A11 金融、保险 标准查询与下载

GB/T 21078.1-2007 银行业务 个人识别码的管理与安全 第1部分:ATM和POS系统中联机PIN处理的基本原则和要求

本部分规定了为有效的PIN管理提供所需要的最小安全措施的基本原则和技术。这些措施适用于那些负责实施PIN管理和保护技术的机构。 本部分也规定了联机环境中金融交易卡所应用的PIN保护技术和PIN数据交换的标准方法。这些技术适用于那些负责实施ATM和POS终端中PIN管理和保护技术的机构。 本部分的条款没有包括： a）脱机PIN环境中的PIN管理和安全，ISO 9564—3：2003中包含该项内容； b）电子商务环境中的PIN管理和安全，ISO 9564后续部分将会包含该项内容； c）防止顾客或者发卡行授权的员工丢失或者故意误用PIN； d）非PIN交易数据的保密性； e）交易报文的保护，防止修改或替换。如对PIN验证的授权响应； f）防止PIN或交易的重放； g）特定密钥管理技术。

Banking Personal Identification Number management and security Part 1: Basic principles and requirements for online PIN handling in A TM and POS systems

GB/T 21081-2007 银行业务 密钥管理相关数据元(零售)

本标准详细说明了密钥管理相关数据元，该数据元或者在交易报文中传输(用于保护当前交易的密钥信息)，或者在加密服务报文中传输(用于保护未来交易的密钥信息)。 本标准说明了在ISO 8583：1993范围内应用密钥管理相关数据元的要求，应使用以下两个ISO 8583：1993数据元：安全相关控制信息(53位元)或密钥管理数据(96位元)。但密钥管理相关数据的传输不局限于ISO 8583：1993标准。 本标准适用于对称和非对称密码系统。 ISO 11568描述了零售银行业务环境下密钥安全管理过程。ISO 9564和ISO 9807分别描述了安全性相关数据，如PIN和MAC。

Banking Key management related data element (retail)

GB/T 21083-2007 银行业务 债券提款单的标准格式

本标准适用于：a) 印制、计算机打印或复印的，由发行机构或其代理机构向相关团体(银行、经纪人、证券交易所 等)签发的提款单。b)除4．1，4．2，4．3，4．6，5．1．1和5．6外，在官方公报或报纸上通告的提款单。本标准定义了提款单的内容、表述的顺序及其结构；还规定了上述a)中提及的提款单的物理特征。注：在下述的第4章和第5章中，如果要求条款满足上述a)和b)的内容，用星号(*)作为标识。

Bank operations.Standard scheme for drawing lists

GB/T 21079.1-2007 银行业务 安全加密设备(零售) 第1部分:概念、需求和评估方法

GB／T 21079的本部分规定了安全加密设备(以下简称SCD)的要求，这些设备要求包含了ISO 9564、ISO 9807:1991和ISO 11568中定义的密码过程。 本部分有以下两个主要目的： a）规定SCD的操作特性和SCD整个生命周期管理方面的要求； b）对这些要求的一致性检查方法进行标准化。 加密设备应具有合适的特性以保证其具有适当的可操作性并能为内部数据提供足够保护。为确保设备的合法性，即设备不能被未授权的方法更改（如安装“侦听装置”等），并且设备中的敏感数据不会泄漏或篡改，适当的设备管理是非常必要的。 绝对的安全性实际上是无法达到的。加密安全性依赖于安全加密设备生命周期的每个阶段，以及适当的设备管理程序和安全加密特性两者的有效结合。管理程序可以通过防范措施来降低设备安全防护被攻破的可能性。这些防护措施是为了在设备本身特性不能阻止或检测安全攻击的情况下，提高发现非法访问敏感数据或机密数据的可能性。 附录A提供了本部分描述的安全等级在应用于安全加密设备时的说明。 本部分没有涉及SCD拒绝服务引发的问题。 在零售银行业务中使用具体类型的SCD，对其特性和管理的要求在ISO 11568-2中说明。

Banking- Secure cryptographic devices (retail) Part 1: Concepts, requirements and evaluation methods

