SIST ISO 9564-1:1995

SLOVENSKI STANDARD
01-maj-1995
%DQþQLãWYR8SUDYOMDQMHLQYDURYDQMHRVHEQHLGHQWLILNDFLMVNHãWHYLONH3,1GHO
1DþHODLQPHWRGH]DãþLWHRVHEQHLGHQWLILNDFLMVNHãWHYLONH
Banking -- Personal Identification Number management and security -- Part 1: PIN
protection principles and techniques
Banque -- Gestion et sécurité du numéro personnel d'identification -- Partie 1: Principes
et techniques de protection du PIN
Ta slovenski standard je istoveten z: ISO 9564-1:1991
ICS:
35.240.40 8SRUDEQLãNHUHãLWYH,7Y IT applications in banking
EDQþQLãWYX
2003-01.Slovenski inštitut za standardizacijo. Razmnoževanje celote ali delov tega standarda ni dovoljeno.

IS0
INTERNATIONAL
STANDARD 95644
First edition
199 l-12-15
--
__- ----------P--P ----- --.---_--._-_-_-
Banking - Personal Identification Number
management and security -
Part 1:
PIN protection principles and techniques
Banque - Gestion et s&w-it& dn num&-o personnel d’identification -
Par-tie f: Principes et techniques de protection du PIN
-m---e-__
-------____ --s- -.-_____ ~.--- -----.-----.____ ----- -.--. ----_
-.---
.---
--__ ----
.-.- -
Reference number
- .--- ---
.---- -_------ ._- -. ._-_
._ - IS0 95641:1991(E)
IS0 9564=1:1991(E)
Contents
Page
1 Scope . . . . . . . -. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Normative references . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .-. 1
..................... ..................... 2
3 Definitions . .
4 Basic principles of PIN management . . 3
................................ 4
5 PIN pads . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
5.1 Character set
5.2 Character representation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.3 PIN entry . .
5.4 Packaging considerations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
PIN security issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
6.1 PIN control procedures
6.2 PIN encipherment . . 5
..................
6.3 Physical security . . . 6
Techniques for management/protection of account-related PIN
functions 7
. . . . . . . . . . . . . . . . . . . . . . . . . .s. . . . . . . . . . . . . . . . . . . . . . . . .e. . . . . . . . . . . . . . . . . .
7.1 PIN length . . 7
........... ........... ............
7.2 PIN selection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7.3 PIN delivery and issuance . . 8
7.4 PIN change . . 9
7.5 Disposal of waste material and returned PIN mailers . . . . . . . . . . 9
7.6 PIN activation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .-.-.
?O
7.7 PIN storage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .-.-.
7.8 PIN deactivation IO
.......................... ............................. ...............
8 Techniques for management/protection of transaction-related PIN
functions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .-. 10
8.1 PIN entry
................................................................... ............... IO
0 IS0 1991
All rights reserved. No Part of this publication may be reproduced or utilized in any form
or by any means, electronic or mechanical, including photocopying and microfilm, without
permission in writing from the publisher.
International Organization for Standardization
Case Postale 56 l CH-1211 Genhe 20 l Switzerland
printed in Switzerland
ii
IS0 9564-1:1991(E)
8.2 Protection of PIN during transmission . IO
8.3 Standard PIN block formats . 11
8.4 Other PIN block formats . . 12
8.5 PIN verification . 12
8.6 Journaling of transactions containing PIN data . . . . . 12
. . 13
9 Approval procedure for encipherment algorithms
Annexes
Procedure for approval of an encipherment algorithm . 14
A
B General principles of key management . . . . ._. . 16
C PIN verification techniques . .
D PIN entry device . . . . . . . . . . . . . . . . . . . . . ._. 19
E Example of pseudo-random PIN generation . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . .*. 22
F Additional guidelines for PIN pad design
G Guidance on clearing and destruction procedures for sensitive
. . .*.a. .s.,.,*. 25
data . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
............
H Information for customers . . 28
. . .
III
IS0 9564-1:1991(E)
Foreword
IS0 (the International Organization for Standardization) is a worldwide
federation of national standards bodies (IS0 member bodies). The work
of preparing International Standards is normally carried out through IS0
technical committees. Each member body interested in a subject for
which a technical committee has been established has the right to be
represented on that committee. International organizations, govern-
mental and non-governmental, in liaison with ISO, also take part in the
work. IS0 collaborates closely with the International Electrotechnical
Commission (IEC) on all matters of electrotechnical standardization.
Draft International Standards adopted by the technical committees are
circulated to the member bodies for voting. Publication as an lnter-
national Standard requires approval by at least 75 % of the member
bodies casting a vote.
International Standard IS0 9564-l was prepared by Technical Committee
ISO/TC 68, Banking and related financial Sewices, Sub-Committee SC 6,
Financial transaction cards, related media and operations.
IS0 9564 consists of the following parts, under the general title
- Personal Identification Number management and security:
Banking
- Part 1: PIN protection principles and techniques
- Part 2: Approved algorithm(s) for PIN encipherment
Annexes A and B form an integral part of this part of IS0 9564. Annexes
C, 0, E, F, G and H are for information only.
iv
IS0 9564-1:1991(E)
Introduction
The Personal Identification Number (PIN) is a means of verifying the
identity of a customer within an electronic funds transfer (EFT) system.
The objective of PIN management is to protect the PIN against un-
authorized disclosure, compromise, and misuse throughout its life cycle
and in so doing to minimize the risk of fraud occurring within EFT sys-
tems. The secrecy of the PIN needs to be assured at all times during its
life cycle which consists of its selection, issuance, activation, storage,
entry, transmission, validation, deactivation, and any other use made of
it.
PIN security also depends upon sound key management. Maintaining
the secrecy of cryptographic keys is of the utmost importance because
the compromise of any key allows the compromise of any PIN ever en-
ciphered under it.
Wherever possible, this part of IS0 9564 specifies requirements in ab-
solute terms. In some instances a level of subjectivity cannot be practi-
cally avoided especially when discussing the degree of level of security
desired or to be achieved.
