GM_T 0076-2019银行卡信息系统密码应用技术要求.pdf

GM中华人民共和国密码行业标准GM/T0076—2019银行卡信息系统密码应用技术要求Cryptography technical requirements for banking card information systems2019-07-12发布2019-07-12实施国家密码管理局发布 GM/T 0076—2019目次前言引言范围规范引用文件术语和定义缩略语银行卡信息系统模型密码应用基本要求和密码应用功能要求银行卡信息系统密码技术安全保护二级要求7.1基本要求7,2密码技术安全要求7.2.1物理和环境安全7.2.2网络和通信安全7,2.3设备和计算安全7,2.4应用和数据安全7.2.5密码配用策略要求7.3密钥安全与管理要求7.3.1总则7.3.2密钥安全7.3.3密钥管理07.4安全管理要求127.4.1概述L27.4.2安全管理制度27.4.3人员管理要求27.4.4密码设备管理137.4,5使用密码的业务终端要求银行卡信息系统密码技术安全保护三级要求.8.1基本要求8.2密码技术安全要求138.2.1物理和环境安全138.2.2网络和通信安全8.2.3设备和计算安全58.2.4应用和数据安全17 GM/T 0076—2019在6位以上并由字母、数字、符号等混合组成并定期更换。验证码与动态口令计算安全的组成部分，在银行卡信息系统密码技术安全保护二级要求中，对设备和计算安全-验证码与动态口令指标傲如下要求：a)使用手机短信或其他渠道发送验证码时，应使用正确的密码技术，确保发送的动态口令完全随机，不可预测，b)使用手机短信或其他渠道发送验证码时，应确保不会泄露验证码的内容；e)如果使用OTP令牌进行身份校验，应使用正确的密码技术，确保OTP完全随机，不可预测。密码模块块”指标做如下要求；应使用符合GM/T0028的二级及以上密码模块或通过国家密码管理部门核准的硬件密码产品实现密码运算和密钥管理：a)系统的专用硬件或件以及密码设备应实现授权控制、非授权访间的检测、运行状态指示等安全功能，保证密码模块能够在核准的工作模式下正确运行；b)系统的专用硬件或固件以及密码设备应能够防止非授权地泄露模块的内容或关健安全参数；系统的专用硬件或固件以及密码设备应能够防止对密码模块和密码算法进行非授权或检测不到的修改。7.2.4应用和数据安全总则参照GM/T0054一2018中应用和数据安全密码应用总则。数据传“数据传输”“数据存储和“终端应用”是银行卡信息系统“应用和数据安全的组成部分。在银行卡信息系统密码技术安全保护二级要求中，对“应用和数据安全-数据传输指标做如下要求：a）宜使用密码技术的完整性服务对重要用户数据和系统管理数据、鉴别信息等重要业务数措来实现在传输过程中完整性的检测，其密码功能应确保正确、有效；b)应使用交易信息的安全通道传输协议（SSL/TLS，且应符合GM/T0024要求）进行加密传输；c)对于银行卡主账号、磁道（含芯片等效磁道信息）信息、卡验证码(CVN、CVN2)个人身份识别码(PIN)、卡片有效期等敏感账户信息，以及用户证件号码、手机号码等关键字段，应使用密码技术进行机密性保护。数据存储在数据存储安全方面，可使用密码技术的完整性服务来实现对系统管理数据、鉴别信息、关键链配置信息和重要业务数据在存储过程中完整性的检测，其密码功能应确保正确、有效。6 GM/T 0076—20终端应用卡信息系统密码技术安全保护二级要求中，对“应用和数据安全-终端应用指标微如下要求；a)宜使用密码技术的完整性服务来实现重要程序完整性校验，其密码功能应确保正确、有效；b)终应用不应明文或编码存储用户的口令、支付密码、PAC.CVV等敏感信息；c)终端应用在处理用户输人的敏感数据时，如口令、支付密码等，宜采取安全措施，保证敏感数据的机密性，确保不被非授权获取。7.2.5密码配用策略要求密码算法配用行卡信息系统密码配用策略要求”的组成部分，在银行卡信息系统密码技术安全保护二级要求中，对“密码配用策略要求-密码算法配用指标做如下要求：应采用国家密码管理主管部门批准使用的算法。密码协议使用行卡信息系统密码配用策略要求”的组成部分。在银行卡信息系统密码技术安全保护二级要求中，对“密码配用策略要求-密码协议使用指标做如下要求：应采用通过家密码管理主管部门安全性评审的密码协议实现密码功能。应用密文产生行卡信息系统密码配用策略要求”的组成部分。应用密文应由基于以下数据生成的报文鉴别码组成：引用IC卡的DOL并通过生成应用密文(GENERATEAC)命令或其他命令从终端传输到IC卡的数据；IC卡内部访间的数据，建议的应用密文生成中使用的最小数据集如表1所示，可造的应用密文生成数据源如表2所示，表 1建议的应用密文生成中使用的最小数据集来泵授权金