جلد 2 – امنیت و مدیریت کلید (نسخه 4.0)
- دامنه
جلد 2 مشخصات کارت مدار مجتمع (ICC) : مشخصات سیستم با پرداخت به حداقل عملکرد امنیتی مورد نیاز برای تهیه کارتهای مدار مجتمع (ICC) و پایانه ها را شرح میدهد. برای ارتباط آنلاین بین ICC و صادرکننده و مدیریت کلیدهای رمزنگاری در سطح ترمینال، صادر کننده و سیستم پرداخت، شرایط و توصیه های دیگری ارائه شده است.
به طور دقیق تر، این جلد شامل موارد زیر است:
- احراز هویت دادههای استاتیک آفلاین
- احراز هویت دادههای پویا آفلاین
- رمزگذاری آفلاین PIN
- تولید رمزنگاری برنامه و تأیید صلاحیت صادر کننده
- پیام رسانی ایمن
- اصول و سیاستهای مدیریت کلید عمومی
- امنیت ترمینال و الزامات مدیریت کلید
علاوه بر این موارد شامل مشخصات مکانیسمهای امنیتی و الگوریتمهای رمزنگاری تایید شده است.
- احراز هویت دادههای استاتیک
احراز هویت دادههای استاتیک توسط ترمینال با استفاده از یک طرح امضای دیجیتالی مبتنی بر تکنیکهای کلید عمومی انجام میشود، تا قانونی بودن دادههای مهم داخلی ICC ساخته شده در دادههای استاتیک تعریف شده توسط AFL و لیست برچسبهای تأیید اعتبار دادههای اختیاری انجام شود. این تغییر دادههای غیرمجاز پس از شخصی سازی را تشخیص میدهد.
احراز هویت دادههای استاتیک نیاز به حضور یک مرجع صدور گواهینامه با یک مرکز رمزگذاری بسیار ایمن دارد که کلیدهای عمومی صادرکننده را “امضا” میکند. هر ترمینال مطابق با این مشخصات باید دارای کلید عمومی مرجع صدور گواهینامه مناسب برای هر برنامهای باشد که توسط ترمینال شناخته شده است. این مشخصات به چندین AID اجازه میدهد تا همان کلید تنظیم شده را با گواهینامه کلیدهای عمومی به اشتراک بگذارند.
ICC هایی که از تأیید هویت دادههای استاتیک پشتیبانی میکنند باید شامل عناصر داده زیر باشند:
- گواهینامه فهرست کلیدهای عمومی: در این مورد بایت داده دارای یک شماره باینری است که مشخص میکند کلیدهای عمومی مجوز برنامه و الگوریتم مربوطه موجود در ترمینال با ICC مورد استفاده قرار میگیرد.
- گواهینامه کلید عمومی فرستنده: این عنصر داده با طول متغیر توسط مرجع صدور گواهینامه مطابق با مجوز کارت تهیه میشود. هنگامی که ترمینال این عنصر داده را تأیید میکند، کلید عمومی انتشار دهنده را تأیید میکند، آن کلید عمومی انتشار دهنده به علاوه دادههای اضافی تأیید میکند.
- دادههای کاربردی استاتیک امضا شده: یک عنصر داده با طول متغیر که توسط صادرکننده با استفاده از کلید خصوصی تولید شده و مطابق با کلید عمومی تأیید شده در گواهینامه کلید عمومی صادر کننده تولید میشود. این یک امضای دیجیتالی است که عناصر داده استاتیک ICC را پوشش میدهد، همانطور که در بخش 5.4 توضیح داده شده است.
- انتشار کلید عمومی: یک عنصر داده با طول متغیر که حضور آن در ICC اختیاری است. برای توضیح بیشتر به بخش 5.1 مراجعه کنید.
- تعریف صادر کننده کلید عمومی: یک عنصر داده با طول متغیر است که توسط صادرکننده ارائه میشود. برای توضیح بیشتر به بخش 5.1 مراجعه کنید.
5.1 کلید و گواهینامه ها
برای حمایت از احراز هویت دادههای استاتیک، یک ICC شامل دادههای درخواست امضا شده با کلید خصوصی صادر کننده است. کلید عمومی انتشار دهنده با گواهینامه کلید عمومی در ICC ذخیره میشود.
