انتقل إلى المحتوى

أيزو 9564

مفحوصة
من ويكيبيديا، الموسوعة الحرة

أيزو 9564 أوISO 9564 هو المعيار الدولي الخاص بإدارة رقم التعريف الشخصي (PIN) والأمن في الخدمات المالية.

يتم استخدام رمز PIN للتحقق من هوية العميل (مستخدم البطاقة المصرفية) ضمن نظام تحويل الأموال الإلكتروني، وذلك للتصريح بتحويل أو سحب الأموال. لذلك من المهم حماية أرقام التعريف الشخصية من الكشف أو سوء الاستخدام غير المصرح به. تتطلب الأنظمة المصرفية الحديثة قابلية التشغيل البيني بين مجموعة متنوعة من أجهزة إدخال PIN، والبطاقات الذكية، وأجهزة قراءة البطاقات، ومصدري البطاقات، وتجار التجزئة – بما في ذلك نقل PINs بين تلك الكيانات – لذلك يلزم وجود مجموعة مشتركة من القواعد للتعامل مع PINs وتأمينها، لضمان التوافق الفني ومستوى الأمان المتفق عليه بشكل متبادل. يوفر ISO 9564 المبادئ والتقنيات لتلبية هذه المتطلبات.

تضم ISO 9564 ثلاثة أجزاء، [Note 1] تحت العنوان العام للخدمات المالية — إدارة وأمان رقم التعريف الشخصي (PIN).

الجزء 1: المبادئ والمتطلبات الأساسية لأرقام التعريف الشخصية في الأنظمة القائمة على البطاقات

[عدل]

تحدد المواصفة القياسية ISO 9564-1: 2011 [1] المبادئ والتقنيات الأساسية لإدارة أرقام التعريف الآمنة. ويشمل كلا من المبادئ العامة والمتطلبات المحددة.

المبادئ الأساسية

[عدل]

تتضمن المبادئ الأساسية لإدارة PIN:

  • يجب تنفيذ وظائف إدارة PIN في البرامج والأجهزة بطريقة لا تسمح بتعديل الوظيفة دون الكشف عنها، ولا يمكن الحصول على البيانات أو إساءة استخدامها.
  • إن تشفير رقم التعريف الشخصي (PIN) نفسه باستخدام نفس المفتاح ولكن لحساب مصرفي مختلف، يجب ألا يعطي نفس نص التشفير.
  • يعتمد أمن تشفير PIN على سرية المفتاح وليس سرية الخوارزمية.
  • يجب دائمًا تخزين رقم التعريف الشخصي مُشَفَّرًا.
  • يجب أن يشارك العميل فقط (أي مستخدم البطاقة) و / أو فريق إصدار البطاقة المعتمد في عملية اختيار PIN أو إصدارها. عندما يتعلق الأمر بموظفي البطاقة، يجب استخدام الإجراءات المناسبة المطبقة بصرامة.
  • يجب حماية رقم التعريف الشخصي المشفر المُخَزَّن من الاستبدال.
  • يُلغى رقم التعريف الشخصي (PIN) في حالة تعرضه للخطر، أو في حالة الاشتباه في ذلك.
  • يكون مُصدِر البطاقة مسؤولاً عن التحقق من رقم التعريف الشخصي.
  • يجب إبلاغ العميل بأهمية الحفاظ على سرية رقم التعريف الشخصي.

أجهزة إدخال رقم التعريف الشخصي

[عدل]

يحدد المعيار بعض الخصائص المطلوبة أو الموصى بها في أجهزة إدخال PIN (المعروفة أيضًا باسم منصات PIN)، أي الجهاز الذي يُدخل العميل إليه الرقم التعريفي، بما في ذلك:

  • يجب أن تسمح جميع أجهزة إدخال رقم التعريف الشخصي بإدخال الأرقام من صفر إلى تسعة. قد تحتوي المفاتيح الرقمية أيضًا على حروف مطبوعة عليها، على سبيل المثال وفقًا لـ E.161 . هذه الحروف هي فقط لراحة العملاء، لأن جهاز إدخال PIN يستخدم الأرقام فقط. (على سبيل المثال، المعيار لا يدعم الضغط المتعدد أو ما شابه). كما يوصي المعيار بتنبيه العملاء إلى أنه قد لا تكون الحروف متاحة لدى جميع الأجهزة.
  • يجب أن يكون جهاز إدخال رمز PIN آمنًا فعليًا بحيث لا يمكن تعديل تشغيله أو استخراج رموز PIN أو مفاتيح التشفير منه.
  • يجب تصميم أو تثبيت جهاز إدخال PIN بحيث يمنع الآخرين من مراقبة رقم التعريف الشخصي عند إدخاله.
  • يجب أن يكون تخطيط لوحة المفاتيح موحدًا، مع تسميات متسقة لا لبس فيها لمفاتيح الوظائف، مثل «إدخال» و «مسح» (هذا الإدخال) و «إلغاء» (المعاملة). يوصي المعيار أيضًا بألوان محددة لمفاتيح الوظائف: الأخضر لـ «إدخال»، والأصفر لـ «مسح»، والأحمر لـ «إلغاء».