The level of security to be achieved needs to be related to a number of
factors, including the sensitivity of the data concerned and the likelihood
that the data will be intercepted, the practicality of any envisaged
encipherment process, and the cost of providing, and breaking, a par-
ticular means of providing security. It is, therefore, necessary for each
card Acceptor, Acquirer and Issuer to agree on the extent and detail of
security and PIN management procedures. Absolute security is not
practically achievable; therefore, PIN management procedures should
implement preventive measures to reduce the opportunity for a breach
in security and aim for a “high” probability of detection of any illicit ac-
cess or change to PIN material should these preventive measures fail,
This applies at all stages of the generation, exchange and use of a PIN,
including those processes that occur in cryptographic equipment and
those related to communication of PINS.
This part of IS0 9564 is desiqned so that Issuers can uniformly make
certain, to whatever degree -is practical, that a PIN, while under the
control of other institutions, is properly managed. Techniques are given
for protecting the PIN-based customer authentication process by safe-
guarding the PIN against unauthorized disclosure during the PIN’s life
cycle.
This par-t of IS0 9564 indicates techniques for protecting the PIN against
unauthorized disclosure during its life cycle and includes the following
annexes:
raced ure for the approval of an encipherment
nnex A gives the p
a) a
.
a lgorit hm
b) annex B covers general principles of key management;

IS0 9564=1:1991(E)
c) annex C covers techniques for PIN verification;
d) annex 0 deals with implementation concepts for a PIN entry device;
e) annex E identifies an example of pseudo-random PIN generation;
f) annex F indicates additional guidelines for PIN pad design;
g) annex G es the erasing of recording media used for storage
specifi
of keying materi al;
h) annex H gives information for customers.
In IS0 9564-2, approved encipherment algorithms to be used in the pro-
tection of the PIN are specified. Application of the requirements of this
part of IS0 9564 requires bilateral agreements to be made, including the
choice of algorithms specified in IS0 9564-Z.
This part of IS0 9564 is one of a series that describes requirements for
security in the retail banking environment, as follows:
IS0 9564~13991, Banking - Personal Identification Number management
and security - Part 1: PIN protection principles and techniques.
IS0 9564-2:1991, Banking - Personal identification Number management
and security - Part 2: Approved algorithm(s) for PIN encipherment.
IS0 9807:1991, Banking and related financial services - Requirements
for message authentication (retail).
The requirements of IS0 9564 are compatible with those in IS0 8583 for
the accommodation of security related data.

INTERNATIONAL STANDARD IS0 9564-1:1991 (E)
Banking - Personal Identification Number management and
security -
Part 1:
PIN protection principles and techniques
1 scope
This part of IS0 9564 specifies the minimum security measures required for effective international PIN man-
agement. A standard means of interchanging PIN data is provided. This part of IS0 9564 also specifies the rules
related to the approval of PIN encipherment algorithms. This part of IS0 9564 is applicable to institutions re-
sponsible for implementing techniques for the management and protection of the PIN for bank card originated
transactions. The provisions of this part of IS0 9564 are not intended to cover
- the protection of the PIN against loss or intentional misuse by the customer or authorized employees of the
issuer;
- privacy of non-PIN transaction data;
- protection of transaction messages against alteration or substitution, e.g. an authorization response to a
PIN verification;
- protection against replay of the PIN or transaction;
-
specific key management techniques;
- PIN management and security for transactions conducted using Integrated Circuit Cards (ICC);
- the use of asymmetric encipherment algorithms for PIN management.
2 Normative references
The following standards contain provisions which, through reference in this text, constitute provisions of this
part of IS0 9564. At the time of publication, the editions indicated were valid. All standards are subject to re-
vision, and parties to agreements based on this part of IS0 9564 are encouraged to investigate the possibility
of applying the most recent editions of the standards indicated below. Members of IEC and IS0 maintain
registers of currently valid international Standards.
- Numbering system and registration procedure for issuer identifiers.
IS0 7812:1987, Identification cards
- interchange message specifications - Content for financial
IS0 85831987, Bank card originated messages
transactions.
IS0 9564=1:1991(E)
IS0 8908: ,
-I) Banking and related financial services - Vocabulary and data elements.
Requirements for message authentication (retail).
IS0 9807:1991, Banking and related financial services -
American National Standard X3.92:1981, Data Encryption Algorithm (DEA).
3 Definitions
For the purposes of this part of IS0 9564, the following definitions apply.
3.1 acquirer: The institution (or its agent) which acquires from the card acceptor the financial data relating to
the transaction and initiates that data into an interchange system.
3.2 algorithm: A clearly specified mathematical process for computation.
3.3 card acceptor: The party accepting the card and presenting transaction data to an acquirer.
3.4 cipher text: Data in its enciphered form.
3.5 compromise: In cryptography, the breaching of secrecy and/or security.
3.6 cryptographic key: A mathematical value which is used in an algorithm to transform plain text into cipher
text or vice versa.
3.7 customer: The individual associated with the primary account number (PAN) specified in the transaction.
3.8 decipherment: The reversal of a previous reversible encipherment, rendering cipher text intelligible,
3.9 dual control: A process of utilizing two or more separate entities (usually persons), operating in concert,
to protect sensitive functions or information whereby no single entity is able to access or utilize the materials,
e.g. cryptographic key.
3.10 encipherment: The rendering of text unintelligible by means of an encoding mechanism.
.
3.11 irreversible encipherment: Transformation of plain text to cipher text in such a way that the original plain
text cannot be recovered by other than exhaustive procedures even if the cryptographic key is known.
3.12 irreversible transformation of a key: Generation of a new key from the previous key such that there is nc:
feasible technique for determining the previous key given a knowledge of the new key and of all details of the
transformation.
issuer: The institution holding the account identified by the primary account number (PAN).
3.13
component One of a two parameters having the forma t of a cryptographic key that is added
3.14 key t least
.
like c key.
modulo-2 with one or more param eter s to form a cryptographi
module-2 addition: Binary addition with no carry (also called Exclusive OR’ing).
3.45
3.46 node: Any message processing entity through which a transaction passes.
3.17 notarization: A method of modifying a key enciphering key in order to authenticate the identities of the
originator and the ultimate recipient.