5.2 سازمان بازیابی صدور گواهینامه کلید عمومی
در این ترمینال شاخص کلید عمومی صدور گواهینامه خوانده میشود. با استفاده از این فهرست و RID، ترمینال باید ماژول کلید عمومی را که در ترمینال ذخیره شده است و اطلاعات مربوط به کلید مرتبط و الگوریتم مورد استفاده را شناسایی و بازیابی کنید. اگر ترمینال دارای یک کلید ثبت شده در ارتباط با این فهرست و RID نباشد، اعتبار سنجی دادههای استاتیک انجام نمیشود.
- تأیید هویت دادههای پویا
اعتبارسنجی دادههای پویا توسط ترمینال با استفاده از یک طرح امضای دیجیتالی مبتنی بر تکنیکهای کلید عمومی برای اعتبارسنجی ICC انجام میشود و اعتبار قانونی بودن دادههای تولیدی و دادههای دریافت شده از ترمینال را تأیید میکند. این امر از جعل کارتها جلوگیری میکند.
دو مورد زیر وجود دارد:
- تأیید هویت داده پویای استاندارد قبل از تجزیه و تحلیل عملکرد کارت، که در آن ICC امضای دیجیتالی روی دادههای مقیم ICC ایجاد کرده توسط داده دینامیک و دادههای دریافت شده از ترمینال شناسایی شده توسط لیست دادههای تأیید هویت، داده پویا تولید میکند.
- تأیید هویت دادههای پویا و رمزنگاری برنامه که با صدور اولین فرمان GENERATE AC اجرا میشود. در مورد TC یا ARQC، ICC یک امضای دیجیتالی را بر روی دادههای مقیم ICC یا داده دینامیک تولید شده توسط ICC، که شامل TC یا ARQC است و یک شماره غیرقابل پیش بینی تولید شده توسط ترمینال ایجاد میکند و توسط کارت ریسک شناسایی میشود.
AIP گزینههای پشتیبانی شده توسط ICC را مشخص میکند.
تأیید اعتبار دادههای پویا به یک مرجع صدور گواهینامه و یک مرکز رمزنگاری بسیار ایمن نیاز دارد که کلیدهای عمومی انتشار دهنده را “نشانه گذاری میکند”. هر ترمینال مطابق با این مشخصات باید دارای کلید عمومی مرجع صدور گواهینامه مناسب برای هر برنامهی باشد که توسط ترمینال شناخته شده است. این مشخصات به چندین AID اجازه میدهد تا مجموعه ای از کلیدهای عمومی مرجع صدور گواهینامه را به اشتراک بگذارند.
ICC هایی که از تأیید هویت دادههای پویا پشتیبانی میکنند باید شامل عناصر داده زیر باشند:
- فهرست عمومی کلید واژههای صدور گواهینامه: این عنصر داده یک بایت دارای یک شماره باینری است که مشخص میکند کلیدهای عمومی گواهینامه برنامه و الگوریتم مربوطه موجود در ترمینال با این ICC مورد استفاده قرار میگیرد.
- صدور گواهینامه کلید عمومی: این عنصر داده با طول متغیر توسط مرجع صدور گواهینامه ارائه میشود که مربوط به گواهینامه کارت است. وقتی ترمینال این عنصر داده را تأیید میکند.
- گواهینامه کلید عمومی ICC: این عنصر داده با طول متغیر توسط صادرکننده به ICC ارائه میشود. وقتی ترمینال این عنصر داده را تأیید میکند.
- انتشار کلید عمومی صادرکننده: یک عنصر داده با طول متغیر.
- صادرکننده کلید عمومی: یک عنصر داده با طول متغیر است که توسط صادرکننده ارائه میشود.
- بقیه کلید عمومیICC : یک عنصر داده با طول متغیر است.
- نشان دهنده کلید عمومی ICC : یک عنصر داده با طول متغیر است که توسط صادرکننده ارائه میشود.
- کلید خصوصی ICC : یک عنصر داده با طول متغیر داخلی ICC که برای تولید دادههای کاربردی پویا مورد استفاده قرار میگیرد.
