07-QCUP 007.7-2012 银联卡受理终端安全规范 第7部分 个人终端安全规范

Q/CUP

中国银联股份有限公司发布

Q/CUP 007.7—2012

目次

前言 ............................................................................. II

1 范围 (1)

2 规范性引用文件 (1)

3 术语和定义 (1)

4 个人支付终端硬件要求 (2)

5 个人支付终端物理安全要求 (3)

6 个人支付终端逻辑安全要求 (3)

7 个人支付终端生产安全管理要求 (5)

I

Q/CUP 007.7—2012

前言

本标准对受理银联卡（包括磁条卡和IC卡）终端的硬件和安全做具体规定。

本标准由以下七个部分组成：

——第1部分：销售点终端安全规范

——第2部分：商户信息系统安全规范

——第3部分：自助终端安全规范

——第4部分：ATM终端安全规范

——第5部分：固话电话支付终端安全规范

——第6部分：PIN输入设备安全规范

——第7部分：个人支付终端安全规范

本部分为《银联卡受理终端安全规范》的第7部分。

本部分由中国银联提出。

本部分由中国银联技术管理部组织制定和修订。

本部分的主要起草单位：中国银联技术管理部

本部分的主要起草人：

II

Q/CUP 007.7—2012

银联卡受理终端安全规范

第7部分个人支付终端安全规范

1 范围

本标准规定了通过手机、PC机等接入网络的个人支付终端设备的安全规范，包括个人支付终端的硬件设备要求和安全体系要求。本规范适用范围为个人持有终端，所有银联成员机构、设备提供商、项目实施方可参照此规范采购生产个人支付终端。本规范不适用于商户收单使用的终端，商用终端安全要求参见《银联卡受理终端安全规范》（第1、2、3、5、6部分）。

2 规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。凡标注日期的引用文件，对于标注日期之后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，但是，鼓励根据本标准达成协议的各方研究是否可使用这些引用文件的最新版本。凡不标注日期的引用文件，其最新版本均适用于本标准。

