この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) は、各国の標準化団体 (ISO メンバー団体) の世界的な連合です。国際規格の作成作業は、通常、ISO 技術委員会を通じて行われます。技術委員会が設立された主題に関心のある各会員団体は、その委員会に代表される権利を有します。 ISOと連携して、政府および非政府の国際機関もこの作業に参加しています。 ISO は、電気技術の標準化に関するすべての問題について、国際電気標準会議 (IEC) と緊密に協力しています。
この文書の開発に使用された手順と、今後の維持のために意図された手順は、ISO/IEC 指令で説明されています。 1. 特に、さまざまなタイプの ISO 文書に必要なさまざまな承認基準に注意する必要があります。この文書は、ISO/IEC 指令の編集規則に従って作成されました。 2 ( www.iso.org/directives を参照)
このドキュメントの一部の要素が特許権の対象となる可能性があることに注意してください。 ISO は、そのような特許権の一部またはすべてを特定する責任を負わないものとします。ドキュメントの開発中に特定された特許権の詳細は、序文および/または受信した特許宣言の ISO リストに記載されます ( www.iso.org/patents を参照)
このドキュメントで使用されている商号は、ユーザーの便宜のために提供された情報であり、保証を構成するものではありません。
適合性評価に関連する ISO 固有の用語および表現の意味に関する説明、および技術的貿易障壁 (TBT) における ISO の WTO 原則への準拠に関する情報については、次の URL を参照して ください 。
この文書を担当する委員会は、ISO/TC 68, 金融サービス、小委員会 SC 2, 金融サービス、セキュリティです。
ISO 9564 は、次の部分で構成されており、一般的なタイトルは「金融サービス — 個人識別番号 (PIN) の管理とセキュリティ」です。
- Part 1: カードベースのシステムにおける PIN の基本原則と要件
- Part 2: PIN 暗号化の承認済みアルゴリズム
- Part 4: e コマースでの支払いトランザクションの PIN 処理の要件
序章
eコマース環境は本質的にリスクが高いです。これは特に PIN ベースのトランザクションに当てはまります。この環境で PIN のセキュリティが不十分な場合、カードと PIN のデータが不正に取得され、ATM, POS, または e コマース環境で再利用される可能性が高くなるからです。
カード所有者は、e コマース トランザクションを実行するために、任意のネットワーク アクセス デバイス (NAD) を使用します。 ISO 9564-1 では、PIN を NAD に入力することを禁止しています。
ISO 9564 のこの部分では、e コマース環境で PIN の入力に使用される許容可能なデバイスの最小セキュリティ要件と慣行を定義しています。
- ISO 9564-1 に準拠したデバイス (PED);
- ISO 9564-1 に準拠していないが、IC カード専用の PIN エントリ (FSPED) 用の機能的に安全なデバイス。
- ISO 9564-1 に準拠していないが、キーパッドとディスプレイが統合された IC カード (ICCPED) であるデバイス。
1 スコープ
ISO 9564 のこのパートは、e コマースでの個人識別番号 (PIN) の使用に関する要件を規定しています。範囲内の PIN は、カードベースの金融取引でカード所有者の確認手段として使用されるものと同じカード所有者 PIN です。特に、現金自動預け払い機 (ATM) システム、販売時点管理 (POS) 端末、自動燃料ディスペンサー、および自動販売機。
これは、PIN の検証を必要とする金融カードで発生した取引、および電子商取引での PIN の管理技術の実装を担当する組織に適用されます。
ISO 9564 のこの部分の規定は、
- オンライン バンキング、テレフォン バンキング、デジタル ウォレット、モバイル決済などで顧客認証に使用されるパスワード、パスコード、パスフレーズ、およびその他の共有シークレット
- リテール バンキング システムでのカード所有者確認の手段として使用するためのカード所有者 PIN の管理/ISO 9564-1 でカバーされているシステムの変更
- 携帯電話やキーフォブなどのカードプロキシ、
- ISO 9564-2 でカバーされている PIN 暗号化の承認済みアルゴリズム
- 顧客または発行者の許可された従業員による紛失または意図的な誤用に対する PIN の保護、
- 非 PIN 取引データのプライバシー、
- 改ざんまたは置換に対するトランザクション メッセージの保護 (オンライン認証応答など)
- トランザクションのリプレイに対する保護、
- PIN 入力以外の発行者機能に関連する PIN 入力に使用されるデバイスの機能、
- 特定の鍵管理技術、および
- ウォレットなどのアプリケーションによる PIN 以外のカード データへのアクセスと保存。
2 参考文献
以下の文書の全体または一部は、この文書で規範的に参照されており、その適用に不可欠です。日付のある参考文献については、引用された版のみが適用されます。日付のない参照については、参照文書の最新版 (修正を含む) が適用されます。
- ISO 9564-1, 金融サービス — 個人識別番号 (PIN) の管理とセキュリティ — 1: カードベースのシステムにおける PIN の基本原則と要件
3 用語と定義
このドキュメントでは、次の用語と定義が適用されます。
3.1
取得者
カードアクセプタから取引に関連する財務データを取得し、そのようなデータを交換システムに投入する機関またはその代理人
3.2
妥協
<cryptography> 機密性および/または完全性の侵害
3.3
コンタクトICリーダー
カードを接触型ICリーダーに挿入して、物理的な接続を介して接触型ICリーダーとICカードの間の通信を確立する必要があるICカードのリーダー。
3.4
eコマース
オープンネットワークを介した製品またはサービスの売買
3.5
暗号化
理解できるデータ (平文) を理解できない形式 (暗号文) に変換する
3.6
機能的に安全な PIN 入力デバイス
FSPED
- 接触型ICリーダー、
- 統合された数字キーパッド、および
- 英数字表示
注記 1 FSPED は、ISO 9564-1 の意味での PED ではない。
3.7
集積回路カード
ICC
ICカード
ID-1 カード タイプ。ISO/IEC 7816 (すべての部分) で指定され、1 つまたは複数の集積回路が挿入されています。