3.18 Personal Identification Number (PIN): The code or password the customer possesses for verification of
identity.
3.19 plain ted: Data in its original unenciphered form.
1) To be published.
IS0 9564=1:1991(E)
3.20 primary account number (PAN): The assigned number that identifies the card issuer and card holder. This
number is composed of an issuer identification number, an individual account identification, and an ac-
companying check digit, as defined in IS0 7812.
3.21 pseudo-random number: A number that is statistically random and essentially unpredictable although
generated by an algorithmic process.
3.22 reference PIN: The value of the PIN used to verify the transaction PIN.
3.23 reversible encipherment: Transformation of plain text to cipher text in such a way that the original plain
text can be recovered.
3.24 split knowledge: A condition under which two or more parties separately and confidentially have custody
of components of a single key that, individually, convey no knowledge of the resultant cryptographic key.
3.25 transaction PIN: The term used to describe the PIN as entered by the customer.
3,26 variant of a key: A new key formed by a non-secret process with the original key, such that one or more
of the non-parity bits of the new key differ from the corresponding bits of the original key.
4 Basic principles of PIN management
PIN management shall be governed by the following basic principles.
a) For all PIN management functions, controls shall be applied so that hardware and software used cannot be
fraudulently modified or accessed without recording, detection and/or disabling as defined in 6.1.1.
b) After selection the PIN, if stored, shall be enciphered when it cannot be physically secured as defined in 6.2
and 7.7.
For different accounts, enci pherm ent of the same PIN value under a given encipherment key shall not pre-
Cl
dictably produce the same cipher text a s defined in 6.2.
d) Security of an e nciphered PIN shall not rely on the secrecy of the encipherment design or algorithm but on
a secret key as defined in 6.2.
e) The plain text PIN shall never exist in the facility of the acquirer except within a physically secure device
as defined in 6.3.1.
f) A plain text PIN may exist in the general purpose computer facility of the issuer if the facility is a physically
secure environment at the time as defined in 6.3.2.
g) Only the customer and/or personnel authorized by the issuer shall be involved with PIN selection (see
7.2), PIN issuance, or any PIN entry process in which the PIN can be related to account identity information.
Such personnel shall operate only under strictly enforced procedures (e.g. under dual control).
h) A stored enciphered PIN shall be protected from substitution as defined in 7.7.
i) Compromise of the PIN (or suspected compromise) shall result in the ending of the PIN life cycle as defined
in 7.8.
j) Responsibility for PIN verification shall rest with the issuer although the verification function may be del-
egated to another institution as defined in 8.5.
k) Different encipherment keys shall be used for protection of PIN storage and transmission as defined in 6.2.
I) The customer shall be advised in writing of the importance of the PIN and PIN secrecy (see annex t-l).
IS0 956401:1991 (E)
5 PIN pads
5.1 Character set
All PIN pads shall provide for the entry of the decimal numeric characters 0 (zero) to 9 (nine).
NOTE 1 It is recognized that alphabetic characters, although not assigned in this part of IS0 9564, may be used as syn-
onyms for decimal numeric characters. Further guidance on the design of PIN pads, including alpha to numeric mappings,
is given in annex F.
5.2 Character representation
The relationship between the numeric value of a PIN character and the internal coding of that value prior to
any encipherment shall be as specified in table I.
Table 1 - Character representation
.
Internal binary
PIN character
0 0000
1 0001
2 0010
--
3 0011
--
5 0101
6 0110
-
7 0’111
8 1000
---.-.
9 1001
-
5.3 PIN entry
The values of the entered PIN shall not be displayed in plain text or be disclosed by audible feedback.
5.4 Packaging considerations
A PIN pad may be packaged as an integral part of the terminal, or may be remote from the terminal control
electronics. The terminal control electronics may or may not be physically secure (see 6.3.1 for definition);
however, the PIN pad shall be secured as specified in 6.3.1 or 6.3.3.
The PIN pad shall be designed or installed so that the customer can prevent others from observing the PIN
value as it is being entered.
When a remote PIN pad is used the communications link between it and its associated terminal shall be pro-
tected (see 8.2).
Table 2 summarizes the security requirements for each of the four possible configurations of terminal and PIN
\
pad.
IS0 9564-1:1991(E)
Table 2 - PIN pad packaging considerations
Terminal physlcally secure Terminal physically insecure
PIN pad integral to Physical protection requirements as speci- Physical protection requirements as speci-
terminal fied in 6.3.1 apply to the whole terminal. fied in 6.3.1 or 6.3.3 apply to PIN pad.
Terminal shall encipher PIN as specified in PIN pad shall encipher PIN as specified in 6.2
6.2 for transmission. for transmission.
*
------- --’ -v.
PIN pad remote to The PIN pad shall be secured as specified in The PIN pad shall be secured as specified in
terminal 6.3.1 or 6.3.3. 6.3.1 or 6.3.3.
PIN pad shall encipher PIN as specified in 6.2 PIN pad shall encipher PIN as specified in 6.2
for transmission. for transmission.
6 PIN security issues
6.1 PIN control procedures
6.1.1 Hardware and software
Hardware and software used in PIN management functions shall be implemented in such a way that the fol-
lowing are assured.
a) The hardware and software is correctly performing its designed function and only its designed function.
b) The hardware and soffware cannot be modified or accessed without detection and/or disabling.
c) Information cannot be fraudulently accessed or modified without detection and rejection of the attempt.
d) The system shall not be capable of being used or misused to determine a PIN by exhaustive trial and error.
Printed or microfilm listings of programs or dumps used in the selection, calculation, or encipherment of the PIN
NOTE 2
should be controlled during use, delivery, storage, and disposal.
6.1.2 Recording media
Any recording media (e.g. magnetic tape, disks) containing data from which a plain text PIN might be deter-
mined shall be degaussed, overwritten, or physically destroyed immediately after use. Only if all storage areas
(including temporary storage) used in the above process can be specifically identified and deqaussed ot
.
overwritten may a computer system be used for these processes (see annex G).
6.1.3 Oral communications
No procedure shall require or permit oral communication of the plain text PIN, either by telephone or in person.