GB/T 21077.2-2007 银行业务 证书管理 第2部分: 证书扩展项

本部分： ——摘录和采用了从GB／T l6264．8—2005中选择的证书扩展项的定义； ——规定了证书扩展项由金融服务行业使用证书扩展项的附加需求。本部分将用于金融机构标准，包括ISO 15782—1。注：ISO／IEC 8825-1中规定了为ASN．1编码所定义的证书扩展项的ASN．1的特异编码规则(DER)。由GB／T 16264．8-2005定义的DER规则不够完善，在对某些值进行编码时可能导致歧义。——摘录和采用了从GB／T l6264．8—2005中选择的证书扩展项的定义；——规定了证书扩展项由金融服务行业使用证书扩展项的附加需求。本部分将用于金融机构标准，包括ISO 15782—1。注：ISO／IEC 8825-1中规定了为ASN．1编码所定义的证书扩展项的ASN．1的特异编码规则(DER)。由GB／T 16264．8-2005定义的DER规则不够完善，在对某些值进行编码时可能导致歧义。

Banking.Certificate management.Part 2:Certificate extensions

GB/T 21080-2007 银行业务和相关金融服务 基于对称算法的签名鉴别

本标准实现了引言中的条件f）和条件g）。它规定了请求访问实体和授权允许访问实体之间的三种签名鉴别方式： a）通过诸如口令的个人鉴别信息（PAI）对用户进行鉴别； b）通过用户唯一密钥对用户进行鉴别； c）通过节点唯一密钥对节点进行鉴别。 本标准使用对称（密钥）算法，在对称算法中请求方和授权方使用相同密钥。 第6章给出了一个满足本标准要求的协议实例，可在实例中获得互操作性。附录A描述了本标准存在的一些局限性。附录B描述了本标准技术指标的一些局限性。

Banking and related financial services- Sign-on authentication based on symmetric algorithm

GB/T 21082.4-2007 银行业务 密钥管理(零售) 第4部分: 使用公开密钥密码的密钥管理技术

GB／T 21082的本部分详细描述了在零售银行业务环境下对公开密钥密码系统密钥的使用和保护技术。 它适用于任何在密钥生命周期内负责执行密钥保护程序的组织。GB／T 21082的本部分描述的技术符合ISO 11568-1描述的原则。 注：在密钥生命周期每一阶段所要求的保护公开密钥密码系统的保护细节在ISO 11568—1中有详细描述。 公开密钥密码系统包括非对称密码、数字签名系统和公开密钥分发系统。虽然本部分主要描述在密钥管理中应用这些系统的技术，但其中一些技术也同样适用于数据的安全管理。 本部分描述的技术主要针对一般的公开密钥密码系统。针对某个特定系统的具体标准见附录。 批准与本部分中描述的技术一起使用的算法和算法的审批程序应遵从国家密码管理相关机构的规定。 附录A概述了公钥证书管理的标准化。 附录8描述了属性证书，这项技术能加强公钥证书的功能。 附录C介绍了上面提到的三种公开密钥密码系统。

Banking.Key management(retail).Part 4:Key management techniques using public key cryptography

GB/T 20547.2-2006 银行业务 安全加密设备(零售) 第2部分:金融交易中设备安全符合性检测清单

GB/T 20547的本部分结合国际或国内相关法规中规定的加密设备所采用的加密算法，规定了评估金融服务系统中安全加密设备的安全符合性检测清单。IC支付卡在发卡前符合本部分的要求，发卡后作为一种个人设备不属于本部分范围。 本部分不涉及由安全加密设备故障所产生的问题。 在附录A～附录H中，“不可行”用于表示：尽管某些特定攻击在技术上是可能的，但在经济上是不可行的，因为实现这一攻击所需的经济开销要比攻破后得到的利益大得多。当然，除了为单纯的经济利益而攻击外，针对名誉的恶意攻击也应予以考虑。

Banking Secure Cryptographic devices (retail) Part 2: Security compliance checklists for devices used in financial transaction