ICC هایی که از تأیید هویت دادههای پویا پشتیبانی میکنند، موارد داده زیر را تولید میکنند:
- کاربرد دادههای پویا امضا شده: یک مورد داده با طول متغیر که توسط ICC با استفاده از کلید خصوصی مربوط به کلید عمومی تأیید شده توسط ICC در گواهی کلید عمومی تولید میشود. این یک امضای دیجیتالی است که عناصر داده حساس مقدماتی تولید شده و ترمینال ICC را پوشش میدهد.
برای پشتیبانی از تأیید هویت دادههای پویا، هر ترمینال میتواند گواهینامه شش کلید عمومی را در هر شناسه ارائه دهنده برنامه ثبت شده (RID) ذخیره کند و اطلاعات مربوط به کلید مورد استفاده را ذخیره کند.
6.1 کلید و گواهینامه ها
برای پشتیبانی از تأیید هویت دادههای پویا، آن را به یک جفت کلید عمومی منحصر به فرد که خود متشکل از یک کلید امضای خصوصی ICC و کلید تایید هویت عمومی مربوطه خواهد داشت. کلید عمومی ICC در یک گواهینامه کلید عمومی در ICC ذخیره میشود.
به طور دقیق تر، از یک طرح صدور گواهینامه کلید عمومی استفاده میشود. هر کلید عمومی ICC توسط فرستنده آن تأیید میشود و مرجع صدور گواهینامه کلید عمومی فرستنده را تأیید میکند. این بدان معنی است که برای تأیید امضای ICC، ترمینال ابتدا باید دو گواهی را تأیید کند تا کلید عمومی ICC را که برای اعتبار امضای پویای ICC استفاده میشود، تأیید کند.
طول همه ماژول ها باید مضرب 8 باشد، چپ ترین بیت از چپ ترین بایت 1 است. تمام طول ها از نوع بایت می باشند.
6.2 بازیابی کلید عمومی سازمان صدور گواهینامه
در این ترمینال شاخص کلید عمومی صدور گواهینامه خوانده میشود. با استفاده از این ایندکس و RID، ترمینال میتواند ماژول کلید عمومی و نمایشی را که در ترمینال ذخیره شده است، اطلاعات کلید مربوطه و الگوریتم مرتبط با آن را شناسایی و بازیابی کنید. اگر ترمینال دارای یک کلید ذخیره شده در ارتباط با این ایندکس و RID نباشد، تأیید هویت داده پویا انجام نمیشود.
- رمزگذاری شماره شناسایی شخصی
در صورت پشتیبانی، رمزگذاری شماره شناسایی شخصی (PIN) برای تأیید PIN آفلاین توسط ترمینال با استفاده از مکانیسم رمزگذاری مبتنی بر نامتقارن انجام میشود تا از انتقال ایمن یک PIN از یک پد PIN آشکار به ICC اطمینان حاصل شود.
به طور دقیق تر، ICC یک جفت کلید مشترک مربوط به رمزگذاری PIN باید داشته باشد. سپس کلید عمومی توسط پد PIN یا یک جزء مطمئن ترمینال (به غیر از پد PIN) برای تغییر پین استفاده میشود و از کلید خصوصی توسط ICC برای تأیید پین رمزگذاری شده استفاده میشود.
8 برنامه رمزنگاری و احراز هویت صادر کننده
8.1 برنامه تولید رمزنگاری
8.1.1 انتخاب داده ها
رمزعبور برنامه شامل یک کد تأیید اعتبار پیام است که بر روی دادهها ایجاد میشود.
8.1.2 الگوریتم رمزگذاری برنامه
روش ایجاد برنامه رمزگذاری شامل یک بایت منحصر به فرد 16 بایت ICC رمزنگاری کلید اصلی MKAC و دادههای انتخاب شده می باشد و برنامه رمزگذاری 8 بایت را در دو مرحله زیر محاسبه میکند:
- اولین مرحله شامل استخراج یک کلید جلسه رمزنگاری شده با کاربرد 16 بایت از کلید برنامه کاربردی رمزگذاری ICC و پیشخوان رد و بدل 2 بایت (ATC) با عملکرد مشتق کلید جلسه است که در ضمیمه 3 ارائه شده است.