An institution shall never permit its employees to ask a customer to disclose the PIN or to recommend specific
values.
6.1.4 Telephone keypads
Procedures of an institution shall not permit entry of the plain text PIN through a keypad of a telephone, unless
the telephone device is designed and constructed to meet the requirements specified in 5.4 for PIN pads and
8.2 for PIN transmission.
6.2 PIN encipherment
When it is necessary to encipher a PIN for storage or transmission (see 6.3 and 8.2), this shall be accomplished
using one of the approved algorithms specified in IS0 9564-2.

IS0 9564-l :1991 (E)
The adopted encipherment procedure shall ensure that the encipherment of a plain text PIN value using a
particular cryptographic key does not predictably produce the same enciphered value when the same PIN value
is associated with different accounts (see 7.8).
Different encipherment keys shall be used to protect the reference PIN and the transaction PIN.
PIN encipherment keys shall not be used for any other cryptographic purpose.
See annex I3 for general principles of key management.
6.3 Physical security
This subclause defines a “physically secure device” and a “physically secure environment”, and specifies re-
quirements for a PIN entry device.
An unenciphered reference PIN shall exist only within a “physically secure environment” or “physically secure
device”. An unenciphered transaction PIN shall exist only within a “physically secure device”, a PIN entry de-
vice meeting the requirements of 6.3.3, or the issuer’s (or issuer’s agent’s) “physically secure environment”.
6.3.1 Physically secure device
In assessing the physical security of any device, the operating environment, in which the device is working, is
an important consideration. A physically secure device is a hardware device which when operated in its in-
tended manner and environment cannot be successfully penetrated to disclose all or part of any cryptographic
key or PIN resident within the device.
Penetration of the device when operated in its intended manner and environment shall cause the automatic
and immediate erasure of all PINS, cryptographic keys and all useful residue of PINS and keys contained within
the device.
A device shall only be operated as a physically secure device when it can be assured that the device’s internal
operation has not been modified to allow penetration (e.g. the insertion within the device of an active or passive
“tapping” mechanism).
6.3.2 Physically secure environment
A physically secure environment is one which is equipped with access controls or other mechanisms designed
to prevent any penetration which would result in the disclosure of all or part of any cryptographic key or PIN
stored within the environment.
secu re environme
hysically nt sh all remain such until all PINS, cryptographic keys and useful residue from
AP
have been erased
PIN and key from the environment.
6.3.3 PIN entry device requirements
A PIN entry device shall comply with the requirements of 6.3.1 or, at a minimum, meet the following require-
ments.
a) The transaction PIN shall be enciphered within the device in a manner allowed by clause 8.
b) Successful penetration of the PIN entry device shall not permit disclosure of any previously entered trans-
action PIN even with knowledge of additional relevant data which is, or has been, accessible external to the
device (e-g. enciphered PINS as previously transmitted from the device).
c) The unauthorized determination of the secret data (PINS and keys) stored within the PIN entry device, or the
placing within the device of a Yap” to record secret data, shall require that the device be taken to a
specialized facility, and at this facility be subjected to physical damage such that the device cannot be
placed back in service without a high probability of the tampering being detected. Furthermore, the deter-

IS0 9564-1:1991(E)
mination of secret d ata or the placing of a “tap” within the device shall require specialized equipment and
skills which are not erally available.
cwn
d) The data stored within a PIN entry device, even if determined, cannot be transferred into another such de-
vice.
NOTE 3 See annex D for guidance on implementation of a PIN entry device.
7 Techniques for management/protection of account-related PIN functions
7.1 PIN length
A PIN shall be not less than 4 and not more than 12 characters in length.
NOTE 4 While there is a security advantage to having a longer PIN, usefulness may be hindered. For usability reasons
an assigned numeric PIN should not exceed 6 digits in length. It is recommended, for security reasons, that a customer
selected alpha PIN should not be less than 6 characters in length. It should also be noted that many international systems
do not accept more than 6 digits and/or do not support alpha PIN entry.
7.2 PIN selection
A PIN shall be selected using one or more of the following techniques:
- assigned derived PIN;
- assigned random PIN;
-
customer cted PIN.
Compromise duri ng PI N selection could prejudice the security of any issued PIN.
7.2.1 Assigned derived PIN
When the reference PIN is an “assigned derived PIN” the issuer shall derive it cryptographically from
a) the primary account number, and/or
b) some other value associated with the customer.
NOTES
5 The PIN derivation process should not contain a bias towards specific sets of values.
6 If this technique is used the issuer should not maintain any record of the PIN as the PIN can be derived as needed.
7 When the PIN is derived from card data, it may be used to validate that data.
7.2.2 Assigned random PIN
When the reference PIN is an “assigned random PIN” the issuer shall obtain a value by means of either
a) a true random number generator, or
b) a pseudo-random number qenerator (see annex E).
L
7.2.3 Customer selected PIN
When a reference PIN is a ‘(customer selected PIN” the value shall be selected by the customer. In this case
the issuer shall provide the customer with the necessary selection instructions and warnings (see annex l--Q.
NOTE 8 To the issuer, a customer selected PIN is random in value.

IS0 9564=1:1991(E)
7.3 PIN delivery and issuance
All PIN issuance functions involving issuer personnel shall be under dual control.
The PIN shall never be retrieved and deciphered or regenerated to be recorded, processed, displayed, or
printed except in a secure PIN mailer (or its equivalent).
process shall the PIN appear in plain text where it can be associated with a cus-
At no point in the delivery
tomer’s account.
Delivery of an assigned PIN
7.3.1
A PIN assigned by an issuer shall be conveyed to the customer by means of a PIN mailer.
The PIN mailer shall be printed in such a way that the plain text PIN cannot be observed until the envelope is
opened. The envelope shall display the minimum data necessary to deliver the PIN mailer to the correct cus-
tomer. A PIN mailer shall be constructed such that it is highly likely that accidental or fraudulent opening will
be obvious to the customer. The issuer shall warn the customer not to use a PIN that is contained in an op‘ened
or tampered PIN mailer and to notify the issuer of such an event.
