GB/T 21078.1-2023《金融服务 个人识别码管理与安全 第1部分：基于卡系统的PIN基本原则和要求》

GB/T 21078.1-2023《金融服务 个人识别码管理与安全 第1部分：基于卡系统的PIN基本原则和要求》基本信息

标准号：GB/T 21078.1-2023

中文名称：《金融服务 个人识别码管理与安全 第1部分：基于卡系统的PIN基本原则和要求》

发布日期：2023-03-17    

实施日期：2023-03-17

发布部门：国家市场监督管理总局  国家标准化管理委员会    

归口单位：全国金融标准化技术委员会(SAC/TC 180)    

起草单位：中国银联股份有限公司、北京银联金卡科技有限公司、中国农业银行股份有限公司

起草人：赵海、汤洋、袁思思、张彦超、谭亦夫、刘刚、马骏、王鹏    

中国标准分类号：A11金融、保险

国际标准分类号：35.240.40信息技术在银行中的应用

GB/T 21078.1-2023《金融服务 个人识别码管理与安全 第1部分：基于卡系统的PIN基本原则和要求》介绍

国家市场监督管理总局和国家标准化管理委员会联合发布了GB/T 21078.1-2023《金融服务 个人识别码管理与安全 第1部分：基于卡系统的PIN基本原则和要求》。GB/T 21078.1-2023标准于2023年3月17日发布，并于同日实施。

一、标准概述

标准内容涵盖了PIN的生成、使用、存储、传输以及销毁等各个环节，确保个人识别码在整个生命周期内的安全性得到充分保障。

二、PIN生成与分配

标准规定了PIN生成与分配的基本原则和要求。PIN的生成应确保其随机性和不可预测性，以防止被轻易破解。PIN的分配应保证唯一性，即每个用户拥有唯一的PIN。标准还对PIN的位数和字符集提出了要求，以确保其安全性和易于记忆。

三、PIN的使用与验证

在使用和验证PIN时，标准提出了一系列要求。用户在输入PIN时，应通过安全的方式进行，防止被他人窥视。金融机构应在验证PIN时采用加密技术，确保传输过程的安全。标准还规定了PIN的验证次数和超时机制，以防止恶意攻击。

四、PIN的存储与保护

PIN的存储和保护是保障其安全的关键环节。标准要求金融机构在存储PIN时，应采用加密技术，防止数据泄露。金融机构还应加强对存储系统的安全防护，防止被黑客攻击。对于不再使用的PIN，标准规定了销毁的要求，确保其不被重新利用。

五、PIN的传输与交换

在PIN的传输和交换过程中，标准提出了严格的安全要求。金融机构在传输PIN时，应采用安全的通信协议，防止数据在传输过程中被截获。标准还规定了PIN的交换流程，确保在不同金融机构之间进行PIN交换时，其安全性得到保障。

六、PIN的更新与注销

为了应对PIN泄露的风险，标准规定了PIN的更新和注销机制。用户在发现PIN可能泄露的情况下，应及时更新PIN，以确保账户安全。金融机构应提供便捷的PIN更新服务，方便用户操作。在用户注销账户时，标准要求金融机构应注销其PIN，防止被他人利用。

七、安全要求与评估

标准还对金融机构提出了一系列安全要求，包括对PIN系统的安全管理、风险评估和应急预案等。金融机构应定期对PIN系统进行安全评估，确保其符合标准要求。金融机构还应制定应急预案，以应对可能出现的安全事件。

GB/T 21078.1-2023《金融服务 个人识别码管理与安全 第1部分：基于卡系统的PIN基本原则和要求》的发布，为金融机构提供了一个全面的PIN管理与安全指南。通过遵循该标准，金融机构可以更好地保障用户的交易安全，提升金融服务的质量和效率。该标准的实施也将有助于推动金融服务行业的健康发展。