3.8
集積回路カード PIN エントリ デバイス
ICCPED
ID-1 カード タイプは、ISO/IEC 7816 (すべての部分) で指定されているように、1 つまたは複数の集積回路が挿入されているが、さらに自己給電型であり、PIN を使用する目的でキーパッドとディスプレイ機能を統合しています。 OTT オフラインを生成する
注記 1:これらの種類のデバイスを記述する規格は開発中です (参考文献 [8] を参照)
注記2 ICCPEDはISO 9564-1の意味でのPEDではない
3.9
発行者
プライマリ口座番号 (PAN) で識別される口座を保有する機関
注記 1:この規格では、発行者への言及は、カードや PIN の発行、PIN の検証、取引承認などの発行者の機能を実行するなど、発行者に代わって行動するエージェントにまで及ぶ場合があります。
3.10
ネットワーク アクセス デバイス
NAD
パソコン、テレビ、携帯電話、さらには家庭用電化製品など、オープン ネットワーク経由でパブリック エンドポイントへのアクセスを許可できるデバイス
注記 1: ISO 9564-1 で定義されている、IP 接続を備え、限られた数のアクワイアラにアクセスが制限されている POS デバイスは、NAD ではありません。
3.11
オープンネットワーク
公共用通信網
例:
インターネット、携帯電話ネットワーク。
3.12
個人識別番号
ピンコード
カード所有者と発行者の間の共有秘密として確立された数字の文字列。その後、承認されたカードの使用を検証するために使用されます。
3.13
暗証番号入力装置
ペッド
PIN の安全な入力を提供する、9564-1 で指定されているデバイス
3.14
主要口座番号
パン
ISO/IEC 7812-1 で定義されているように、カード発行者とカード所有者を識別する割り当てられた番号。発行者識別番号、個々のアカウント ID, および付随するチェック ディジットで構成されます。
3.15
ワンタイムトークン
OTT
PIN 入力に応答して IC カードによって暗号的に生成され、FSPED によってオプションでフォーマット (例えば、10 進数化および/または切り捨て) された認証データ
参考文献
| [1] | ISO/IEC 7810:2003, ID カード — 物理的特性 |
| [2] | ISO/IEC 781, 識別カード — 記録技法 |
| [3] | ISO/IEC 7812-1, 識別カード — 発行者の識別 — 1: 番号付けシステム |
| [4] | ISO/IEC 7812-2, 識別カード — 発行者の識別 — 2: 申請・登録手続き |
| [5] | ISO/IEC 7813:2006, 情報技術 - ID カード - 金融取引カード |
| [6] | ISO/IEC 7816-1:2011, 識別カード — 集積回路カード — 1: コンタクト付きカード — 物理的特性 |
| [7] | ISO 13491-1, バンキング — 安全な暗号化デバイス (小売) — 1: 概念、要件および評価方法 |
| [8] | ISO/IEC 18328-1, ID カード — ICC 管理デバイス — 1: 一般的な枠組み |
| [9] | ISO/IEC 18328-2, 情報技術 — ICC 管理デバイス — 2: デバイス付きカードの物理的特性とテスト方法 |
| [10] | ISO/IEC 18328-3, ID カード — ICC 管理デバイス — 3: 交流のための組織、セキュリティ、コマンド |
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies (ISO member bodies). The work of preparing International Standards is normally carried out through ISO technical committees. Each member body interested in a subject for which a technical committee has been established has the right to be represented on that committee. International organizations, governmental and non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, 1. In particular the different approval criteria needed for the different types of ISO documents should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, 2 (see www.iso.org/directives ).
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of any patent rights identified during the development of the document will be in the Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents ).
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation on the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO's adherence to the WTO principles in the Technical Barriers to Trade (TBT) see the following URL: Foreword - Supplementary information
The committee responsible for this document is ISO/TC 68, Financial services, Subcommittee SC 2, Financial Services, security.
ISO 9564 consists of the following parts, under the general title Financial services — Personal Identification Number (PIN) management and security:
- Part 1: Basic principles and requirements for PINs in card-based systems
- Part 2: Approved algorithms for PIN encipherment
- Part 4: Requirements for PIN handling in eCommerce for Payment Transactions
Introduction
The eCommerce environment is inherently high-risk. This is especially true for PIN-based transactions because if PIN security in this environment is deficient, there is a high probability, in some cases, that card and PIN data might be fraudulently captured and reused in the ATM, POS or eCommerce environments.
For conducting eCommerce transactions, cardholders use network access devices (NAD) of their choice. ISO 9564-1 prohibits PINs from being entered on NADs.
This part of ISO 9564 defines minimum security requirements and practices for acceptable devices used for the entry of the PINs in the eCommerce environment:
- devices that are compliant with ISO 9564-1 (i.e. PEDs);
- devices that are not compliant with ISO 9564-1 but are functionally secure devices for PIN entry (FSPED) for exclusive use with IC cards;
- devices that are not compliant with ISO 9564-1 but are IC cards with integrated keypad and display (ICCPED).
1 Scope
This part of ISO 9564 provides requirements for the use of personal identification numbers (PIN) in eCommerce. The PINs in scope are the same cardholder PINs used as a means of cardholder verification in card-based financial transactions; notably, automated teller machine (ATM) systems, point-of-sale (POS) terminals, automated fuel dispensers, and vending machines.
It is applicable to financial card-originated transactions requiring verification of the PIN and to those organizations responsible for implementing techniques for the management of the PIN in eCommerce.
The provisions of this part of ISO 9564 are not intended to cover
- passwords, passcodes, pass phrases and other shared secrets used for customer authentication in online banking, telephone banking, digital wallets, mobile payment, etc.,
- management of cardholder PINs for use as a means of cardholder verification in retail banking systems in, notably, automated teller machine (ATM) systems, point-of-sale (POS) terminals, automated fuel dispensers, vending machines, banking kiosks and PIN selection/change systems, which are covered in ISO 9564-1,
- card proxies such as mobile phones or key fobs,
- approved algorithms for PIN encipherment, which are covered in ISO 9564-2,
- the protection of the PIN against loss or intentional misuse by the customer or authorized employees of the issuer,
- privacy of non-PIN transaction data,
- protection of transaction messages against alteration or substitution, e.g. an online authorization response,
- protection against replay of the transaction,
- functionality of devices used for PIN entry which is related to issuer functions other than PIN entry,
- specific key management techniques, and
- access to, and storage of, card data other than the PIN by applications such as wallets.
