أيزو 9564

أيزو 9564 أوISO 9564 هو المعيار الدولي الخاص بإدارة رقم التعريف الشخصي (PIN) والأمن في الخدمات المالية.

يتم استخدام رمز PIN للتحقق من هوية العميل (مستخدم البطاقة المصرفية) ضمن نظام تحويل الأموال الإلكتروني، وذلك للتصريح بتحويل أو سحب الأموال. لذلك من المهم حماية أرقام التعريف الشخصية من الكشف أو سوء الاستخدام غير المصرح به. تتطلب الأنظمة المصرفية الحديثة قابلية التشغيل البيني بين مجموعة متنوعة من أيزو 9564، والبطاقات الذكية، وأجهزة قراءة البطاقات، ومصدري البطاقات، وتجار التجزئة – بما في ذلك نقل PINs بين تلك الكيانات – لذلك يلزم وجود مجموعة مشتركة من القواعد للتعامل مع PINs وتأمينها، لضمان التوافق الفني ومستوى الأمان المتفق عليه بشكل متبادل. يوفر ISO 9564 المبادئ والتقنيات لتلبية هذه المتطلبات.

تضم ISO 9564 ثلاثة أجزاء، ^{[Note 1]} تحت العنوان العام للخدمات المالية — إدارة وأمان رقم التعريف الشخصي (PIN).

الجزء 1: المبادئ والمتطلبات الأساسية لأرقام التعريف الشخصية في الأنظمة القائمة على البطاقات

تحدد المواصفة القياسية ISO 9564-1: 2011 ^[1] المبادئ والتقنيات الأساسية لإدارة أرقام التعريف الآمنة. ويشمل كلا من المبادئ العامة والمتطلبات المحددة.

المبادئ الأساسية

تتضمن المبادئ الأساسية لإدارة PIN:

يجب تنفيذ وظائف إدارة PIN في البرامج والأجهزة بطريقة لا تسمح بتعديل الوظيفة دون الكشف عنها، ولا يمكن الحصول على البيانات أو إساءة استخدامها.
إن تشفير رقم التعريف الشخصي (PIN) نفسه باستخدام نفس المفتاح ولكن لحساب مصرفي مختلف، يجب ألا يعطي نفس نص التشفير.
يعتمد أمن تشفير PIN على سرية المفتاح وليس سرية الخوارزمية.
يجب دائمًا تخزين رقم التعريف الشخصي مُشَفَّرًا.
يجب أن يشارك العميل فقط (أي مستخدم البطاقة) و / أو فريق إصدار البطاقة المعتمد في عملية اختيار PIN أو إصدارها. عندما يتعلق الأمر بموظفي البطاقة، يجب استخدام الإجراءات المناسبة المطبقة بصرامة.
يجب حماية رقم التعريف الشخصي المشفر المُخَزَّن من الاستبدال.
يُلغى رقم التعريف الشخصي (PIN) في حالة تعرضه للخطر، أو في حالة الاشتباه في ذلك.
يكون مُصدِر البطاقة مسؤولاً عن التحقق من رقم التعريف الشخصي.
يجب إبلاغ العميل بأهمية الحفاظ على سرية رقم التعريف الشخصي.

أجهزة إدخال رقم التعريف الشخصي

يحدد المعيار بعض الخصائص المطلوبة أو الموصى بها في أجهزة إدخال PIN (المعروفة أيضًا باسم منصات PIN)، أي الجهاز الذي يُدخل العميل إليه الرقم التعريفي، بما في ذلك:

يجب أن تسمح جميع أجهزة إدخال رقم التعريف الشخصي بإدخال الأرقام من صفر إلى تسعة. قد تحتوي المفاتيح الرقمية أيضًا على حروف مطبوعة عليها، على سبيل المثال وفقًا لـ E.161 . هذه الحروف هي فقط لراحة العملاء، لأن جهاز إدخال PIN يستخدم الأرقام فقط. (على سبيل المثال، المعيار لا يدعم الضغط المتعدد أو ما شابه). كما يوصي المعيار بتنبيه العملاء إلى أنه قد لا تكون الحروف متاحة لدى جميع الأجهزة.
يجب أن يكون جهاز إدخال رمز PIN آمنًا فعليًا بحيث لا يمكن تعديل تشغيله أو استخراج رموز PIN أو مفاتيح التشفير منه.
يجب تصميم أو تثبيت جهاز إدخال PIN بحيث يمنع الآخرين من مراقبة رقم التعريف الشخصي عند إدخاله.
يجب أن يكون تخطيط لوحة المفاتيح موحدًا، مع تسميات متسقة لا لبس فيها لمفاتيح الوظائف، مثل «إدخال» و «مسح» (هذا الإدخال) و «إلغاء» (المعاملة). يوصي المعيار أيضًا بألوان محددة لمفاتيح الوظائف: الأخضر لـ «إدخال»، والأصفر لـ «مسح»، والأحمر لـ «إلغاء».

قارئات البطاقات الذكية

قد يتم تخزين رقم التعريف الشخصي في بطاقة ذكية آمنة، ويتم التحقق منه في وضع عدم الاتصال (offline) باستخدام تلك البطاقة. قد يتم دمج جهاز إدخال رقم التعريف الشخصي والقارئ المستخدم للبطاقة التي تتحقق من رقم التعريف الشخصي في وحدة واحدة آمنة، لكن هذا ليس واجبًا.

تشمل المتطلبات الإضافية التي تنطبق على قارئات البطاقات الذكية:

يجب إنشاء قارئ البطاقة بطريقة تمنع أي شخص من مراقبة الاتصالات على البطاقة عن طريق إدخال جهاز مراقبة في فتحة البطاقة.
إذا لم يكن جهاز إدخال رقم التعريف الشخصي وقارئ البطاقة جزءًا من وحدة آمنة مدمجة، فيجب تشفير رقم التعريف الشخصي أثناء إرساله من جهاز إدخال رقم التعريف الشخصي إلى قارئ البطاقة.

المتطلبات الأخرى للتحكم في PIN

متطلبات محددة أخرى تشمل:

يجب تنفيذ جميع الأجهزة والبرامج المستخدمة لمعالجة PIN بحيث:
- يمكن ضمان أدائها الصحيح.
- لا يمكن تعديلها أو الوصول إليها دون الكشف.
- لا يمكن الوصول إلى البيانات أو تعديلها أو إساءة استخدامها بشكل غير لائق.
- لا يمكن تحديد رقم التعريف الشخصي عن طريق البحث الشامل.
يجب عدم إرسال رقم التعريف الشخصي شفهياً. وخصوصا، لا يطلب موظفو البنك من العميل الإفصاح عن رمز PIN، ولا يوصون بقيمة للرقم.
لا ينبغي استخدام مفاتيح تشفير PIN لأي غرض آخر.

طول رقم التعريف الشخصي

تحدد المواصفة أن أرقام التعريف الشخصية (PIN) يجب أن تكون من أربعة إلى اثني عشر خانة، مع الإشارة إلى أن أرقام التعريف الشخصية الأطول تكون أكثر أمانًا ولكن يصعب استخدامها. كما يشير إلى أنه يجب على المصدر عدم تعيين أرقام التعريف الشخصية التي تزيد عن ستة أرقام.

اختيار رقم التعريف الشخصي

هناك ثلاث طرق مقبولة لاختيار أو إنشاء رمز PIN:

تعيين PIN المشتقة: يُصدر مُصدر البطاقة رقم التعريف الشخصي من خلال تطبيق بعض وظائف التشفير على رقم الحساب أو القيمة الأخرى المرتبطة بالعميل.

تعيين PIN عشوائي: يُصدر مُصدر البطاقة قيمة PIN باستخدام مُولد أرقام عشوائي.

يختار العميل PIN: يختار العميل قيمة رقم التعريف الشخصي.