JR/T 0025-2010 中国金融集成电路IC卡规范

JR/T 0001-2009 银行卡销售点（POS）终端规范

Q/CUP 007-2010 银联卡受理终端安全规范

Q/CUP 037.1.2-2011 中国银联移动支付技术规范第一卷：基础规范第二部分移动终端支付应用软件安全规范

Q/CUP 041.9-2011 多用途互联网终端应用规范

3 术语和定义

3.1

银行卡 bank card

商业银行等金融机构及邮政储汇机构向社会发行的，具有消费信用、转账结算、存取现金等全部或部分功能的信用支付工具。

3.2

持卡人 card holder

银行卡的合法持有人，即与卡对应的银行账户相联系的客户。

3.3

磁条卡magnetic stripe card

物理特性符合GB/T 14916 标准，磁条记录符合GB/T 15120 、GB/T 15694-1、ISO 7812-2、GB/T17552标准的银行卡片。

3.4

收单机构acquirer

与商户签有协议或为持卡人提供服务，直接或间接凭交易单据（包括电子单据或纸单据）参加交换的清算会员单位。

3.5

个人标识码personal identification number； PIN

1

Q/CUP 007.7—2012 即个人密码，是在联机交易中识别持卡人身份合法性的数据信息，在计算机和网络系统中任何环节都不允许PIN以明文的方式出现。

3.6

销售点终端point of sale；POS

能够接受银行卡信息，具有通讯功能，并接受柜员的指令而完成金融交易信息和有关信息交换的设备。

3.7

个人支付终端 personal payment terminal；PPT

用于个人支付使用，具有获取账户信息和PIN信息，并通过网络经过加密将金融交易信息传输至后台完成交易的设备。

3.8

敏感数据（信息） Sensitive Data（Information）

必须防止被非法泄露、修改或破坏的数据，特别是明文PIN和加密密钥以及包含设计特点、状态信息的数据。

3.9

双重控制 Dual control

通过两个以上的独立实体协同工作去保护敏感功能或信息的机制。

3.10

逻辑安全性 Logical Security

设备在功能上抵御攻击的能力。

3.11

物理安全性 Physical Security

设备在物理构造上抵御攻击的能力。

3.12

设备认证密钥 Terminal identify key； TIK

对个人终端设备识别信息进行加密的密钥，存储于设备的硬件安全芯片中，只能使用，不能读取，该密钥必须与加密算法放在同一加密芯片里。

3.13

工作密钥 working key；WK

也称为数据密钥，包括但不限于PIN加密密钥、磁道数据密钥（TDK），该密钥存储于设备的硬件安全芯片中。

4 个人支付终端硬件要求

4.1 磁条阅读器

磁条阅读器应能够准确阅读在磁性标准正常范围内的磁道信息，并应同时读取磁条卡的二、三磁道数据，能正确读取2,750奥斯特的高抗磁条卡。凡符合GB/T 14916、GB/T 15120、GB/T 15694-1、GB/T 17552标准的磁条卡都能读取。刷卡方向可采用单向或双向，刷卡速度范围为10厘米/秒～100厘米/秒，磁条读卡器寿命应达到40,000次以上。

注 磁条阅读器在读取卡号时应优先通过磁条卡的第二磁道数据读取，如第二磁道数据无法正常读取，可从第一磁道或第三磁道读取，受理方原样上送磁道信息，由发卡方判断合法性。

4.2 IC卡阅读器

接触式IC卡读卡器用来接受用户IC卡插入并与IC卡进行命令数据传递通讯，该读卡器模块包括机械、电气和逻辑协议等部分要求参见JR/T 0025.3《中国金融集成电路IC卡规范》。

2

Q/CUP 007.7—2012 对于非接触式读卡器射频兼容标准、磁场强度、非接触处理芯片、协议兼容性应满足JR/T 0025.11《非接触式IC卡通讯规范》要求。

终端在IC卡读卡器插槽附近有一明显标记指示如何插入IC卡。IC卡读卡器的插拔次数应大于10,000次。非接触式读卡器标记指示参照《非接支付终端非接标识使用规范》。

4.3 加密键盘

个人支付终端密码键盘至少应具有10个数字键，若干功能键，功能键应至少包括清除和确认两种功能。加密键盘输出密码至显示屏，不能显示明文，只能显示无意义字符号，如*号。

加密键盘的使用寿命应保证每键可敲击300,000次以上。

4.4 显示屏

显示屏应可显示ASCII可视字符；如支持汉字，字符集应至少符合国家标准GB/T2312；

4.5 终端通讯接口

形式采用以下全部或部分通讯接口：

——模拟音频接口

——USB接口

——其他

4.6 对工作环境温湿度的要求

POS终端一般应能在温度为0°C～40°C，相对湿度为20%～93%（40°C）的环境下稳定工作，在特殊环境下工作的POS终端应能满足特殊环境的特殊要求。

4.7 抗跌落能力

宜采用达到如下抗跌落能力的POS终端，即在初速度为0的条件下，POS从1m高处做自由落体运动跌落到水泥地面，外壳无明显破损，各部分可正常工作。

4.8 可靠性

除非特殊部件另有规定，无故障工作时间不低于10,000小时。

5 个人支付终端物理安全要求

5.1 入侵检测机制

终端设备应具备一定的安全保护功能，应保证在非正常打开或对安全区域敏感信息非正常读取时设备失效并擦除设备中安全区域敏感信息。

5.2 密码按键声音

终端设备如具有PIN输入按键，应保证PIN输入时的声音提示，每一位PIN所发出的声音和输入其他位PIN所发出的声音应保持一致，无法辨别。

5.3 独特外观设计

PIN输入设备或IC卡读写器应经过合理设计，以保证无法利用在零售市场上可买到的商品组件来组装PIN输入设备或IC卡读写器。例如，设备电子部件的外壳不是通用的。

6 个人支付终端逻辑安全要求

6.1 自检测试

终端要实现自检功能，其中包括在B4中描述的完整性和真实性测试，包括开机以及每天至少一次检查，检测对象包括固件、表征篡改迹象的安全机制，以及终端是否处于被攻击状态。当自检失败时，终端及其功能可在安全的方式下失效。

