روش های صحت سنجی رمز مشتری

PTS مخفف PIN Transaction Security و استاندارد امنیت تراکنش احراز هویت بوده و از الویت های استراتژیک PCI محسوب می شود و هدف اصلی آن حفاظت از PIN می باشد.

عصر بانک؛روش های صحت سنجی رمز مشتری به دو روش آنلاین و آفلاین تقسیم می شود که در ادامه درباره آنها توضیح داده شده است:

روش های صحت سنجی رمز مشتری

Online PIN verification :

در این روش صحت شماره رمز مشتری به صورت Online  و توسط سوییچ کارت کنترل می گردد که مرتبط با کارت های مغناطیسی و هوشمند می باشد:

 

 

  •   استفاده از کلید های متقارن با الگوریتم های DES/3DES در تولید کلید Session
  •   استفاده از کلید های متقارن DES و 3DES در روش DUKPT (Drive Unique Key Per Transaction)
  •   بارگذاری کلید به صورت امن
  •   عدم تشابه کلید ها
  •   عدم دسترسی برنامه به رمز وارد شده توسط مشتری
  •   پشتیبانی از استاندارد ISO 9564-2 در این استاندارد الگوریتم های رمزنگاری PIN (Personal Identification Number) تعریف شده است.

Offline PIN verification:

در این روش صحت شماره رمز مشتری به صورت offline توسط کارت هوشمند کنترل می گردد. تبادل کلید بین پایانه و کارت به صورت های زیر می تواند باشد :

 

 

  •   بررسی صحت شماره رمز با ارسال PIN  وارد شده به کارت
  •   بررسی صحت شماره رمز با ارسال PIN رمز شده به کارت
  •   استفاده از تولید کننده شماره تصادفی مطابق NIST 800-22
  •   عدم دسترسی برنامه به ریز وارد شده توسط مشتری
  •  رمز باید در PED وارد شده باشد.
  •  PIN برای کنترل به کارت ارسال کردد.

 

پایه و اساس کار این استاندارد افزایش کنترل ها روی داده می باشد و در تمام بخش هایی که اطلاعات دارنده کارت را نگهداری و پردازش و تبادل می کنند ، قابل استفاده است .

 

نوع دستگاه ها:

هدف این استاندارد حفاظت منطقی و یا فیزیکی دارنده کارت و یا سایر اطلاعات حساس در دستگاه های نقطه تعامل (POI) و ماژول های امنیتی سخت افزار (HSM) است :

POI : یک محصول پذیرش تراکنش الکترونیکی است. یک POI متشکل از سخت افزار و نرم افزار و تجهیزات پذیرش تراکنش کارت دارنده کارت است. POI ممکن است با مراقب یا بی مراقب باشد . تراکنش های POI  شامل تراکنش های مبتنی بر کارت IC،نوار مغناطیسی ، و غیر تماسی است.

HSM : یک دستگاه سخت افزاری فیزیکی و منطقی محافظت شده است که مجموعه ای امن ز خدمات رمزنگاری را فراهم می کند . این دستگاه شامل مجموعه ای از سخت افزار، سیستم عامل ( نرم افزار دائمی ) ، نرم افزار ، و یا ترکیبی از آن ها است که منطق رمز نگاری ،فرآیند های رمزنگاری و یا هردوی آن ها از جمله الگوریتم های رمزنگاری را پیاده سازی می کند.

منبع: استانداردهای امنیتی پرداخت الکترونیک PCI

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.