NOTES
9 The envelo Ipe or its contents may contain “residue of the PIN” (e.g. carbon and the issuer should warn the
paper),
or keep mail
cu stomer that after memorizing the PI N, he should destr oy the mail er completely the er in a safe place.
If so, the outside of the PIN mailer may
10 Multiple cards may be in issue on the same accounf, each with a different PIN.
facilitate correct delivery.
have to display details of the customer -‘s identification to
The PIN and card shall not be mailed in the same mailer nor at the same time.
7.3.2 Delivery of customer selected PIN
A PIN selected by the customer shall be conveyed to the issuer using one of the following techniques:
a) initial PIN selection at an issuer’s location (see 7.321);
b) PIN selection by mail (see 7.3.2.2).
7.3.2.1 PIN selection at an issuer’s location
PIN selection shall be accomplished at an issuer’s location via a PIN pad complying with the requirements of
table2. Selection and entry of the PIN shall not involve the customer disclosinq the PIN to any issuer’s em.-
._
ployee or third party. The following procedure shall be applied.
a) An authorized employee shall obtain proper identification of the customer.
b) The system shall require identification and authorization of the issuer’s employees.
c) The PIN selection process shall be enabled by an authorized employee. The process shall be terminated
by the completion of a PIN selection.
d) The authorized employee’s identification together with the date and the time shall become a part of the
transaction record.
7.3.2.2 PIN selection by mail
PIN selection by mail shall only be accomplished by the use of a form containing a control number and space
for a selected PIN. The control number shall not disclose the account number. Any cryptographic key used to
generate a control number shall not be used for any other purpose and shall be managed in accordance with
annex B. The completed form shall not contain any information which relates the PIN to the customer’s name,
address, or account number. The following procedures shall apply.
a) The mailer to the customer shall contain the PIN selection form and instructions.
a
IS0 9564-1:1991(E)
b) The mailing shall be in accordance with the procedures defined in 7.3.1, treating the control number as the
PIN.
c) The customer shall be instructed to write the PIN on the form, not to write any other information on the form
unless specifically requested, not to enclose any other correspondence, and to return the form to the stated
address. A special pre-addressed envelope should be used.
d) The processing of received PIN selection forms shall only be by authorized employees of the issuer.
NOTE 11 The control number may be the reversibly enciphered account number. Some issuers instruct the customer to
enter an e nciph ered PIN on to the form.
7.4 PIN change
PIN change shall be performed thro ugh the issuer’s system in accordance with the requirements of 7.3; it shall
not be pet-formed in an intercha environ ment.
we
7.4.1 PIN change at an attended terminal
The procedure for PIN change at an attended terminal shall be the same as specified for PIN selection in
7.3.2.1 s
7.4.2 PIN change at an unattended terminal
The procedure for PIN change at an unattended terminal in the issuer’s system shall require the current PIN
to be entered and verified before selection and activation of the replacement customer selected PIN.
NOTE 12 The new PIN should be entered twice and both entries should be identical.
7.4.3 PIN change by mall
The procedure for PIN change by mail shall be the same as specified for PIN selection in 7.3.2.2.
7.4.4 Replacement of forgotten PIN
lacement of a forgotten PIN shall be performed throu h the i ssuer’s system; it shall not be perform
ed in
Rep cl
an i nterchange environment. The procedures used to re lace a forgotten PIN s hall follow those cover ,ed in
P .
7.3.
Where an assigned PIN has been forgotten and the effect is to generate a PIN mailer communicating the same,
or a newly assigned PIN value, the requirements of 7.3.1 shall apply.
7.4.5 Replacement of compromised PIN
When a PIN is believed to have been compromised, it shall be deactivated as soon as possible (see 7.8) and
the customer informed of a replacement value or given the opportunity to select one. A replacement PIN shall
not be intentionally the same as the original PIN. Activation of a replacement PIN may be implicit or explicit
(see 7.6).
When an assigned derived PIN is believed to have been exposed, at least one data element used in deriving
the PIN shall be changed and a new PIN derived and issued. This may require that any corresponding card be
re-issued or re-encoded and that the old card be blocked from use.
7.5 Disposal of waste material and returned PIN mailers
Issuers shall ensure that adequate security measures are taken over the internal handling and disposal of re-
turned PIN mailers and any waste material associated with the initial printing of PIN mailers.
Consideration should be given to different return addresses in case of non-delivery for card and PlN mailers.
NOTE 13
IS0 9564-1:1991(E)
7.6 PIN activation
A PIN may be activated either implicitly or explicitly. Under a system of implicit PIN activation the issuer as-
sumes successful PIN delivery, unless advised to the contrary.
When a PIN is to be explicitly activated, the issuer shall not activate the PIN until the customer has returned a
signed, and subsequently verified, receipt. The receipt shall not contain the PIN.
7.7 PIN storage
A PIN stored in the computer files of the issuer shall be enciphered as specified in 6.2.
PIN encipherment (reversible or irreversible) shall incorporate the account number (or other data) such that the
verification process would detect substitution of one value for another stored value.
When the PIN (assigned or customer selected) is stored on a card, it shall never be stored as clear text. If the
PIN is to be stored on the card, it shall be enciphered (e.g. PIN offset).
7.8 PIN deactivation
Responsibility for PIN deactivation rests with the issuer. An issuer shall deactivate a PIN if any of the followinq
L
occurs:
a) the PIN is compromised (or suspected to be compromised);
b) all of the customer’s accounts associated with the PIN are closed;
c) the customer requests deactivation of the PIN;
d) the lifetime of the PIN ends.
In the case of PIN compromise, the customer shall be advised of the action taken.
The iss )lier shall ta ke appro priate m easures to ensure that the deactivated PIN cannot subsequently be used
with its associated account number.
NOTE 14 Examples of such measures are
a) erasure of the deactivated PIN from the issuer’s records;
h) blocking access to the account.
8 Techniques for management/protection of transaction-related PIN functions
8.1 PIN entry
Res pons bility for protect ing the PIN during the entry process rests with the cusfomer, the card acceptor, and
acqu rer or its agent.
the
The first digit entered into the PIN pad shall be the high-order digit (left-most). The last digit to be entered shall
\
be the low-order digit (right-most).