6.2 固件更新

如果终端执行固件更新，设备应加密验证软件的完整性，如果验证未通过，应拒绝并删除软件更新。

6.3 内存清除

3

Q/CUP 007.7—2012 PIN输入设备应严格控制敏感信息的存在时间和使用次数。设备在下面任一情况必须自动清空其内部保存得敏感信息：

——交易已经完成；

——PIN输入设备等待持卡人或商户的响应超时。

6.4 敏感服务保护

终端的敏感服务用于访问敏感功能，敏感功能处理终端中如密钥、PIN和口令等敏感数据，使用终端的敏感服务必须通过身份验证。进入或退出敏感服务不应泄露或改变终端中的敏感信息。

6.5 敏感服务限制

为减小由未授权使用敏感服务而带来的风险，应对操作次数和时间进行强制限制，当超出限制后终端应强制返回正常状态。

6.6 密钥管理

终端中执行密钥管理技术需要同时遵守ISO11568和ANSI X9.24，或者符合两者之一。密钥管理技术应符合ANSI TR-31。

6.7 密钥保护

不可利用设备内的工作密钥或密钥加密密钥去加密或解密其他任意的数据。设备必须强制使数据密钥，密钥加密密钥和PIN加密密钥有不同的值。

6.8 明文密钥管理

不应存在机制，允许输出明文私钥、明文密钥或者明文PIN，或者使用本身可能已经泄露的密钥来加密密钥或PIN，或者从高安全级组件向低安全级组件传输明文密钥。

6.9 密钥替换

如果终端能够保存多个加密密钥而且能够在外部选择加密PIN的密钥，那么终端禁止未经授权的密钥替换和密钥滥用。

6.10 终端合法性认证

个人支付终端首次使用时应与持卡人进行有效身份绑定，每次应用之前需与后台进行合法性认证。

6.11 PIN安全

6.11.1 PIN加密

在个人终端应用过程中应保证PIN的密文传输。

——对于PIN的输入，如通过终端设备输入，应采用硬件加密，加密密钥应保存在硬件安全芯片或处理器的安全区域中。加密算法可采用对称加密算法或非对称加密算法，对称加密算法应保证加密密钥一机一密；采用非对称加密算法，PIN通过公钥加密，应保证公钥存储安全，防止非授权的读取、使用和更改。

——如PIN通过手机、PC机等输入，应符合以下安全要求：

z输入认证/支付密码等敏感信息时，需采取技术措施防止密码盗取，技术手段可包括但不限于以下方式：

z所用户输入的客户端登陆密码、银行卡密码等敏感信息不得在界面上显示明文；

z密码等敏感信息采用软键盘方式输入；

z敏感信息输入后需要立即采用健壮的算法加密；

z对于反复尝试并输入错误密码超过一定次数的，进行软件登陆和支付交易控制，必要时可根据业务规则予以交易阻断。

6.11.2 PIN输入安全

输入非PIN数据时设备显示的提示内容应具备安全控制。如果该提示内容是存储在终端内部，应保证该提示信息不会被非法修改；如果该提示内容来源于终端外部，那么设备安全机制要保证提示内容的完整性、正确使用和不被非法修改或使用。

6.11.3 PIN防穷举

4

Q/CUP 007.7—2012 终端应具有防止利用盗取的设备穷举探测获得PIN值的特性。

6.12 帐户信息安全要求

6.12.1 磁道信息、卡片验证码、个人标识代码、卡片有效期

终端只能在交易存储转发及冲正处理过程中保存必需的最基本的账户信息，不得存储银行卡磁道信息、卡片验证码、个人标识代码（PIN）及卡片有效期等敏感信息。敏感帐户信息不允许以任何明文形式传输。

