Устройство не должно отображать введенные цифры ПИН-кода. Массив символов, показывающий ввод ПИН-кода, должен отображать только незначимые символы, например, звездочки.
Конфиденциальные данные не должны храниться дольше или использоваться чаще, чем это необходимо. ПИН-коды должны зашифровываться внутри устройства сразу после завершения ввода ПИН-кода. Устройство должно автоматически очищать свои внутренние буферы, когда транзакция завершена или истекло время ожидания устройством ответа от владельца карты или продавца.
Должно быть введено ограничение на количество действий, которые могут быть выполнены, и наложен лимит времени, после которого устройство вынуждено вернуться в нормальный режим.
Устройство должно обеспечить использование различных значений для ключей данных, ключей шифрования ключей и ключей шифрования ПИН.
В устройстве должен отсутствовать механизм, который позволял бы выводить симметричный или закрытый ключ или ПИН-код в открытом виде, шифровать такой ключ или ПИН-код ключом, который может быть известен нарушителю, или передавать такой ключ в открытом виде из одного компонента в другой.
Ввод любых других данных транзакции должен осуществляться отдельно от процесса ввода ПИН-кода, чтобы избежать случайного отображения ПИН-кода владельца карты на дисплее устройства. Если другие данные и ПИН-код вводятся на одной и той же клавиатуре, другой ввод данных и ввод ПИН-кода должны быть явно отдельными операциями.
Защита ПИН-кода во время передачи между устройством, зашифровавшим ПИН-код, и считывателем ICC должна быть реализована одним из следующих способов:
а) Если устройство, шифрующее ПИН-код, и считыватель ICC (карты) не интегрированы в один и тот же защищенный модуль, то метод проверки владельца карты определяется следующим образом:
- Зашифрованный ПИН-код: при передаче между устройством, зашифровавшим ПИН-код, и считывателем ICC ПИН-блок должен быть зашифрован с использованием либо ключа шифрования карты, либо с использованием ключа СКЗИ в терминале.
- Открытый ПИН-код: при передаче с устройства, зашифровавшего ПИН-код, на считыватель ICC (считыватель ICC затем расшифрует ПИН-код для передачи в виде открытого текста на карту) ICC ПИН-блок должен быть зашифрован с использованием ключа СКЗИ в терминале.
б) Если устройство, шифрующее ПИН-код, и считыватель ICC интегрированы в один и тот же защищенный модуль, и метод проверки владельца карты определяется следующим образом:
- Зашифрованный ПИН-код: ПИН-блок должен быть зашифрован с использованием ключа шифрования карты.
в) Открытый текст ПИН: шифрование не требуется, если блок ПИН передается полностью через защищенную среду (как определено в ISO 9564). Если открытый ПИН-код передается на считыватель ICC (платежной карты) через незащищенную среду, ПИН-блок должен быть зашифрован в соответствии с ISO 9564.
Панель ввода ПИН-кода (область ввода ПИН-кода) и окружающая область должны быть спроектированы таким образом, чтобы устройство затрудняло размещение мошеннического устройства поверх панели ПИН-кода.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2025
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2026 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2025 год
- Частичная мобилизация: обзор новостей
- Постановление Правительства РФ N 1875