إصدار رقم التعريف الشخصي وتوصيله

يتضمن المعيار متطلبات الحفاظ على سرية رقم التعريف الشخصي أثناء نقله، بعد الإنشاء، من المُصدر إلى العميل. وتشمل هذه:

رقم التعريف الشخصي غير متاح أبدًا للموظفين الذين أصدروا البطاقة.
لا يمكن عرض رقم PIN أو طباعته إلا للعملاء بطريقة آمنة بشكل مناسب. تتمثل إحدى الطرق في إرسال PIN وهو مغلف بغلاف مصمم بحيث يمكن طباعته دون أن يكون PIN مرئيًا (حتى في وقت الطباعة) حتى يتم فتح المغلف. يجب أيضًا إنشاء مظروف بريد خاص لل PIN بحيث يظهر للعميل أي محاولة فتح مسبق، وبالتالي سيكون العميل على علم بأنه قد تم الكشف عن رقم التعريف الشخصي.
يجب ألا يظهر رقم التعريف الشخصي أبدًا حيث يمكن ربطه بحساب العميل. على سبيل المثال، يجب ألا يشتمل مظروف البريد الذي به ال PIN على رقم الحساب، بل يجب أن يتضمن فقط معلومات كافية لتسليمه الفعلي (مثل الاسم والعنوان). لا يتم إرسال رقم التعريف الشخصي والبطاقة المرتبطة بهما معًا ولا في نفس الوقت.

تشفير PIN

لحماية PIN أثناء الإرسال من جهاز إدخال PIN إلى المدقق، يتطلب المعيار تشفير PIN ، ويحدد العديد من التنسيقات التي يمكن استخدامها. في كل حالة، يتم تشفير رمز PIN في كتلة PIN ، والتي يتم تشفيرها بعد ذلك بواسطة «خوارزمية معتمدة»، وفقًا للجزء 2 من المعيار).

تنسيقات كتلة PIN هي:

Format 0

يتم إنشاء كتلة PIN بواسطة عمل XOR لحقلين من 64 بت: حقل النص العادي لل PIN وحقل رقم الحساب، وتضم كلا منها 16 أربعة بت نايبل.

حقل النص العادي لرقم التعريف الشخصي هو:

nibble بقيمة 0، والتي تحدد أن التشفير يستخدم كتلة 0 format
nibble واحد لتشفير طول ال PIN ويسمى N.
N nibbles، كل واحد هو تشفير لرقم واحد من أرقام ال PIN
14− N nibbles ، كل منها يحمل قيمة «التعبئة» 15 (أي 1111 ₂)

حقل رقم الحساب هو:

أربعة nibbles بقيمة صفر
12 nibbles تحتوي على أقصى 12 رقمًا من رقم الحساب الأساسي (PAN)، باستثناء رقم الشيك

Format 1

يجب استخدام هذا التنسيق في حالة عدم توفر PAN. يتم إنشاء كتلة PIN عن طريق ربط رقم التعريف الشخصي برقم المعاملة وبالتالي:

nibble بقيمة 1، والتي تحدد هذا ككتلة Format 1
nibble واحد لتشفير طول ال PIN ويسمى N.
N nibbles، كل واحد هو تشفير لرقم واحد من أرقام ال PIN
14 - N nibbles ترميز قيمة فريدة، والتي قد تكون رقم تسلسل المعاملة أو الطابع الزمني أو رقم عشوائي

Format 2

التنسيق 2 مخصص للاستخدام المحلي مع الأنظمة غير المتصلة فقط، مثل البطاقات الذكية. يتم إنشاء كتلة PIN عن طريق توصيل رقم PIN بقيمة الحشو وبالتالي:

nibble بقيمة 2، والتي تحدد هذا ككتلة Format 2
nibble واحد لتشفير طول ال PIN ويسمى N.
N nibbles، كل واحد هو تشفير لرقم واحد من أرقام ال PIN
14− N nibbles ، كل منها يحمل قيمة «التعبئة» 15 (أي 1111 ₂)

(باستثناء قيمة التنسيق في nibble الأول، يكون هذا مطابقًا لحقل PIN الخاص بالنص العادي للتنسيق 0.)