GB/T 20548-2006 金融零售业务.商户类别代码

本标准定义了商户类别代码。本标准根据商户的业务类型将商户归于某一类别。这些代码仅规定了可能会发生金融零售业务的商户类别。 本标准规定了商户类别代码国家保留使用和行业保留使用代码段的注册和维护机制。 如何使用商户类别代码不属于本标准范围。

Retail financial services.Merchant category codes

GB/T 20545-2006 银行业务和相关金融服务 信息交换 托收指示格式

本标准详细规定了银行国际支付（托收）指示格式的规格和布局。此外，它还定义了托收指示中应用到的数据元，以及它们在托收指示格式中的表现形式。

Banking and related financial services. Information interchange. Collection instruction form

GB/T 20544-2006 银行业务.报文加密程序(批发).一般原则

本标准所定义的程序旨在通过加密的方法保护在任何通信体系结构中交换的金融报文（整个报文或者待加密元素）。这些体系结构包括存储、转发和电报环境，以及任意数目的节点和公共或私有网络。 因为加密的文本会妨碍现有批发金融网络的通信进程，所以本标准制定了允许加密报文通过多个网络传输，而不会被误解为通信协议信息-如STX（文本开始）、EOT（文本结束）-的方法。 金融报文数据的机密性，不管是结构化的还是非结构化的数据，都受本标准的保护。 文中描述的技术并未提供完整性保护（比如，针对修改、替代和重放的保护）。ISO 8730和ISO 8731中讨论了数据完整性的保护。报文格式同样也超过了本标准的讨论范围。

Banking.Procedures for message encipherment (wholesale).General principles

GB/T 20546-2006 银行业务和相关金融服务 信息交换 跟单信用证格式

本标准规定了一套跟单信用证的标准格式。 本标准适用于银行跟单信用证业务。

Banking and related financial services. Information interchange. Documentary credit form

GB/T 16790.6-2006 金融交易卡 使用集成电路卡的金融交易系统的安全体系 第6部分:持卡人身份验证

本部分规定了当离散的持卡人身份识别值（CIV），如个人识别码（PIN），在集成电路卡（IC 卡）（可以含有或不含有磁条）中使用时，对接卡人确认的安全要求。持卡人确认的目的是确定卡的出示者是卡的持有人。IS0 9564-1适用于本部分，除本部分中涉及使用IC卡特定方面的条款外。 本部分的规定不用来防止伪造的卡接收装置（CADs）的使用。 本部分适用于任何负责对CIV和IC卡连用而实施安全程序的组织。 本部分涉及关于持卡人持有的实物（如一张IC卡卡片）和持卡人了解的信息（即一个CIV，诸如PIN）相匹配的安全问题。同时也说明了IC卡和CAD相关的安全要求，其中IC卡和CAD可能只有一个集成电路（IC）或者同时包含磁条和IC功能。这里强调的是只有IC的系统。

Financial transaction cards Security architecture of financial transaction systems using integrated circuit cards Part 6: Cardholder verification

GB/T 16790.7-2006 金融交易卡 使用集成电路卡的金融交易系统的安全体系 第7部分:密钥管理

本部分规定了使用集成电路卡的金融交易系统的密钥管理要求。它对集成电路卡环境中在卡生命周期内和交易处理过程中所用密钥的安全管理的程序和过程作出了定义。本部分描述了对称与非对称密钥管理方案，并规定了最低密钥管理要求。 密钥管理是这样一种过程，在这过程中，密钥被用在授权的通信各方之间，这些密钥在被销毁之前一直受安全程序保护。被加密的数据的安全取决于对密钥的泄露以及未经授权的密钥的更改、替换、插入或删除的防范。因此，密钥管理与密钥生成、存储、分发、使用及销毁程序有关。同样，通过对这些程序的规范，可以制定审计跟踪的条例。 本部分适用于联机和脱机交易处理环境中的IC卡和SAM之间，以及联机（端对端）环境下的IC卡和SAM或主机安全模块之间。

Financial transaction cards Security architecture of financial transaction systems using integrated circuit cards Part 7: Key management

