ICS 35.240.40 A 11 JR 中 华 人 民 共 和 国 金融行 业 标 准 JR/T 0120.3—2016 银行卡受理终端安全规范 第3部分：自助终端 Security s pecification for bank card termin als— Part 3: Self -service terminal 2016-09-06发布 2016-09-06实施 中国人民银行 发布 JR/T 0120.3—2016 II 目 次 1 范围 ................................ ................................ .............. 1 2 规范性引用文件 ................................ ................................ .... 1 3 术语和定义 ................................ ................................ ........ 2 4 自助终端硬件安全要求 ................................ .............................. 3 5 自助终端软件安全要求 ................................ .............................. 4 6 自助终端逻辑安全要求 ................................ .............................. 5 7 ATM终端安全要求 ................................ ................................ ... 5 附录A（资料性附录） 自助终端硬件要求 ................................ ................ 8 附录B（资料性附录） 自助终端软件要求 ................................ ............... 13 附录C（规范性附录） 抗破坏能力 ................................ ..................... 15 JR/T 0120.3 —2016 III 前 言 JR/T 0120—2016《银行卡受理终端安全规范》由以下 五个部分组成： ——第1部分：销售点 (POS)终端； ——第2部分：受理商户信息系统； ——第3部分：自助终端； ——第4部分：电话支付终端； ——第5部分：PIN输入设备。 本部分按照 GB/T 1.1 —2009 给出的规则起草。 本部分为《银行卡受理终端安全规范》的第 3部分。 本部分由 中国人民银行 提出。 本部分由 全国金融标准化技术委员会 (SAC/TC 180 )归口。 本标准负责起草单位：中国人民银行科技司、中国银联股份有限公司。 本部分起草单位：中国工商银行、中国农业银行、中国银行、中国建设银行、交通银行、中国光大 银行、招商银行、中国邮政储蓄银行、中国金融电子化公司、 中金金融认证中心有限公司 、北京银联金 卡科技有限公司、银联商务有限公司、福建联迪商用设备有限公司、飞天诚信科技有限公司、无线网络 安全技术国家工程实验室 、工业和信息化部计算机与微电子发展研究中心（中国软件评测中心） 、信息 产业信息安全测评中心 。 本部分主要起草人： 李伟、王永红、陆书春、李兴锋、杜宁、陈则栋 、曲维民 、汤沁莹、王禄禄 、 吴永强、赵哲、贾铮、周皓、王兰、李伟 （中国银联） 、吴潇、张志波 、潘润红、邬向阳、杨倩、刘运 、 张晓欢、谭颖、严伟锋、曹宇、俞纹雯、周英斌、夏庆凡 、王治纲、王伯铮、于华东、李同勋、冯健诚、 代伟、钱菲、李穗申、李石超、顾才泉、侯智勇、张晓琪 、高志民、高强裔、李超 、高峰、周诗扬、孙 茂增、马哲、尚可、胡盖、 张俊江、蒋利兵、郭鑫、林眺、于海涛、白艳雷、李琴 、宋铮、刘健、董晶 晶。 JR/T 0120.3—2016 1 银行卡受理终端安全规范 第3部分：自助终端 1 范围 本部分规定了磁条卡及 IC卡受理自助终端标准，主要内容包括磁条卡及 IC卡自助终端的硬件要求、 软件要求以及自助终端的安全要求，其中不涉及自助终端应用部分。 本部分适用于受理银行磁条卡或 IC卡的各种自助终端设备（包括 ATM等设备），可用于售卡、售票、 售货、缴费、充值、加油、停车等。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB 228—1987 金属拉伸试验方法 GB 4943.1 —2011 信息技术设备 安全 第1部分：通用要求 GB 5007.1—2001 信息技术 汉字编码字符集 (基本集)24点阵字型 GB 5199 信息交换用汉字 15X16点阵字模集 GB 9254 信息技术设备的无线电干扰限值和测量方法 GB 10409 —2001 防盗保险柜 GB 13000.1—1993 信息技术通用 多八位编码字符集 第1部分：体系结构和基本多文种平面 GB 16793 —1997 信息技术 通用多八位编码字符集 (Ⅰ区)汉字24点阵字型 GB 17625.1 低压电气及电子设备发出的谐波电流限值（设备每项输入电流≤ 16A） GB 17698—1999 信息技术 通用多八位编码字符集 (I 区)汉字16点阵字型 GB 18030 —2005 信息技术 中文编码字符集 GB/T 14081—1993 信息处理用键盘 (西文)通用技术条件 GB/T 14715 —1993 信息技术设备用不间断电源通用技术条件 GB/T 15120 —2012（所有部分） 识别卡 记录技术 GB/T 16649.1 —2006 识别卡 带触点的集成电路卡 第1部分：物理特性 GB/T 16649.2 —2006 识别卡 带触点的集成电路卡 第2部分：触点的尺寸和位置 GB/T 16649.3 —2006 识别卡 带触点的集成电路卡 第3部分：电信号和传输协议 GB/T 17183 —1997 数据终端设备和数据电路终接设备用的高速 25插针接口暨可替换的 26插针连 接器 GB/T 17618 —1998 信息技术设备抗扰度限值和测量方法 GB/T 18031—2000 信息技术数字键盘汉字输入通用要求 GB/T 21078.1 银行业务 个人识别码的管理与安全 第1部分：ATM终端和POS系统中联机 PIN处理 的基本原则和要求 GB/T 6107—2000 使用串行二进制数据交换的数据终端设备和数据电路终接设备之间的接口 JR/T 0001 银行卡销售点（ POS）终端技术规范 JR/T 000 2 银行卡自动柜员机（ ATM）终端技术规范 JR/T 0120.3—2016 2 GM/T 0002 SM4分组密码算法 GM/T 000 3 SM2椭圆曲线公钥密码 算法 GM/T 000 4 SM3密码杂凑算法 GM/T 0009 SM2密码算法 使用规范 ISO/IEC 14443 识别卡 无触点集成电路卡 近程卡(Identification cards -Contactless integrated circuit(s) cards -Proximity cards) GA/T 73—1994 机械防盗锁 3 术语和定义 JR/T 0001 和JR/T 0002 中界定的以及下列术语和定义适用于本文件。 3.1 卡片验证码 2 card verified number （CVN2） 在邮购/电话订购等非面对面交易中对银行卡卡片合法性进行验证的代码。 3.2 密钥加密密钥（ KEK） key encryption key （KEK） 自助终端工作时对工作密钥进行加密的密钥。 3.3 工作密钥（ WK） working key （WK） 在自助终端正常情况下，对 PIN加密、参与 MAC计算等的密钥 。 3.4 自助服务 self-service 通过人机交互自主选择并获得所需服务的方式。 3.5 自动付款终端 unattended payment terminal （UPT） 由持卡人操作的设备 或装置，在无人值守的环境中读取、捕捉和传输卡中的信息， 提供自助服务功 能，简称“自助 终端”。 3.6 无人看护受理终端 Unattended Acceptance Terminal （UAT） 在无人看护环境下，由持卡人自助操作、能够读取和传输银行卡信息的设备，包括但是不限于以下 几种设备：自动售票机 、自动