Format 3

التنسيق 3 هو نفس التنسيق 0، باستثناء أن أرقام «التعبئة» هي قيم عشوائية من 10 إلى 15، وال nibble الأولى (التي تحدد تنسيق الكتلة) بها القيمة 3.

كتل PIN الموسعة

تعد التنسيقات من 0 إلى 3 مناسبة للاستخدام مع خوارزمية تشفير البيانات الثلاثي، لأنها تتوافق مع حجم الكتلة 64 بت. ومع ذلك، يسمح المعيار بخوارزميات تشفير أخرى ذات أحجام كتلة أكبر، على سبيل المثال، يبلغ معيار التشفير المتقدم يستخدم كتلة بحجم 128 بت. في مثل هذه الحالات، يجب أن يُشًفر ال PIN إلى كتلة PIN موسعة، وتم تحديد نسقها في تعديل 2015 لـ ISO 9564-1.^[2]

الجزء 2: الخوارزميات المعتمدة لتشفير PIN

تحدد ISO 9564-2: 2014 ^[3] خوارزميات التشفير التي يمكن استخدامها لتشفير أرقام التعريف الشخصية. الخوارزميات المعتمدة هي:

الجزء 3 (تم السحب)

ISO 9564-3 الجزء 3: تم سحب متطلبات معالجة PIN دون اتصال بالإنترنت في أنظمة ATM و POS ، ^[4] التي نُشرت مؤخرًا في عام 2003، في عام 2011 وتم دمج محتوياتها في الجزء 1 .

الجزء 4: متطلبات التعامل مع PIN في التجارة الإلكترونية لمعاملات الدفع

تحدد المواصفة القياسية ISO 9564-4: 2016 ^[5] الحد الأدنى لمتطلبات وممارسات الأمان الخاصة باستخدام أرقام التعريف الشخصية وأجهزة إدخال رقم التعريف الشخصي في التجارة الإلكترونية.

ملاحظات

^ Parts 1, 2 and 4. Part 3 was withdrawn in 2011.

المراجع

^ ISO 9564-1:2011 Financial services — Personal Identification Number (PIN) management and security — Part 1: Basic principles and requirements for PINs in card-based systems نسخة محفوظة 1 فبراير 2017 على موقع واي باك مشين.
^ ISO 9564-1:2011/Amd 1:2015 Financial services — Personal Identification Number (PIN) management and security — Part 1: Basic principles and requirements for PINs in card-based systems AMENDMENT 1 نسخة محفوظة 1 فبراير 2017 على موقع واي باك مشين.
^ ISO 9564-2:2014 Financial services — Personal Identification Number (PIN) management and security — Part 2: Approved algorithms for PIN encipherment نسخة محفوظة 13 أكتوبر 2016 على موقع واي باك مشين.
^ ISO 9564-3:2003 Banking — Personal Identification Number management and security — Part 3: Requirements for offline PIN handling in ATM and POS systems نسخة محفوظة 12 أكتوبر 2016 على موقع واي باك مشين.
^ ISO 9564-4:2016 Financial services — Personal Identification Number (PIN) management and security — Part 4: Requirements for PIN handling in eCommerce for Payment Transactions نسخة محفوظة 13 أكتوبر 2016 على موقع واي باك مشين.

[1] Parts 1, 2 and 4. Part 3 was withdrawn in 2011.

[2] ISO 9564-1:2011 Financial services — Personal Identification Number (PIN) management and security — Part 1: Basic principles and requirements for PINs in card-based systems نسخة محفوظة 1 فبراير 2017 على موقع واي باك مشين.

[3] ISO 9564-1:2011/Amd 1:2015 Financial services — Personal Identification Number (PIN) management and security — Part 1: Basic principles and requirements for PINs in card-based systems AMENDMENT 1 نسخة محفوظة 1 فبراير 2017 على موقع واي باك مشين.