Equipment used for interchange shall support entry of a 4 to 12 character PIN.
8.2 Protection of PIN during transmission
A PIN shall be p rotected during transmission (including, for example, storage at network nodes) by one or both
of the following
means:
a) provision of physical protection (see 6.3);
b) encipherment of the PIN (see 6.2).

IS0 9564-M 991 (E)
Whenever it is necessary to decipher a PIN during transmission, for instance to translate from one PIN format
to another or to change the encipherment key used, the PIN shall be contained within a physically secure de-
vice.
8.3 Standard PIN block formats
This subclause specifies the construction of a 64-bit block of PIN data and includes the number, position and
function of the bits.
The most significant 4 bits of the block form the control field. The following values are assigned:
0000 - Format 0 as defined in 8.3.1.
0001 - Format 1 as defined in 8.3.2.
0010 through 0111 - For allocation by ISO/TC 68.
1000 through 1011 - Reserved for allocation by national standards organizations.
1100 through 1111 - Allocated for private use.
8.3.1 Format 0 PIN block
This PIN block is constructed by modulo-2 addition of two 64-bit fields: the plain text PIN field and the account
number field. The formats of these fields are described in 8.3.1.1 and 8.3.1.2 respectively.
The format 0 PIN block shall be reversibly enciphered when transmitted.
In international interchange, the format 0 PIN block should be used when the PAN is available.
8.3.1.1 Plain text PIN field
The plain text PIN field shall be formatted as follows:
Bit
1 5 9 13 17 21 25 29 33 37 41 45 49 53 57 61 64
P/F-- P/F _ -%-/-~~~-~j~~]
yc-- P P - P
where
- Shall be 0000.
c= Control field
N= PIN length - 4-bit binary number with permissible values of 0100 (4) to 1100 (12).
P= PIN digit - 4-bit field with permissible values of 0000 (zero) to 1001 (9).
P/F = PIN/Fill digit - Desiqnation of these fields is determined by the PIN length field.
x
F= Fill digit - 4-bit-field value 1111 (15).
8.3.1.2 Account number field
The account number field shall be formatted as follows:
Bit
21 25 29 33 37 41 45 49 53 57 61 64
1 5 9 13 17
0 0 0 0 Al A2
c
where
Pad digit - A 4-bit field. The only permissible value is 0000 (zero).
0=
Al . . . Al2 = Account number - Content is the 12 right-most digits of the primary account number
(PAN), excluding the check digit. Al2 is the digit immediately pre-
ceding the PAN’s check digit. If the PAN excluding the check digit is
less than 12 digits, the digits are right justified and padded to the left
with zeroes. Permissible values are 0000 (zero) to 1001 (9).
IS0 9564=1:1991(E)
8.3.2 Format 1 PIN block
This PIN block is constructed by concatenation of two fields: the plain text PIN field and the transaction field.
It should be used in situations where the PAN is not available.
The format 1 PIN block shall be reversibly enciphered when transmitted.
The format 1 PIN block shall be formatted as follows:
Bit
1 5 9 13 17 21 25 29 33 37 41 45 49 53 57 61 64
_--_
T
C N P P P P P/T P/T P/T P/T P/T P/T P/T P/T T
-- I
where
CZ
Control field - Shall be binary 0001.
N= - 4-bit binary number with permissible values 0100 (4) to 1100 (12).
PIN length
P= PIN digit - 4-bit field with permissible values 0000 (zero) to 1001 (9).
P/T = PIN/Transaction digit - Determined by PIN length.
T- Transaction digit - 4-bit binary number with permissible values of 0000 (zero) to 1111 (15).
The transaction field is a binary number formed by [56 - (NC4)] bits. This binary number shall be unique (ex-
cept by chance) for every occurrence of the PIN block and can, for example, be derived from a transaction se-
quence number, time stamp, random number, or similar.
field should not be transmitted and is not required in order to translate the PIN block to another
NOTE 15 The transaction
format since the PIN length is known.
8.4 Other PIN block formats
If the PIN block cannot be constructed in the terminal to comply with the format shown in 8.3 then alternative
methods shall be employed in the local network so that the same PIN when associated with different accounts
shall produce a different enciphered result.
The acquirer shall ensure the secure translation of a non-standard PIN block format to a standard PIN block
format (see 8.3).
8.5 PIN verification
Responsibility for PIN verification shall rest with the issuer although the verification function may be delegated
to another institution.
Some guidance on PIN verification techniques is provided in annex C.
NOTE 16
8.6 Journaling of transactions containing PIN data
Terminals or other nodes in networks may be required to journal (i.e. to record the full text of) transaction
messages. Messages journalled shall not contain a plain text PIN. It is permissible to journal messages con--
taining a PIN enciphered in accordance with 6.2 if and only if the prevention of disclosure of the PIN
decipherment key(s) in any form can be assured for the lifetime of the PIN.
NOTES
17 A PIN should not be stored for longer than necessary.
18 Cardholders’ claims related to PIN disclosure and/or fraudulent use should be recorded in such a way as to identify
the possible source of a failure and/or misuse.
IS0 9564=1:1991(E)
9 Approval procedure for
...

NORME
INTERNATIONALE
9564-l
Première édition
1991-12-15
Banque - Gestion et sécurité du numéro
personnel d’identification -
Partie 1:
Principes et techniques de protection du PIN
Banking - Persona1 Identification Number management and securify -
Part 1: PIN protection principles and techniques
----------
Numéro de référence
ISO 9564=1:1991(F)
Sommaire
Page
1 Domaine d’application . . . . . . . . . . . . . .~. 1
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
2 Références normatives
3 Définitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4 Principes de base de gestion du PIN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
5 Claviers d’entrée du PIN
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
5.1 Jeu de caractères
.~.~.,. 4
5.2 Représentation des caractères
5.3 Saisie du PIN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.4 Éléments à prendre en compte pour la présentation
physique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6 Problèmes liés à la sécurité du PIN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . 5
6.1 Procédures de contrôle du PIN .a.,.*.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
6.2 Chiffrement du PIN
......................................... ............................ 6
6.3 Sécurité physique
7 Techniques de gestion/protection des fonctions du PIN liées aux
comptes . . .