GB/T 20543-2006 银行业务和相关金融服务.国际银行帐号.(IBAN)

本标准规定了国际银行帐号(IBAN)的构成要素。以便于在金融领域以及其他行业进行跨境数据交换时的数据处理工作。 IBAN是为自动化处理而设计的。但在适宜的情况下，它还可以便捷地应用于其他介质的信息交换之中（如纸质文件的交换等）。 本标准没有规定实施本标准所涉及的内部进程、文件组织技术、存储介质、文字等。也不用于推进网络内部的信息处理进程，只用于系统（网络）间传输文本数据。

Banking and related financial services.International bank account number(IBAN)

GB/T 16790.5-2006 金融交易卡 使用集成电路卡的金融交易系统的安全体系 第5部分:算法应用

本部分适用于密码交换，其中至少一个节点是IC卡 （集成电路卡）或SAM，其他系统节点之间的交换不属于本部分的范围。 任何安全功能的规定均是可选的，其使用取决于系统要求。需要采用的功能应以本部分说明的方法实行。

Financial transaction cards Security architecture of financial transaction systems using integrated circuit cards Part 5: Use of algorithms

GB/T 19584-2004 银行卡磁条信息格式和使用规范

本标准规定了银行卡磁条的信息格式和使用规范。 本标准适用于中华人民共和国境内发行和使用的各种银行磁条卡。

Magnetic stripe data content and specification for bank card

GB/T 16791.1-1997 金融交易卡 集成电路卡与卡接受设备之间的报文 第1部分;概念与结构

GB/T 16791的本部分适合于将金融机构发行的集成电路卡在交换环境下的零售金融应用中使用。它明确规定了： --金融交换所要求的功能； --在集成电路卡（ICC）与卡接受设备（CAD）之间，实现这些功能的报文结构和类型； --在ICC与CAD之间进地交换时，可能使用或将要使用的数据无标识和定义。 本标准建立了ICC和CAD交换报文的概念。因此，必须对ICC中数据的逻辑结构进行说明。 GB/T 16791的本部分对多种报文进行了定义，用以支持鉴别的安全性要求（例如：卡签别、CAD鉴别、持卡人身份验证）。它不规定或推荐任何方法或处理过程。安全技术依据GB/T 16790的规定实现。 GB/T 16791的本部分与CAD的性能（可连接或不可连接，有人值守或无人值守）和状态（联机或脱机）无关。 GB/T 16791的本部分不定义实现应用的方法。 GB/T 16791的本部分基于数据的逻辑结构，提供了CAD对ICC中的数据进行逻辑引用所用方法的准则。它不定义ICC中数据的物理结构。

Financial transaction cards--Messages between the integrated circuit card and the card accepting device--Part 1:Concepts and structures

GB/T 16790.1-1997 金融交易卡 使用集成电路卡的金融交易系统的安全结构 第1部分;卡的生命周期

GB/T 16790的本部分详细规定了金融交易卡中的集成电路（IC）从制造、发行、使用到终止的整个过程中的保护原则。 GB/T 16790的本部分适用于为保护生命周期中的IC和集成电路卡（ICC）而负责实施安全程序的任何组织。 GB/T 16790的本部分包括了ICC生命周期中的一些特性，这些特性是对磁条银行卡的有关国家标准的补充。其中不包括与IC和ICC的制造、发行IC的使用以及终止处理有关的组织所采用的安全技术。 注 附录B中列出了这些过程中出现的风险和减少这些风险的方法。附录A中描述了记录于IC中与安全性有关的 数据域及安全检查的内容。 发卡者或应用提供者无论何时涉时到本标准，其各条款均适用于由二者指定的代理。

Financial transaction cards--Security architecture of financial transaction systems using integrated circuit cards--Part 1:Card life cycle

GB/T 16711-1996 银行业 银行电信报文 银行标识代码

本标准规定了用于银行业和相关金融环境中自动化处理的通用银行标识代码（BIC）的元素和结构。

Banking--Banking telecommunication messages--Bank identifier codes