- مرحله دوم شامل استفاده از رمزگذاری برنامه 8 بایت در دادههای انتخاب شده با استفاده از الگوریتم MAC مشخص شده در پیوست 2 و استفاده از 16 بایت برنامه رمزگذاری رمز جلسه است که در مرحله قبل بدست آمده است.
8.2 احراز هویت صادر کننده
روش تولید رمزنگاری پاسخگویی به مجوز 8 بایت ARPC شامل الگوریتم Triple-DES است که در ضمیمه B1.1 به 8 بایت ARQC تولید شده توسط ICC مطابق با بخش 8.1 توضیح داده شده است، مجوز 2 بایت پاسخ کد ARC، و استفاده از برنامه رمزنگاری شده 16 بایت برنامه کلید جلسه SKAC به شرح زیر است:
- 2 بایت ARC را با شش بایت صفر قرار دهید تا عدد 8 بایت را بدست آورید
X := (ARC || ‘00’|| ‘00’ || ‘00’ || ‘00’ || ‘00’ || ‘00’).
- محاسبه Y: = ARQC X.
- سپس 8 بایت ARPC بدست می آید
ARPC := DES3(SKAC)[Y].
8.3 مدیریت کلید
مکانیسم های رمزگذاری برنامه و تأیید مجوز صحیح نیاز به مدیریت فرستنده کلیدهای برنامه رمزنگاری ICC منحصر به فرد دارند.
ضمیمه A1.4 روشی برای استخراج کلیدهای اصلی برنامه کاربردی رمزگذاری از ICC شماره حساب اصلی (PAN) و شماره توالی PAN را مشخص میکند.
- پیام های ایمن
اهداف پیام رسانی امن اطمینان از محرمانه بودن دادهها، یکپارچگی دادهها و تأیید فرستنده است. یکپارچگی دادهها و صدور احراز هویت با استفاده از MAC حاصل میشود. حریم خصوصی دادهها با استفاده از رمزگذاری قسمت داده حاصل میشود.
9.1 قالب پیام رسانی امن
پیام رسانی امن بر اساس یکی از دو قالب زیر انجام میشود.
قالب 1: قالب پیام رسانی ایمن مطابق با استاندارد ISO / IEC 7816-4 در بخش 5.6، که در آن کدگذاری BER-TLV و قوانین کدگذاری استاندارد ASN.1 / ISO 8825 از فرمان فیلد داده آن اعمال میشود. این به وضوح در پایینترین سطح قابل توجه بایت کلاس از دستور است که روی “C” تنظیم شده است.
همچنین همیشه یکپارچگی هدر فرمان در محاسبه MAC را نشان میدهد .
فرمت 2: قالب پیام رسانی ایمن که در آن قسمت دادههای فرمان تحت تأثیر از رمزگذاری BER-TLV برای پیام رسانی ایمن استفاده نمیکند، اما میتواند برای مقاصد دیگر استفاده شود. در این حالت اشیاء دادهها در منطقه داده و طول مربوط به آنها با استفاده از پیام رسانی امن برای فرستنده شناخته میشوند و قبلاً نیز توسط برنامه انتخاب شده شناخته شدهاند. مطابق با استاندارد ISO/IEC 7816-4 پیام رسانی ایمن مطابق با فرمت 2 به وضوح در پایین ترین سطح بایت کلاس از دستور که روی “4” تنظیم شده است.
9.2.2 استخراج کلید جلسه MAC
اولین مرحله از تولید MAC برای پیام رسانی ایمن برای یکپارچگی شامل استخراج 16 بایت کلید جلسه MAC منحصر به فرد از ICC، 16 بایت کلید اصلیMAC منحصر به فرد و 2 بایت ATC است. روشی برای انجام این کار در پیوست A1.3 مشخص شده است.
9.2.3 محاسبه MAC
MAC با استفاده از مکانیسم شرح داده شده در پیوست A1.2 با کلید جلسه MAC که در بخش 9.2.2برای پیام محافظت شده شرح داده شده محاسبه میشود.