6.12.2 磁道信息加密

——磁道信息应由个人支付终端设备读取并进行硬件加密，不允许以任何明文形式出现在个人终端、手机、PC内存、客户端等交易通信过程中。

——磁道加密算法可采用对称加密算法和非对称加密算法。磁道加密采用对称加密算法应保证加密密钥的一机一密；采用非对称加密算法，终端使用公钥加密，应保证公钥存储安全，防止非授权的读取、使用和更改。

——磁道加密密钥存储在硬件安全芯片或处理器的安全区域中。

6.13 卡号屏蔽要求

如业务涉及卡号显示，须进行屏蔽保护，卡号的前六位和后四位正常显示，其余卡号位进行’*’屏蔽，如6222 01** **** ***1 116。

6.14 网络安全要求

6.14.1 通信网络的安全要求

——在易被攻击者截获、篡改和重定向的网络上传输敏感信息时必须加密。

——使用强壮的加密算法和安全协议，例如安全套接字层（SSL）/传输层安全（TLS）和IP安全协议（IPSEC）来保护敏感数据在开放/公共的网络上的传输。

——通过无线网络传输支付卡信息时，不要仅仅依赖WEP保护无线网络的机密性和访问权限，还应使用IPSEC VPN 或SSL/TLS或（）进行传输加密。

——客户端支付软件和本地其他实体间的数据传输需要采用数字签名和加密等安全方式，确保数据不被监听和篡改。

6.14.2 报文的完整性要求

应保证交易报文在通信过程中的完整性。防止交易报文中涉及的交易金额、交易日期、订单号等重要信息在交易过程中被非法篡改。

6.14.3 远程控制

终端应具备防远程控制安全机制，防止非法利用木马等病毒远程控制设备，进行非法交易。

6.14.4 远程固件更新

如果设备固件能够进行远程更新，那么设备必须通过加密机制验证更新固件的完整性和真实性。如果未确认其完整性和真实性，那么设备应拒绝进行固件更新或清除设备中所有的密钥。

6.15 加密算法

对称加密可采用3DES加密算法，至少双倍长密钥128bit；

非对称加密可采用RSA算法,可采用1152位、1408位、1984位RSA。

6.16 真实信息的注册和绑定

个人终端的初次使用需进行业务平台注册，在完成设备认证后，提交持卡人个人信息，实现个人终端与持卡人真实信息的绑定，以保证个人终端设备的个人使用，宜支持对绑定卡片的数量进行限制。

7 个人支付终端生产安全管理要求

——如涉及密钥的生成和灌装，应保证密钥的安全性，不可以明文形式出现。

——终端生产过程中必须采取变更控制机制，保证当设备的任何物理或逻辑特性发生改变时，设备都应按照本规范的物理安全性要求或逻辑安全性要求进行重新评估。

5

Q/CUP 007.7—2012 ——固件的更新应采用授权或密码验证方式进行，授权认证未通过的应拒绝更新。

——在生产过程中，用于组装PIN输入设备的组件必须通过物理安全性要求的评估，并且这些组件没有被非法替换。

——设备所安装的软件在运送、存储和使用时，必须遵循双重控制的原则，以防止在未授权情况下的对软件的修改或替换。

——在产品生产完成后且在出厂前，加密键盘和其任何组件都应存放在受保护的、进行访问控制的区域内，或将设备封装在具有防攻击特性的包装中，以防止非法接触设备或其组件。

——如果PIN输入设备在装载密钥时要对设备进行验证，且验证要素为生产过程中装入设备的秘密信息，那么该秘密信息的设置应对每台PIN输入设备唯一，任何人都不可知和不可预测该信息，并且该秘密信息在装入PIN输入设备时应在双重控制之下，以保证在装入期间不会泄露。

6

本文来源：https://www.bwwdw.com/article/cnze.html