قارئات البطاقات الذكية

[عدل]

قد يتم تخزين رقم التعريف الشخصي في بطاقة ذكية آمنة، ويتم التحقق منه في وضع عدم الاتصال (offline) باستخدام تلك البطاقة. قد يتم دمج جهاز إدخال رقم التعريف الشخصي والقارئ المستخدم للبطاقة التي تتحقق من رقم التعريف الشخصي في وحدة واحدة آمنة، لكن هذا ليس واجبًا.

تشمل المتطلبات الإضافية التي تنطبق على قارئات البطاقات الذكية:

  • يجب إنشاء قارئ البطاقة بطريقة تمنع أي شخص من مراقبة الاتصالات على البطاقة عن طريق إدخال جهاز مراقبة في فتحة البطاقة.
  • إذا لم يكن جهاز إدخال رقم التعريف الشخصي وقارئ البطاقة جزءًا من وحدة آمنة مدمجة، فيجب تشفير رقم التعريف الشخصي أثناء إرساله من جهاز إدخال رقم التعريف الشخصي إلى قارئ البطاقة.

المتطلبات الأخرى للتحكم في PIN

[عدل]

متطلبات محددة أخرى تشمل:

  • يجب تنفيذ جميع الأجهزة والبرامج المستخدمة لمعالجة PIN بحيث:
    • يمكن ضمان أدائها الصحيح.
    • لا يمكن تعديلها أو الوصول إليها دون الكشف.
    • لا يمكن الوصول إلى البيانات أو تعديلها أو إساءة استخدامها بشكل غير لائق.
    • لا يمكن تحديد رقم التعريف الشخصي عن طريق البحث الشامل.
  • يجب عدم إرسال رقم التعريف الشخصي شفهياً. وخصوصا، لا يطلب موظفو البنك من العميل الإفصاح عن رمز PIN، ولا يوصون بقيمة للرقم.
  • لا ينبغي استخدام مفاتيح تشفير PIN لأي غرض آخر.

طول رقم التعريف الشخصي

[عدل]

تحدد المواصفة أن أرقام التعريف الشخصية (PIN) يجب أن تكون من أربعة إلى اثني عشر خانة، مع الإشارة إلى أن أرقام التعريف الشخصية الأطول تكون أكثر أمانًا ولكن يصعب استخدامها. كما يشير إلى أنه يجب على المصدر عدم تعيين أرقام التعريف الشخصية التي تزيد عن ستة أرقام.

اختيار رقم التعريف الشخصي

[عدل]

هناك ثلاث طرق مقبولة لاختيار أو إنشاء رمز PIN:

تعيين PIN المشتقة
يُصدر مُصدر البطاقة رقم التعريف الشخصي من خلال تطبيق بعض وظائف التشفير على رقم الحساب أو القيمة الأخرى المرتبطة بالعميل.
تعيين PIN عشوائي
يُصدر مُصدر البطاقة قيمة PIN باستخدام مُولد أرقام عشوائي.
يختار العميل PIN
يختار العميل قيمة رقم التعريف الشخصي.

إصدار رقم التعريف الشخصي وتوصيله

[عدل]

يتضمن المعيار متطلبات الحفاظ على سرية رقم التعريف الشخصي أثناء نقله، بعد الإنشاء، من المُصدر إلى العميل. وتشمل هذه:

  • رقم التعريف الشخصي غير متاح أبدًا للموظفين الذين أصدروا البطاقة.
  • لا يمكن عرض رقم PIN أو طباعته إلا للعملاء بطريقة آمنة بشكل مناسب. تتمثل إحدى الطرق في إرسال PIN وهو مغلف بغلاف مصمم بحيث يمكن طباعته دون أن يكون PIN مرئيًا (حتى في وقت الطباعة) حتى يتم فتح المغلف. يجب أيضًا إنشاء مظروف بريد خاص لل PIN بحيث يظهر للعميل أي محاولة فتح مسبق، وبالتالي سيكون العميل على علم بأنه قد تم الكشف عن رقم التعريف الشخصي.
  • يجب ألا يظهر رقم التعريف الشخصي أبدًا حيث يمكن ربطه بحساب العميل. على سبيل المثال، يجب ألا يشتمل مظروف البريد الذي به ال PIN على رقم الحساب، بل يجب أن يتضمن فقط معلومات كافية لتسليمه الفعلي (مثل الاسم والعنوان). لا يتم إرسال رقم التعريف الشخصي والبطاقة المرتبطة بهما معًا ولا في نفس الوقت.