.......................................... ............................. 7
7.1 Longueur du PIN
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7.2 Sélection du PIN
7.3 Livraison et émission du PIN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
...................................... ........................... 9
7.4 Changement du PIN
7.5 Destruction des déchets et des courriers d’envoi de PIN retournés
sans avoir été livrés ,.,. 10
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
7.6 Activation du PIN
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
7.7 Mise en mémoire du PIN
. . . . . . . . . . . . . . . . . . . . . . . . . . . . ,.,. 11
7.8 Désactivation du PIN
8 Techniques de gestion/de protection des fonctions du PIN liées aux
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
transactions
0 iso 1991
Droits de reproduction réservés. Aucune partie de cette publication ne peut être repro-
duite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou
mécanique, y compris la photocopie et les microfilms, sans l’accord écrit de l’éditeur.
Organisation internationale de normalisation
Case Postale 56 l CH-1211 Genève 20 l Suisse
Imprimé en Suisse
ii
8.1 Saisie du PIN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
8.2 Protection du PIN en cours de transmission . . . . . . . . . . . . . . . . . . . . . . . 11
8.3 Formats de bloc de PIN normalisés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
II
8.4 Autres formats de bloc de PIN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.5 Vérification du PIN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
8.6 Enregistrement séquentiel des transactions contenant des
données du PIN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
9 Procédure d’approbation des algorithmes de chiffrement . . . 14
Annexes
A Procédure d’approbation d’un algorithme de chiffrement . . . 15
B Principes généraux de gestion de clés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
C Techniques de vérification du PIN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
D Appareil de saisie du PIN . . 20
E Exemple de génération de PIN pseudo-aléatoire . . . . . . . . . . . . . . . . . . 22
F Directives complémentaires pour la conception du clavier d’entrée
du PIN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
G Conseils pour l’établissement de procédures d’effacement et de
destruction de données sensibles .,.,. 26
H Informations destinées aux clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .*. 29
. . .
III
ISO 9564~1:1991 (F)
Avant-propos
LIS0 (Organisation internationale de normalisation) est une fédération
mondiale d’organismes nationaux de normalisation (comités membres
de I’ISO). L’élaboration des Normes internationales est en général
confiée aux comités techniques de I’ISO. Chaque comité membre inté-
ressé par une étude a le droit de faire partie du comité technique créé
à cet effet. Les organisations internationales, gouvernementales et non
gouvernementales, en liaison avec I’ISO participent également aux tra-
vaux. L’ISO collabore étroitement avec la Commission électrotechnique
internationale (CEI) en ce qui concerne la normalisation électrotech-
nique.
Les projets de Normes internationales adoptés par les comités techni-
ques sont soumis aux comités membres pour vote. Leur publication
comme Normes internationales requiert l’approbation de 75 % au moins
des comités membres votants.
La Norme internationale ISO 9564-l a été élaborée par le comité tech-
nique ISO/TC 68, Banque et services financiers liés aux opérations ban-
caires, sous-comité SC 6, Cartes de transactions financières, supports
et opérafions relatifs à celles-ci.
L’ISO 9564 comprend les parties suivantes, présentées sous le titre gé-
néral Banque - Gestion et sécurité du numéro personnel
d’identification:
- Partie 1: Principes et techniques de protection du PIN
- Partie 2: Algorithme(s) approuvé(s) pour le chiffrement du PIN
Les annexes A et 6 font partie intégrante de la présente partie de I’ISO
9564. Les annexes C, D, E, F, G et H sont données uniquement à titre
d’information.
ISO 9564=1:1991(F)
Introduction
Le numéro d’identification personnel (PIN) est un moyen de vérifier
l’identité d’un client dans un système de transfert électronique de fonds
(EFT).
La gestion du PIN a pour but de protéger le PIN contre toute divulgation
non autorisée, contre sa découverte et sa mauvaise utilisation au cours
de sa durée de vie et, ce faisant, minimiser les risques de fraude sur-
venant dans les systèmes EFT. Le secret du PIN doit être assuré à tout
moment au cours de sa durée de vie qui comprend sa sélection, son
émission, son activation, sa mise en mémoire, sa saisie, sa transmis-
sion, sa validation, sa désactivation et tout autre emploi pouvant en être
fait.
La sécurité du PIN dépend également d’une gestion de clés saine.
Sauvegarder le secret des clés de chiffrement est primordial car la dé-
couverte de n’importe quelle cle compromet tout PIN précédemment
chiffré par cette clé.
Dans la mesure du possible, la présente partie de I’ISO 9564 spécifie
des exigences en termes absolus. Dans certains cas, il n’est prati-
quement pas possible d’éviter un certain niveau de subjectivité surtout
lorsqu’il s’agit du degré de niveau de sécurité souhaité ou à atteindre.
Le niveau de sécurité à atteindre doit intégrer un certain nombre de
facteurs, y compris la sensibilité des données concernées et I’éventua-
lité de leur interception, la possibilité pratique de tout procédé de chif-
frement envisagé et le coût de l’obtention et de la violation d’un système
particulier de sécurité. Par conséquent, il est nécessaire que I’accep-
teur, l’acquéreur et l’émetteur de carte s’accordent sur l’étendue et le
détail des procédures de sécurité et de gestion du PIN. II n’est prati-
quement pas possible d’atteindre une sécurité absolue; c’est pourquoi
les procédures de gestion du PIN ne devraient pas uniquement viser à
réduire la possibilité d’une violation de sécurité mais devraient
également viser à détecter avec une très forte probabilité tout accès il-
licite ou changement du matériel du PIN susceptible d’advenir en dépit
des mesures préventives. Ceci s’applique à toutes les étapes de la gé-
nération, de l’échange et de l’utilisation d’un PIN, notamment les pro-
cédés intervenant dans l’équipement de chiffrement et ceux lies à la
communication des PIN.
