POS机作为收单工具,天然承载着保护资金交易安全的重任,今天笔者带大家了解一下银联关于POS终端安全都有哪些要求和规范:
操作员密码
POS终端应具备操作员密码校验功能,校验失败时禁止交易。
POS的每个操作员都必须有独立的密码和一个代码。操作员代码至少为二位数字或字母,密码至少为四位数字,不超过12位数字。
POS终端联机交易密钥管理
二级密钥体系
POS终端密钥分为二级:密钥加密密钥(KEK)和工作密钥(WK)。
密钥加密密钥(KEK)
用于对工作密钥(WK)进行加密保护,每台POS终端与POS中心共享唯一的KEK。
KEK必须要有安全保护措施,只能写入并参与运算,不能被读取。
KEK应有至少三个,以便当KEK泄密时,POS中心与POS终端及时、方便地更换。POS中心与POS终端通过参数下载的方式约定使用哪个KEK。
工作密钥(WK)
分为用于对个人密码(PIN)加密的PIK以及进行消息鉴别(MAC)的MAK。
由POS前置机的加密机产生,在POS终端每次签到时从POS中心利用KEK加密后下载,并由KEK加密存储。
POS终端工作密钥在下载时必须以密文传送,严禁明文传送。
PIN加密
PIN加密采用ANSI X9.8 Format(带主账号信息)。
加密算法采用DES算法。
POS终端MAC的算法
从报文消息类型(MTI)到63域之间的部分构成MAC ELEMEMENT BLOCK (MAB),采用ECB算法,加密结果为64位的MAC。
IC卡脱机明文PIN加密
如果IC读卡器和密码键盘集成在一起,且明文PIN直接从集成的密码键盘传到读卡器,则不要求对脱机明文PIN加密。
如果IC卡读卡器和密码键盘是分离的两个设备(例如通过RS232串行通讯线连接或以无线方式连接),或者明文PIN不是直接从密码键盘传到读卡器。则要求密码键盘应该按ISO9564-1(或相当的被支付系统批准的其它方式)中要求用保密密钥对交易PIN加密, IFD随后对脱机PIN解密,再以明文方式传递给卡片。
POS终端在此过程中无论使用何种加密方法,其安全性应不低于以下推荐方式。
脱机明文PIN加密方法(推荐):
密码键盘可以采用X9.8的方式加密PIN,其中密码键盘存有一组主密钥,该主密钥可由终端随机生成并保存在终端和密码键盘中,而终端在计算时,产生一个临时PIN KEY,由密码键盘按照X9.8的方式计算加密结果PINBLOCK,终端收到加密结果后,可解密获得明文。
不允许将联机交易中使用的KEK、PIK、WAK直接用于IC卡脱机明文PIN加密。
POS终端EMV IC卡公共密钥管理
这一节规定了对POS终端管理认证中心公钥的要求。这些要求包括以下阶段:
将认证中心公钥导入终端。
认证中心公钥在终端中的存储。
认证中心公钥在终端中的使用。
从终端中撤回认证中心公钥。
认证中心公钥的导入
POS终端应提供本地下载、远程下载等方式支持CA公钥的导入,同时应遵循以下原则:
POS终端必须能够验证收到的认证中心公钥和相关数据没有错误。
POS终端必须能够验证收到的认证中心公钥和相关数据的来源是否合法。
POS终端必须能向POS中心或下载人员提供相应信息,确认新的认证中心公钥是否已经真正地、正确地导入终端。
POS终端在应能通过屏幕显示或打印的方式,提供系统管理员确认终端当前使用的CA公钥的相关信息,信息应包括CA公钥所属支付组织的名称或简称、CA公钥的索引号、CA公钥的有效期等。
POS终端应能通过本地设置、远程下载等方式实现对特定认证中心公钥的有效期的更改,但必须先验证POS操作人员或POS中心的合法性。
认证中心公钥的存放
支持静态和/或动态数据认证的POS终端必须对每个支付组织的借记/贷记应用提供6个认证中心公钥的支持。
每一个认证中心公钥由5个字节的标识支付系统的RID和1个字节的认证中心公钥索引号唯一标识,索引号是由支付系统分配给某个特定的认证中心公钥,且对于每个RID唯一。
RID和认证中心公钥索引一起唯一标识了一个认证中心公钥,并将它和正确的支付系统联系起来。
认证中心公钥算法标识标识了和相应的认证中心公钥一起使用的数字签名算法。
认证中心公钥校验值采用SHA-1算法,用来保证接收到认证中心公钥及其相关数据没有错误。终端可以用该数据元重新验证存放的认证中心公钥及其相关数据的完整性。
对存储的认证中心公钥的完整性的验证应该定期进行。
认证中心公钥的使用
交易中对认证中心公钥的使用必须遵循《中国集成电路(IC)卡借记/贷记规范》。
认证中心公钥的撤回
POS终端应支持本地设置、远程参数下载等方式实现对CA公钥撤回,同时应遵循以下原则:
POS终端必须能够验证对CA公钥的撤回操作或从POS中心收到的撤回通告没有错误。
POS终端必须能够验证对CA公钥的撤回操作或从POS中心收到的撤回通告的来源是否合法。
POS终端必须能向POS中心或操作人员提供相应信息,确认特定的认证中心公钥已经真正地、正确地从终端撤回。
POS终端应确保已被撤回的CA公钥不会再被用作此后的任何交易。
建议POS终端能够定期触发检查CA公钥是否已超出有效期,并实现对已到期公钥的自动撤回。