[4] ISO 9564-2:2014 Financial services — Personal Identification Number (PIN) management and security — Part 2: Approved algorithms for PIN encipherment نسخة محفوظة 13 أكتوبر 2016 على موقع واي باك مشين.

[5] ISO 9564-3:2003 Banking — Personal Identification Number management and security — Part 3: Requirements for offline PIN handling in ATM and POS systems نسخة محفوظة 12 أكتوبر 2016 على موقع واي باك مشين.

[6] ISO 9564-4:2016 Financial services — Personal Identification Number (PIN) management and security — Part 4: Requirements for PIN handling in eCommerce for Payment Transactions نسخة محفوظة 13 أكتوبر 2016 على موقع واي باك مشين.

[Note 1]

[1]

[2]

[3]

[4]

[5]

ع ن ت معايير المنظمة الدولية للمعايير
قائمة معايير الأيزو ^{[الإنجليزية]} - قائمة معايير IEC ^{[الإنجليزية]} - تصنيف:معايير الأيزو
1–9999	1 2 3 4 5 6 7 9 16 31 (-0 -1 -2 -3 -4 -5 -6 -7 -8 -9 -10 -11 -12 -13) 128 216 217 226 228 233 259 269 302 306 ^{[الإنجليزية]}‏ 428 518 519 639 (-1 -2 -3 -5 -6) 646 690 732 764 843 898 1000 1004 1007 1073-1 1413 1538 1745 2014 2015 2022 2108 2145 2146 2240 2281 2709 2711 2788 2852 3029 3103 3166 (-1 -2 -3) 3297 3307 3602 3864 3901 ^{[الإنجليزية]}‏ 3977 4031 4157 4217 5218 5775 5776 5800 5964 6166 6344 6346 6425 6429 6438 6523 6709 7001 7002 7098 7185 7200 7498 7736 7810 7811 7812 7813 7816 8000 8178 8217 8571 8583 8601 8632 8652 8691 8807 8820-5 8859 (-1 -2 -3 -4 -5 -6 -7 -8 -9 -10 -11 -12 -13 -14 -15 -16) 8879 9000/9001 9075 9126 9293 9241 9362 9407 9506 9529 9564 9594 9660 9897 9945 9984 9985 9995
10000–19999	10006 10118-3 10160 10161 10165 10179 10206 10218 10303 (-11 -21 -22 -28 -238) 10383 10487 10585 10589 10646 10664 10746 10861 10957 10962 10967 11073 11170 11179 11404 11544 11783 11784 11785 11801 11898 11940 11941 11941 (TR) 11992 12006 12182 12207 12234-2 13211 (-1 -2) 13216 13250 13399 13406-2 13407 13450 13485 13490 13567 13568 13584 13616 14000 14031 14396 14443 14496 (-2 -3 -6 -10 -11 -12 -14 -17 -20) 14644 (-1 -2 -3 -4 -5 -6 -7 -8 -9) 14649 14651 14698 (-2) 14750 14882 14971 15022 15189 15288 15291 15292 15408 15444 15445 15438 15504 15511 ^{[الإنجليزية]}‏ 15686 15693 15706 ^{[الإنجليزية]}‏ (-2) 15707 ^{[الإنجليزية]}‏ 15897 15919 15924 15926 15926 WIP 15930 16023 إي سي إم ايه سكريبت 16750 17024 17025 17369 17799 18000 18004 18014 18245 18629 18916 19005 19011 19092 (-1 -2) 19114 19115 19125 19136 19439 19501:2005 19752 19757 19770 19775-1 19794-5
20000+	20000 20022 21000 21047 ^{[الإنجليزية]}‏ 21827:2002 22000 23270 23271 23360 هيكل الترميز اللغوي 24707 25178 25964-1 26000 26300 26324 27000 series 27000 أيزو/أي إي سي 27001 27002 27003 27004 27005 27006 27007 معرف الاسم القياسي الدولي 27799 28000 29110 29199-2 29500 31000 32000 38500 42010 50001 80000 (-2)