit credential(s) (3.1.12)
Note 1 to entry: Under supporting of the state of the art of technologies, a credential can be stored in more than one credential carrier while a credential carrier can store more than one credential.
Note 2 to entry: A credential carrier may be a standalone device or a part of a payment instrument (3.1.19) .
EXAMPLE:
A TPPSP issues a payer a USB key storing a digital certificate. In this case, the USB key is the TPPSP credential carrier.
3.1.14
ASPSP credential
credential (3.1.12) which is provided by ASPSP (3.1.6) and used by the payment service user (3.1.7)
3.1.15
TPPSP credential
credential (3.1.12) which is provided by TPPSP (3.1.5) and used by the payment service user (3.1.7)
3.1.16
identification
process of recognizing the attributes that identify an entity
Note 1 to entry: In TPP business, an entity generally is a payment service user (3.1.7) .
[SOURCE: ISO 22300:2021, 3.1.117, modified — Note 1 to entry has been added]
3.1.17
authentication
process of corroborating an entity or attributes with a specified or understood level of assurance
[SOURCE: ISO 22300:2021, 3.2.8, modified — Notes 1 and 2 to entry have been removed]
3.1.18
strong customer authentication
authentication (3.1.17) based on the use of two or more elements categorized as knowledge (something only the user knows), possession (something only the user owns) and inherence (something the user is) that are independent, in that the breach of one does not compromise the reliability of the others, and is designed in such a way as to protect the confidentiality of the authentication data
[SOURCE: ISO/TR 21941:2017, 3.1.5, modified]
3.1.19
payment instrument
personalized device(s) and/or set of procedures agreed between the payment service user (3.1.7) and the payment service provider and used in order to initiate a payment order
Note 1 to entry: In the context of TPP, the payment service provider is a TPPSP.
[SOURCE: ISO/TR 21941:2017, 3.1.9, modified — Note 1 to entry has been added.]
3.2 TPP information system
3.2.1
information system
set of applications, services, information technology assets or other information-handling components
[SOURCE: ISO/IEC 27000:2018, 3.35]
3.2.2
TPP business information system
TPP-BIS
information system (3.2.1) that enables business functions of TPPSP (3.1.5) and deals with payment transactions (3.1.1) based on TPPSP credentials (3.1.15)
3.2.3
ASPSP gatekeeper
function implemented by the ASPSP (3.1.6) that ensures that admittance is limited to TPPSP (3.1.5) who comply with the relevant regulatory and technical requirement
3.2.4
TPPSP gatekeeper
function implemented by TPPSP (3.1.5) that performs access control services to the TPP-BIS (3.2.2)
Note 1 to entry: The TPPSP gatekeeper can protect the TPP platform by preventing and mitigating the attack against the TPP-BIS and set up the trusted channel (3.3.9) while the message is transferred via the transaction channel.
3.2.5
TPP agent information system
TPP-AIS
information system (3.2.1) , that receives requests of payment transaction (3.1.1) from multilateral TPPSP (3.1.5) and forwards them to multilateral ASPSP (3.1.6) , then receives responses from the ASPSP and forwards them to the relevant TPPSP
Note 1 to entry: When the TPP-AIS is constructed as the common financial infrastructure, the TPP-AIS may directly connect with CASS (3.2.6) and deliver the clearing information based on their payment transaction log.
Note 2 to entry: Regarding TPP as a whole, TPP-AIS can be deemed an internal component. However, TPP-AISs do not belong to any TPPSP or ASPSP generally. The operation of the TPP-AIS is independent of the information systems owned by TPPSP and/or ASPSP.
3.2.6
clearing and settlement system
CASS
system responsible for inter-bank funds clearing and funds transfer
Note 1 to entry: CASS may provide instant funds clearing; it may also provide batch clearing, in which the funds clearing may be completed in a conventional period.
3.2.7
trust centre
entity implementing a trusted mechanism
Note 1 to entry: Trust centres can facilitate the establishment of both trusted channels and trusted paths. However, they are not a prerequisite for establishing both trusted channels and trusted paths.
3.2.8
TPP payment terminal
terminal equipment which is utilized in order to interact with a TPPSP’s credential carrier (3.1.13) to retrieve TPPSP credentials (3.1.15) and to perform payment transactions (3.1.1)
Note 1 to entry: The TPP payment terminal may be implemented in different devices operated by the payment service user (3.1.7) , the merchant or both.
