PIN Block Formats
Безопасный обзор назначения PIN block formats, EPP, HSM и требований к логированию.
PIN Block Formats
Кратко
PIN block — защищённое представление PIN для передачи и обработки в контролируемой платёжной среде. Эта заметка описывает архитектурную роль форматов без layout, преобразований и тестовых значений.
Зачем нужен PIN block
- не передавать открытый PIN между компонентами;
- использовать контролируемые криптографические процессы;
- отделить PIN entry от ATM application;
- обеспечить обработку PIN в EPP и HSM.
Где формируется
В ATM PIN вводится через EPP. ATM application не должно получать открытый PIN.
Роль EPP
EPP:
- принимает PIN;
- выполняет защищённую обработку;
- формирует защищённое представление;
- возвращает ATM application только контролируемый результат.
Роль HSM
HSM используется на процессинговой стороне для PIN-related cryptographic operations и key management в рамках утверждённой архитектуры.
Основные форматы
ISO 9564 определяет форматы PIN block. В ATM-проектах могут встречаться форматы 0, 1, 3, 4 и другие варианты, допустимые для конкретного профиля.
| Формат | Рабочее замечание |
|---|---|
| Format 0 | Распространённый исторический формат; применимость зависит от профиля |
| Format 1 | Используется в отдельных сценариях без PAN association |
| Format 3 | Вариант, встречающийся в отдельных платёжных профилях |
| Format 4 | Связан с AES-oriented migration и требует проверки актуальных требований |
[!warning] Зависит от реализации Допустимый формат, алгоритмы, key blocks и migration plan нужно проверять по требованиям платёжной схемы, PCI PIN Security и документации процессинга.
Связь с key management
- ключи должны управляться по утверждённому lifecycle;
- доступы и роли разделяются;
- RKL требует отдельного контроля;
- HSM и EPP должны использоваться по применимым требованиям PCI.
Что нельзя хранить в логах
- открытый PIN;
- clear PIN block;
- значения криптографических ключей;
- sensitive authentication data без необходимости и защиты;
- данные, которые расширяют PCI scope без операционной пользы.