اگر پیام رسانی ایمن مطابق با فرمت 1 باشد، پیام محافظت شده باید از سربرگ فرمان (APDU (CLA INS P1 P2 و دادههای فرمان (در صورت وجود) طبق قوانین مشخص شده در استاندارد ISO / IEC 7816-4 بخش 5.6 ساخته شود..
اگر پیام رسانی امن مطابق با فرمت 2 باشد، پیام محافظت شده با توجه به مشخصات ویژه پرداخت ایجاد میشود. با این حال، همیشه حاوی عنوان فرمان APDU و دادههای فرمان (در صورت وجود) خواهد بود.
در هر صورت، اگر MAC استفاده شده برای پیام رسانی ایمن با طول کمتر از 8 بایت مشخص شود، MAC با گرفتن کمترین (مهمترین) بایت از نتیجه 8 بایت محاسبه شده در بالا به دست می آید.
9.3.2 استخراج کلید جلسه رمزگذاری
اولین مرحله در فرآیند رمزگذاری/رمزگشایی برای پیام رسانی ایمن برای حفظ حریم خصوصی شامل به دست آوردن یک کلید جلسه رمزگذاری 16 بایت منحصر به فرد از مستر رمزگذاری 16 بایت اختصاصی ICC و 2 بایت ATC است. روشی برای انجام این کار در پیوست A1.3 آمده است.
9.3.3 رمزگذاری / رمزگشایی
رمزگذاری/ رمزگشایی قسمت دادههای فرمان ساده/ رمزگذاری شده با توجه به مکانیسم شرح داده شده در پیوست A1.1 با کلید جلسه رمزگذاری به دست آمده همانطور که در بخش 9.3.2 توضیح داده میشود صورت میگیرد.
9.4 مدیریت کلید
مکانیسم های پیام رسانی ایمن نیاز به مدیریت، توسط صادرکننده منحصر به فرد ICC MAC و رمزهای رمزگذاری مستر دارد. در ضمیمه A1.4 روشی برای استخراج ICC MAC و کلیدهای رمزگذاری اصلی از عدد حساب اصلی (PAN) و عدد توالی PAN مشخص شده است.
- اصول و سیاستهای سازمان مدیریت صدور گواهینامه کلید عمومی
در این بخش چارچوبی برای اصول و سیاستهای سیستم پرداخت برای سازمان مدیریت صدور گواهینامه کلیدهای عمومی که برای احراز هویت دادههای ایستا و پویا مورد استفاده قرار میگیرند، تعریف شده است.
اصول مفاهیمی هستند که به عنوان پایهای برای اجرای مدیریت صدور گواهینامه کلید عمومی شناخته شدهاند. این اصول میتواند سیاستهایی را ایجاد کند که ممکن است در بین سیستمهای پرداخت یا سیاستهایی که توسط سیستمهای پرداخت فردی اتخاذ شدهاند به اشتراک گذاشته شود. هر سیستم پرداخت برای اجرای این سیاستها روشهای خاص خود را توسعه میدهد.
10.1 چرخه حیات صدور گواهینامه کلید عمومی
10.1.1 چرخه حیات صدور گواهینامه کلید عمومی عادی
چرخه حیات صدور گواهینامه کلید عمومی در شرایط عادی میتواند به مراحل متوالی زیر تقسیم شود:
- برنامه ریزی
- تولید
- توزیع
- استفاده
- ابطال (برنامه ریزی شده).
10.1.2 سازش صدور گواهینامه جفت کلید عمومی
اگر یک جفت کلید عمومی صدور گواهینامه به خطر بیفتد، باید یک فرایند اضطراری آغاز شود که میتواند به لغو سریعتر جفت کلید عمومی صدور گواهینامه قبل از پایان آن منجر شود. در این حالت مراحل اضافی در چرخه حیات کلید وجود دارد:
- تشخیص
- ارزیابی
- تصمیم گیری
- ابطال (شتاب)
10.2 اصول و سیاست های ابطال کلید توسط فاز
10.2.1 اصول کلی
- لغو کلید عمومی پشتیبانی صدور گواهینامه الزامی برای کارت اعتباری و محصولات هر سیستم پرداخت است.