3.3 TPP security
3.3.1
sensitive payment data
data, including both TSF data (3.3.10) and user data (3.3.11) , which can be used to carry out fraud
Note 1 to entry: For the activities of TPPSP (3.1.5) , the name of the account owner and the account number do not constitute sensitive payment data.
Note 2 to entry: The ASPSP credential (3.1.14) and TPPSP credential (3.1.15) are two kinds of TSF data.
Note 3 to entry: Both the definition and Note 1 to entry have been rewritten based on ISO/TR 21941:2017, 3.1.10, so as to fit the context of ISO/IEC 15408-1:2009. In fact, protected entities are consistent.
[SOURCE: ISO/TR 21941:2017, 3.1.10, modified — Note 2 to entry and Note 3 to entry have been added.]
3.3.2
security objective
statement of an intent to counter identified threats and/or satisfy identified organization security policies, assumptions or both
[SOURCE: ISO/IEC 15408-1:2009, 3.1.60, modified]
3.3.3
asset
entity that the owner of the TOE (3.3.4) presumably places value upon
[SOURCE: ISO/IEC 15408-1:2009, 3.1.2, modified]
3.3.4
target of evaluation
TOE
set of software, firmware, hardware or a combination of all three, possibly accompanied by guidance
[SOURCE: ISO/IEC 15408-1:2009, 3.1.70, modified]
3.3.5
security problem
statement which in a formal manner defines the nature and scope of the security that the TOE is intended to address
- threats to be countered by the TOE;
- the OSPs enforced by the TOE;
- the assumptions that are upheld for the TOE and its operational environment.
[SOURCE: ISO/IEC 15408-1:2009, 3.1.61]
3.3.6
TOE security functionality
TSF
combined functionality of all hardware, software and firmware of a TOE (3.3.4) that must be relied upon for the correct enforcement of the SFRs (3.3.7)
[SOURCE: ISO/IEC 15408-1:2009, 3.1.74]
3.3.7
security functional requirement
SFR
requirement defining the rule by which the TOE (3.3.4) governs access to and use of its resources, and thus information and services controlled by the TOE
3.3.8
trusted channel
means by which a TSF (3.3.6) and another trusted IT product can communicate with necessary confidence
[SOURCE: ISO/IEC 15408-1:2009, 3.1.78]
3.3.9
covert channel
enforced, illicit signalling channel that allows a user to surreptitiously contravene the multi-level separation policy and unobservability requirements of the TOE (3.3.4)
[SOURCE: ISO/IEC 15408-1:2009, 3.5.1]
3.3.10
trusted path
means by which a user and a TSF (3.3.6) can communicate with the necessary confidence
[SOURCE: ISO/IEC 15408-1:2009, 3.1.80]
3.3.11
TSF data
data for the operation of the TOE (3.3.4) upon which the enforcement of the SFR (3.3.7) relies
[SOURCE: ISO/IEC 15408-1:2009, 3.1.81]
3.3.12
user data
data for the user that does not affect the operation of the TSF (3.3.6)
[SOURCE: ISO/IEC 15408-1:2009, 3.1.83]
3.3.13
protection profile
PP
implementation-independent statement of security needs for a TOE (3.3.4) type
[SOURCE: ISO/IEC 15408-1:2009, 3.1.52, modified — the abbreviated term has been added.]
3.3.14
security target
st
implementation-dependent statement of security needs for a specific identified TOE (3.3.4)
[SOURCE: ISO/IEC 15408-1:2009, 3.1.63]
Bibliography
| [1] | ISO/IEC 2382:2015, Information technology — Vocabulary |
| [2] | ISO 4217:2015, Codes for the representation of currencies |
| [3] | ISO 12812-1:2017, Core banking — Mobile financial services — Part 1: General framework |
| [4] | ISO/IEC 15408 (all parts), Information technology — Security techniques — Evaluation criteria for IT security |
| [5] | ISO/TR 21941, Financial services — Third-party payment service providers |
| [6] | ISO 22300:2021, Security and resilience — Vocabulary |
| [7] | ISO/TS 24533:2012, Intelligent transport systems — Electronic information exchange to facilitate the movement of freight and its intermodal transfer — Road transport information exchange methodology |
| [8] | ISO/IEC 27000:2018, Information technology — Security techniques — Information security management systems — Overview and vocabulary |
| [9] | ISO/IEC 29100:2011, Information technology — Security techniques — Privacy framework |