2 Normative references
The following documents, in whole or in part, are normatively referenced in this document and are indispensable for its application. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
- ISO 9564-1, Financial services — Personal Identification Number (PIN) management and security — 1: Basic principles and requirements for PINs in card-based systems
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
3.1
acquirer
institution, or its agent, that acquires from the card acceptor the financial data relating to the transaction and initiates such data into an interchange system
3.2
compromise
<cryptography> breaching of confidentiality and/or integrity
3.3
contact IC reader
reader of an IC card that requires the insertion of the card into the contact IC reader to establish communication between the contact IC reader and the IC card through a physical connection
3.4
eCommerce
buying and selling of products or services over open networks
3.5
encipherment
transformation of intelligible data (plaintext) into an unintelligible form (ciphertext)
3.6
functionally secure PIN entry device
FSPED
- a contact IC reader,
- an integrated numeric keypad, and
- an alpha-numeric display
Note 1 to entry: An FSPED is not a PED in the sense of ISO 9564-1.
3.7
integrated circuit card
ICC
IC card
ID-1 card type, as specified in ISO/IEC 7816 (all parts) into which one or more integrated circuits have been inserted
3.8
integrated circuit card PIN entry device
ICCPED
ID-1 card type, as specified in ISO/IEC 7816 (all parts) into which one or more integrated circuits have been inserted, but which additionally is self-powered, has integrated keypad and display capabilities, for the purpose of using a PIN to generate an OTT offline
Note 1 to entry: Standards that describe these kinds of devices are under development (see Reference [8]).
Note 2 to entry: An ICCPED is not a PED in the sense of ISO 9564-1
3.9
issuer
institution holding the account identified by the primary account number (PAN)
Note 1 to entry: For this standard, references to an issuer may extend to an agent acting on the issuer’s behalf, e.g. performing issuer functions such as card and PIN issuance, PIN verification and transaction authorization.
3.10
network access device
NAD
device capable of allowing access to public endpoints via an open network, e.g. personal computer, TV, mobile phone or even household appliances
Note 1 to entry: POS devices as defined in ISO 9564-1 with IP connectivity with access restricted to a limited number of acquirers are not NADs.
3.11
open network
communications network for public use
EXAMPLE:
Internet, mobile phone networks.
3.12
personal identification number
PIN
string of numeric digits established as a shared secret between the cardholder and the issuer, for subsequent use to validate authorized card usage
3.13
PIN entry device
PED
device, as specified in 9564-1, providing for the secure entry of PINs
3.14
primary account number
PAN
assigned number that identifies the card issuer and cardholder, composed of an issuer identification number, individual account identification and accompanying check digit, as defined in ISO/IEC 7812-1
3.15
one-time token
OTT
authentication data cryptographically generated by the IC card in response to PIN entry and optionally formatted (e.g. decimalized and/or truncated) by the FSPED
Bibliography
| [1] | ISO/IEC 7810:2003, Identification cards — Physical characteristics |
| [2] | ISO/IEC 7811 (all parts), Identification cards — Recording technique |
| [3] | ISO/IEC 7812-1, Identification cards — Identification of issuers — 1: Numbering system |
| [4] | ISO/IEC 7812-2, Identification cards — Identification of issuers — 2: Application and registration procedures |
| [5] | ISO/IEC 7813:2006, Information technology — Identification cards — Financial transaction cards |
| [6] | ISO/IEC 7816-1:2011, Identification cards — Integrated circuit cards — 1: Cards with contacts — Physical characteristics |
| [7] | ISO 13491-1, Banking — Secure cryptographic devices (retail) — 1: Concepts, requirements and evaluation methods |
| [8] | ISO/IEC 18328-1, Identification cards — ICC-managed devices — 1: General framework |
| [9] | ISO/IEC 18328-2, Information technology — ICC-managed devices — 2: Physical characteristics and test methods for cards with devices |
| [10] | ISO/IEC 18328-3, Identification card — ICC-managed devices — 3: Organization, security and commands for interchange |