- در صورت لزوم سیستم های پرداخت، سیاست ها، رویه ها و برنامه های مربوط به ابطال کلید عمومی صدور گواهینامه را تنظیم می کنند.
- EMVCo، LLC، مرجع صدور گواهینامه از توضیحات مشترک مراحل ابطال کلید عمومی و اصطلاحات رایج برای ارتباطات داخلی و اعضا استفاده خواهد کرد.
- هر سیستم پرداخت به عنوان یک سیستم بسته با توجه به هرگونه الزامات قانونی نسبت به جفت کلیدهای عمومی صدور گواهینامه عمل میکند.
- هر سیستم پرداخت از نظر الزامات قانونی برای جفت کلیدهای عمومی صدور گواهینامه به عنوان یک سیستم بسته عمل میکند.
10.2.3 فاز تولید
10.2.3.1 تعریف فاز
فرآیند تولید کلید، یک سیستم پرداخت است که یک جفت کلید عمومی صدور گواهینامه تولید میکند.
10.2.3.2 اصول EMV
- جفت کلیدهای عمومی سازمان صدور گواهینامه مطابق با بهترین شیوه های مورد قبول صنعت در یک محیط امن تولید می شوند.
- در هر شناسه ارائه دهنده برنامه ثبت شده (RID)، شاخص صدور اعتبار کلید عمومی یک ارزش منحصر به فرد است که به یک جفت کلید عمومی صدورگواهینامه اشاره میکند. مقدار شاخص کلید عمومی صدور گواهینامه برای یک کلید خاص تغییر نخواهد کرد.
10.2.3.3 سیاست های سیستم پرداخت اشتراکی
- هیچ کدام تعریف نشده است.
10.2.4 فاز توزیع
10.2.4.1 تعریف فاز
فرایند توزیع کلیدی توزیع مؤلفه عمومی صدور گواهینامه جفت کلید عمومی برای ورود آن به بازار است. کلیدهای عمومی صدور گواهینامه در نهایت باید در پایانه های فروشنده ظاهر شوند. از کلیدهای خصوصی صدور گواهینامه برای تولید گواهینامه های کلید عمومی صادر کننده استفاده میشود و سیستم پرداخت مرجع صدور گواهینامه در محیط امن نگهداری می شوند.
10.2.5 فاز استفاده از کلید
10.2.5.1 تعریف فاز
این مرحله مربوط به استفاده روزمره از زوجهای کلید عمومی صدور گواهینامه است. از کپیهای کلید عمومی مجوز صدور گواهینامه برای انجام تأیید دادههای استاتیک یا پویا (SDA یا DDA) و رمزگذاری PIN در طی معاملات با کارتهای دارای مارک مناسب پرداخت استفاده میشود. کلیدهای خصوصی مجوز صدور گواهینامه توسط سیستم پرداخت مرجع صدور گواهینامه نگهداری میشوند و از آنها برای امضای کلیدهای عمومی صادرکننده و تولید گواهینامه کلید عمومی صادر کننده استفاده میشود که صادرکننده در کارتهای خود عملیات شخصی سازی انجام میدهد.
10.2.6 مرحله تشخیص
10.2.6.1 تعریف فاز
فرایندی که یک نهاد را قادر می سازد تشخیص دهد که یک زوج کلید عمومی صدور گواهینامه بوده یا به خطر افتاده است. انواع مختلفی از سازگاری، از جمله فیزیکی و منطقی، مشکوک، بالقوه و تأیید وجود دارد.
10.2.6.2 اصول EMV
EMVCo، LLC برای سیستم های پرداخت میتواند زمینه ای برای ارزیابی پیشرفتهای رمزنگاری شده ایجاد کند که ممکن است منجر به سازگاری احتمالی طرح امضای دیجیتالی مشخص شده در این مشخصات شود.
نظارت بر سازگاری كليد و تشخيص اشتباه زوج كليد عمومي يا مشكلات احتمالي بر عهده هر سيستم پرداخت است.
10.2.6.3 سیاست های سیستم پرداخت اشتراکی
اعضا باید شرایط سیستم پرداخت یا معاملات را که حاکی از سازگاری احتمالی یا مشکوک یک زوج کلید عمومی صدور گواهینامه از آن سیستم پرداخت است را مطلع سازند.
