استاندارد ملی 1-11957

سال تصویب: 1397

رشته: کمیته ملی استاندارد فناوری ارتباطات

موضوع: خدمات مالی-افزاره های رمز نگاشتی امن(خرده فروشی)-قسمت اول-مفاهیم،الزامات ، و روشهای ارزشیابی

مقدمه

این استاندارد یک قسمت از مجموعه استانداردهای ملی ایران به شماره 11957 است. مجموعه استانداردهای ISO13491 مشخصه های فیزیکی و منطقی و همچنین مدیریت افزاره های رمز نگاشتی امن(SCDs) را توضیح می دهد. از این افزاره ها در محیط خدمات مالی خرده‌فروشی برای حفاظت از پیام ها، کلیدهای رمزنگاشتی وسایر اطلاعات حساس استفاده می شود.

 این استاندارد در بردارنده الزامات امنیت برای استاندارد SCDs است. استانداردISO13491-2 ابزاری برای اندازه‌گیری انطباق با این الزامات است. این استاندارد بازبینه ای شامل موارد زیر را فراهم می سازد: – مشخصه هایی که افزاره باید داشته باشد.

– چگونه افزاره ها باید مدیریت شوند 

– مشخصه هایی که محیط های عملیاتی دارند

 امنیت سامانه‌های پرداخت الکترونیک خرده فروشی به شدت به امنیت افزاره های رمز نگاشتی وابسته است. این امنیت بر پایه فرضیه ای است که به پوشه های رایانه ای می توان دسترسی یافت و آنها را دستکاری کرد، خطوط ارتباطی را می‌توان شنود کرد و داده های مجازیا ورودی های وای پایشی در تجهیزات سامانه با ورودی های غیر مجاز می توان جایگزین کرد. هنگامی که شماره شناسه های شخصی(PINs)، کدهای اصالت سنجی پیام(MACs)، کلیدهای رمزنگاشتی و دیگر داده‌های حساس پردازش می‌شوند، مخاطره دستکاری یا تسخیر برای افشا یا تغییر چنین اطلاعاتی وجود دارد. استفاده مناسب از افزاره های رمزنگاشتی که دارای مشخصه های مناسب هستند و به درستی مدیریت می شوند، مخاطره زیان مالی را کاهش می دهد.

 برای مشخصه های مناسب افزاره، لازم است تا اطمینان حاصل شود که افزاره دارای قابلیت‌های عملیاتی مناسب است و به اندازه کافی از داده های موجود در آن حفاظت می شود.