Noul standard ISO 9564 asigura securitatea numerelor PIN
De cate ori si in cate locuri ati introdus PIN-ul cardului d-voastra bancar de-a lungul unei zile ? Pentru a asigura faptul ca integritatea acestor date este protejata in cadrul tuturor tranzactiilor, ISO a revizuit din punct de vedere tehnic si a actualizat cerintele standardului care prezinta modalitatea de gestionare si securitatea PIN-urilor (ISO 9564-1).
De ce este nevoie de un standard international pentru managementul numerelor PIN ? Sa luam exemplul unei singure institutii financiare, Visa. In anul 2007, Visa a avut 20 000 de banci membre, 1.59 de miliarde carduri aflate in circulatie generatoare a unui numar de 59 miliarde de tranzactii pe an, cu varfuri de mai mult de 6 800 tranzactii pe secunda.
Standardul ISO pentru managementul numerelor PIN ajuta la protejarea numerelor de identificare utilizate in procesul de verificare a cardului impotriva divulgarii neautorizate, compromiterii si utilizarii abuzive peste tot in lume.
Standardul contribuie astfel la reducerea la minimum a riscului de frauda prin intermediul sistemelor electronice de transfer de fonduri.
Mark Sutton, presedinte al subcomisiei care a dezvoltat standardul, explica: “Durata de viata a unui cod PIN poate fi lunga, prin urmare utilizarea lui se va face in mai multe tari diferite, ATM-uri, magazine sau chiar si on-line.
Secretizarea codului trebuie sa fie asigurata in orice moment, atat pentru tranzactiile online cat si pentru cele offline, din momentul alocarii pana la dezactivarea acestuia (inclusiv la emiterea cardului, in timpul depozitarii, introducerii, transmiterii si validarii de date etc). ”
Standardul ISO 9564-1:2011, Servicii financiare – Gestionarea si securizarea numarului personal de identificare (PIN) – Partea 1: Principii de baza si cerintele codurilor PIN in sistemele bazate pe card
precizeaza principiile si tehnicile care asigura masurile de securitate minime necesare pentru gestionarea internationala eficienta a codului PIN.
Aceste masuri sunt aplicabile pentru institutiile responsabile de gestionarea si protectia codurilor PIN in timpul crearii, emiterii, folosirii si dezactivarii lor. Verificarea codurilor PIN, online si offline, poate avea cerinte de securitate foarte diferite.
Deoarece codurile PIN online pot fi verificate independent de cartela in sine, orice tip de card de plata sau dispozitiv poate fi utilizat pentru a initia o tranzactie. Cu toate acestea, exista cerinte speciale pentru cardurile utilizate in verificari offline.
Acest lucru se intampla in special deoarece acest tip de card nu impune ca PIN-ul detinatorului cardului sa fie trimis la emitent pentru verificare. Aceasta parte a ISO 9564 este proiectata astfel incat emitentii se pot asigura ca un cod PIN este gestionat corespunzator in timp ce se afla sub controlul altor institutii.
Sunt oferite o serie de tehnici pentru protejarea procesului de autentificare bazat pe PIN, pe parcursul ciclului sau de viata.
“Standardul actualizat, ISO 9564-1, va ajuta bancile si partenerii lor in mentinerea secretului cheiii criptografice. Acest lucru este extrem de important tinand cont ca orice cheie compromisa poate pune in pericol securitatea PIN-ului “
explica dl Sutton.
ISO 9564 poate fi obtinut de la ASRO in Romania; de asemenea, poate fi obtinut direct de la secretariatul central ISO, la pretul de 118 franci elvetieni, prin ISO Store sau prin contactarea departamentului de marketing, comunicare si informare al ISO.