10.2.7 مرحله ارزیابی
توجه: این مرحله فقط برای لغو سریعتر اعمال میشود.
10.2.7.1 تعریف فاز
اگر یک سازگاری در کلید عمومی صدور گواهینامه شناسایی یا مشکوک شود، مالک باید تأثیر سیستم پرداخت را بر فعالیتهای تجاری ارزیابی کند.
ارزیابی شامل تأیید سازگاری، تعیین دوره های عملی ممکن، ارزیابی هزینه اقدام در برابر هزینه ها و ریسک سازگاری و ارائه نتایج ارزیابی برای پشتیبانی از تصمیم است.
10.2.7.2 اصول EMC
- ارزیابی سازگاری گواهینامه سازمان زوج کلید عمومی مشکوک یا بالقوه بر عهده هر سیستم پرداخت است.
- سیستمهای پرداخت سیاست های ارزیابی و روشهایی را دنبال میکنند که از بهترین روشهای پذیرفته شده در مدیریت ریسک پیروی میکنند.
- سطوح مختلف سازگاری وجود دارد که بسته به سازگاری و ارزیابی کسب و کار نیاز به اقدامات متفاوتی دارد.
10.2.7.3 سیاستهای سیستم پرداخت اشتراکی
ارزیابی سیستم پرداخت شامل هزینه های واقعی و اعتبار برای سیستم پرداخت و اعضا میشود. دوره های اقدام بالقوه شامل تأثیر ارزیابی اعضا و بازار خواهد بود.
10.2.8 مرحله تصمیم گیری
توجه: این مرحله فقط برای لغو سریعتر اعمال میشود.
10.2.8.1 تعریف فاز
در نتیجه فاز ارزیابی، یک سیستم پرداخت تصمیم میگیرد که اقدامی راجع به توافق زوج کلید عمومی صدور گواهینامه انجام شود.
10.2.8.2 اصول EMC
- تصمیم به ابطال کلید عمومی صدور گواهینامه به صلاحدید سیستم پرداختی است که مرجع صدور گواهینامه را برای آن کلید عملیاتی میکند.
- سیستم های پرداخت مجموعه ای از خط مشی ها و رویه ها را توسعه و منتشر خواهند کرد، که جزئیات فرایند تصمیمگیری در مورد لغو سریع کلید را برای اعضا ارائه میدهد. این خط مشی ها شامل یک روش اطلاع رسانی برای همه ناشران و گیرندگان خواهد بود.
10.2.8.3 سیاستهای سیستم پرداخت اشتراکی
- هیچ یک تعریف نشده است.
10.2.9 فاز ابطال
10.2.9.1 تعریف فاز
فرآیند مدیریت کلیدی برای یک کلید با استفاده از سرویس و برخورد از آنها است. ابطال کلید میتواند به صورت برنامه ریزی شده یا فوری باشد. در مورد زوج کلید عمومی صدور گواهینامه ابطال بدین معنی است که دیگر از کلید خصوصی برای صدور گواهینامه های کلید عمومی استفاده نمیشود و کپیهای کلید عمومی از خدمات در ترمینالها خارج می شوند صدور گواهینامههای کلید عمومی (از یک تاریخ خاص) که با کلید خصوصی امضا شدهاند، دیگر برای گردش کارت های IC صدق نمیکنند.
10.3 جدول زمانبندی نمونه
نمودارهای زیر، براساس اصول و سیاستهای تشریح شده در این سند جدول زمانی نمونه برای ابطال و ارتقاء کلیدهای عمومی صدور گواهینامه را ارائه میدهند. هر جدول زمانی بیانگر تعریف کلید یا انصراف کلید است. در صورت تعریف سریع یا انصراف، زمان تاخیر برای انجام وظایف یکسان خواهد بود، اما ماه تاریخ تعریف کلید اصلی و ابطال کلید در اختیار سیستم پرداخت است.
- ترمینال امنیتی و الزامات مدیریت کلید
در این بخش الزامات عمومی ترمینال برای پردازش دادههای حساس مانند پینهای متنی ساده و کلیدهای رمزنگاری توضیح داده میشود. به طور خاص، پد PIN برای مجوز کلیدهای عمومی، الزامات امنیتی و الزامات مدیریت کلید را برطرف میکند.