تشفير PIN

[عدل]

لحماية PIN أثناء الإرسال من جهاز إدخال PIN إلى المدقق، يتطلب المعيار تشفير PIN ، ويحدد العديد من التنسيقات التي يمكن استخدامها. في كل حالة، يتم تشفير رمز PIN في كتلة PIN ، والتي يتم تشفيرها بعد ذلك بواسطة «خوارزمية معتمدة»، وفقًا للجزء 2 من المعيار).

تنسيقات كتلة PIN هي:

Format 0
[عدل]

يتم إنشاء كتلة PIN بواسطة عمل XOR لحقلين من 64 بت: حقل النص العادي لل PIN وحقل رقم الحساب، وتضم كلا منها 16 أربعة بت نايبل.

حقل النص العادي لرقم التعريف الشخصي هو:

  • nibble بقيمة 0، والتي تحدد أن التشفير يستخدم كتلة 0 format
  • nibble واحد لتشفير طول ال PIN ويسمى N.
  • N nibbles، كل واحد هو تشفير لرقم واحد من أرقام ال PIN
  • 14− N nibbles ، كل منها يحمل قيمة «التعبئة» 15 (أي 1111 2)

حقل رقم الحساب هو:

  • أربعة nibbles بقيمة صفر
  • 12 nibbles تحتوي على أقصى 12 رقمًا من رقم الحساب الأساسي (PAN)، باستثناء رقم الشيك
Format 1
[عدل]

يجب استخدام هذا التنسيق في حالة عدم توفر PAN. يتم إنشاء كتلة PIN عن طريق ربط رقم التعريف الشخصي برقم المعاملة وبالتالي:

  • nibble بقيمة 1، والتي تحدد هذا ككتلة Format 1
  • nibble واحد لتشفير طول ال PIN ويسمى N.
  • N nibbles، كل واحد هو تشفير لرقم واحد من أرقام ال PIN
  • 14 - N nibbles ترميز قيمة فريدة، والتي قد تكون رقم تسلسل المعاملة أو الطابع الزمني أو رقم عشوائي
Format 2
[عدل]

التنسيق 2 مخصص للاستخدام المحلي مع الأنظمة غير المتصلة فقط، مثل البطاقات الذكية. يتم إنشاء كتلة PIN عن طريق توصيل رقم PIN بقيمة الحشو وبالتالي:

  • nibble بقيمة 2، والتي تحدد هذا ككتلة Format 2
  • nibble واحد لتشفير طول ال PIN ويسمى N.
  • N nibbles، كل واحد هو تشفير لرقم واحد من أرقام ال PIN
  • 14− N nibbles ، كل منها يحمل قيمة «التعبئة» 15 (أي 1111 2)

(باستثناء قيمة التنسيق في nibble الأول، يكون هذا مطابقًا لحقل PIN الخاص بالنص العادي للتنسيق 0.)

Format 3
[عدل]

التنسيق 3 هو نفس التنسيق 0، باستثناء أن أرقام «التعبئة» هي قيم عشوائية من 10 إلى 15، وال nibble الأولى (التي تحدد تنسيق الكتلة) بها القيمة 3.

كتل PIN الموسعة
[عدل]

تعد التنسيقات من 0 إلى 3 مناسبة للاستخدام مع خوارزمية تشفير البيانات الثلاثي، لأنها تتوافق مع حجم الكتلة 64 بت. ومع ذلك، يسمح المعيار بخوارزميات تشفير أخرى ذات أحجام كتلة أكبر، على سبيل المثال، يبلغ معيار التشفير المتقدم يستخدم كتلة بحجم 128 بت. في مثل هذه الحالات، يجب أن يُشًفر ال PIN إلى كتلة PIN موسعة، وتم تحديد نسقها في تعديل 2015 لـ ISO 9564-1.[2]

الجزء 2: الخوارزميات المعتمدة لتشفير PIN

[عدل]

تحدد ISO 9564-2: 2014 [3] خوارزميات التشفير التي يمكن استخدامها لتشفير أرقام التعريف الشخصية. الخوارزميات المعتمدة هي:

الجزء 3 (تم السحب)

[عدل]

ISO 9564-3 الجزء 3: تم سحب متطلبات معالجة PIN دون اتصال بالإنترنت في أنظمة ATM و POS ، [4] التي نُشرت مؤخرًا في عام 2003، في عام 2011 وتم دمج محتوياتها في الجزء 1 .

الجزء 4: متطلبات التعامل مع PIN في التجارة الإلكترونية لمعاملات الدفع

[عدل]

تحدد المواصفة القياسية ISO 9564-4: 2016 [5] الحد الأدنى لمتطلبات وممارسات الأمان الخاصة باستخدام أرقام التعريف الشخصية وأجهزة إدخال رقم التعريف الشخصي في التجارة الإلكترونية.

ملاحظات

[عدل]
  1. ^ Parts 1, 2 and 4. Part 3 was withdrawn in 2011.

المراجع

[عدل]