11.1.2 پدهای PIN
یک پد PIN باید یک دستگاه آشکار کننده باشد. باید از ورود یک PIN، 4-12 رقمی پشتیبانی کند. هنگامی که یک صفحه نمایش در یک پد PIN موجود است، باید نشانگر ورود هر رقم باشد. با این حال، مقادیر پین وارد شده باید مطابق استاندارد ISO 9564-1 قابل مشاهده باشد یا نباید توسط ابزارهای بازخورد صوتی نشان داده یا افشا شود.
هنگامی که ترمینال از تأیید PIN به صورت آفلاین پشتیبانی میکند، IFD و پدPIN یا باید در داخل یک دستگاه آشکار کننده یکپارچه شوند یا IFD و پد PIN دو وسیله جداگانه دستگاه آشکار کننده هستند.
11.2 الزامات مدیریت کلید
در این بخش الزامات مدیریتی توسط گیرندگان کلیدهای عمومی صدور گواهینامه در ترمینالها مشخص شده است. شرایط لازم مراحل زیر را شامل میشود:
- تعریف کلید عمومی صدور گواهینامه در ترمینال
- ذخیره کلید عمومی صدور گواهینامه در ترمینال
- استفاده از کلید عمومی صدور گواهینامه در یک ترمینال
- انصراف کلید عمومی صدور گواهینامه از یک ترمینال
11.2.1 تعریف کلید عمومی صدور گواهینامه
هنگامی که یک سیستم پرداخت تصمیم به تعریف کلید عمومی جدید صدور گواهینامه میگیرد، روندی انجام میشود که اطمینان حاصل شود که کلید جدید از سیستم پرداخت به هر گیرنده توزیع میشود. پس از آن مسئولیت گیرنده است که اطمینان حاصل شود که کلید عمومی صدور گواهینامه و دادههای مرتبط به ترمینال های آنها ارسال شود.
این اصول زیر برای تعریف کلید عمومی صدور گواهینامه از یک گیرنده تا ترمینال های آن اعمال میشود:
- ترمینال باید بتواند کلید عمومی صدور گواهینامه و دادههای مربوط بررسی کند که بدون خطا از گیرنده دریافت کرده است.
- ترمینال باید بتواند تأیید کند که کلید عمومی صدور گواهینامه و دادههای مربوط از گیرنده قانونی آن منشأ گرفته است.
- گیرنده باید بتواند تأیید کند که کلید عمومی صدور گواهینامه واقعاً در ترمینال های آن به درستی تعریف شده است.
11.2.2 ذخیره سازی مجوز کلید عمومی
ترمینالهایی که از دادههای استاتیک و دادههای پویا برای تأیید هویت پشتیبانی میکنند، باید از شش کلید عمومی مرجع صدور گواهینامه در هر شناسه ارائه دهنده برنامه ثبت شده (RID) برای برنامه های اعتباری Europay، MasterCard و Visa بر اساس مشخصات EMV برای سیستم های پرداخت نسخه 4.0 پشتیبانی کنند.
11.2.4 انصراف مجوز صدور گواهینامه کلید عمومی
هنگامی که یک سیستم پرداخت تصمیم به ابطال مجوز یکی از کلیدهای صدور گواهینامه میگیرد، گیرنده باید اطمینان حاصل کند که مجوز کلید عمومی دیگر در ترمینالها برای تأیید صحت دادههای استاتیک و پویا از یک تاریخ خاص استفاده نمیشود.
اصول زیر برای گیرنده مجوز صدور گواهینامه کلیدهای عمومی از ترمینال های انتقال دهنده اعمال میشود:
- ترمینال باید بتواند تأیید کند که اعلان انصراف را بدون خطا از گیرنده دریافت کرده است.
- ترمینال باید بتواند تأیید کند که اعلان انصراف دریافتی از گیرنده قانونی آن بوده است.
- گیرنده باید بتواند تأیید کند که یک مجوز صدور گواهینامه کلید عمومی به درستی از ترمینال های آن گرفته شده است.