La présente partie de I’ISO 9564 est concue de facon que les émetteurs
puissent s’assurer uniformément, au degré le pius pratique possible,
qu’un PIN, tout en étant sous le contrôle d’autres institutions, est cor-
rectement géré. Des techniques sont données pour protéger le proces-
SIJS d’authentification du client basé sur le PIN en sauvegardant le PIN
contre une divulgation non autorisée au cours de son cycle de vie.
La présente partie de I’ISO 9564 présente des techniques de protection
du PIN contre toute divulgation non autorisée au cours de sa durée de
vie et comprend les annexes suivantes:

ISO 9564-I :1991 (F)
a) l’annexe A donne les procédures d’approbation d’un algorithme de
chiffrement;
b) l’annexe B traite des principes généraux de gestion de clé;
c) l’annexe C traite des techniques de vérification du PIN;
d) l’annexe D traite des concepts de mise en œuvre d’un dispositif de
saisie du PIN;
e) l’annexe E présente un exemple de génération de PIN pseudo-
aléatoire
f) l’annexe F donne des directives complémentaires pour la concep-
tion du clavier d’entrée du PIN;
I’ann exe G spécifie I’abroga tion des support ‘s d’enregistrement uti-
9)
lisés r le stockage des él éments de mise à la clé;
Pou
h) l’annexe H donne des informations destinées aux clients.
Dans I’ISO 9564-2 sont spécifiés les algorithmes approuvés de chif-
frement qui doivent être utilisés pour la protection du PIN. L’application
des exigences de la présente partie de I’ISO 9564 requiert la conclusion
d’accords bilatéraux, y compris ce qui concerne le choix des algo-
rithmes spécifiés dans I’ISO 9564-2.
La présente partie de I’ISO 9564 fait partie d’une série de normes dé-
crivant les prescriptions de sécurité dans l’environnement bancaire,
comme suit:
ISO 9564.1:1991, Banque - Gestion et sécurité du numéro personnel
d’identification - Partie 1: Principes et techniques de protection du
PIN.
ISO 9564.2:1991, Banque - Gestion et sécurité du numéro personne/
d’iden tifka tion - Partie 2: Algorithme(s) approuvé(s) pour le chiffrement
du PIN.
ISO 9807:1991, Banque et services financiers liés aux opérations bancai-
- Spécifications liées à i’authentifkation des messages (service aux
res
particuliers).
Les prescriptions de I’ISO 9564 sont compatibles avec celles de
I’ISO 8583 en ce qui concerne la sécurité des informations connexes.

NORME INTERNATIONALE ISO 9564-1:1991(F)
Banque - Gestion et sécurité du numéro personnel
d’identification -
Partie 1:
Principes et techniques de protection du PIN
1 Domaine d’application
La présente partie de I’ISO 9564 prescrit les mesures de sécurité minimales nécessaires à une gestion efficace
du PIN. Des mesures normalisées permettant d’échanger des informations liées au PIN sont indiquées. La
présente partie de I’ISO 9564 prescrit également les règles liées à l’approbation des algorithmes de chif-
frement du PIN. La présente partie de I’ISO 9564 s’applique aux institutions responsables des techniques de
mise en œuvre de gestion et de protection du PIN liées aux transactions initiées par carte bancaire. Les dis-
positions de la présente partie de I’ISO 9564 ne couvrent pas
- la protection du PIN contre la perte ou la mauvaise utilisation volontaire par le client ou les employés de
l’émetteur;
- la protection de données d’une transaction non protégées par un PIN;
- la protection de messages de transaction envers leur modification ou leur substitution (par exemple une
réponse d’autorisation à une vérification de PIN);
- la protection contre la répétition du PIN ou de la transaction;
- les techniques spécifiques de gestion de clés;
.
- la gestion du PIN et la sécurité des transactions réalisées au moyen des cartes à circuit intégré (CC);
- l’utilisation d’algorithmes de chiffrement asymétriques pour la gestion du PIN.
\
2 Références normatives
Les normes suivantes contiennent des dispositions qui, par suite de la référence qui en est faite, constituent
des dispositions valables pour la présente partie de I’ISO 9564. Au moment de la publication, les éditions in-
diquées étaient en vigueur. Toute norme est sujette à révision et les parties prenantes des accords fondés sur
la présente partie de I’ISO 9564 sont invitées à rechercher la possibilité d’appliquer les éditions les plus ré-
centes des normes indiquées ci-après. Les membres de la CEI et de I’ISO possèdent le registre des Normes
internationales en vigueur à un moment donné.
ISO 78 12: 1987, Cartes d’identification - Système de numérotation et procédure d’enregistrement pour les
identificateurs d’émetteur.
ISO 8583:1987, Messages initiés par carte bancaire - Spécifications d’échange de messages - Contenu pour les
transactions financières.
ISO 8908: ---Il, Banque et services financiers liés aux opérations bancaires - Vocabulaire et éléments de
données.
ISO 9807:1991, Banque et services financiers liés aux opérations bancaires - Spécifications liées à I’autbentifï-
cation des messages (service aux particuliers).
American National Standard X3.92:1981, Data Encryption Algorithm (UEA).
3 Définitions
Pour les besoins de la présente partie de I’ISO 9564, les définitions suivantes s’appliquent.
3.1 acquéreu r: I nstitution (ou son agent) ui acquiert de l’acc epte ur de la carte l’information financière liée à
q
introduit cette informatio n dans un systè me d ‘inte rchan
la transaction et
w
3.2 algorithme: Processus mathématique défini sans ambiguïté.
3.3 accepteur de carte: Partie acceptant la carte et présentant les données de la transaction à un acquéreur.
3.4 texte chiffré: Information dans sa forme chiffrée.
3.5 découverte: En chiffrement, la violation du secret et/ou de la sécurité.
3.6 clé de chiffre lment: Valeur mathématique utilisée dans un algorithme pour transformer un texte en clair
en texte chiffré ou vice versa.
3.7 client: Individu associé au numéro de compte primaire (PAN) spécifié dans la transaction.
3.8 déchiffrement: Transformation inverse d’un chiffrement réversible préalable; action permettant de rendre
un texte chiffré intelligible.
3.9 double contrôle: Intervention de deux entités distinctes ou plus (généralement des personnes) opérant de
concert pour protéger des fonctions ou des informations sensibles, aucun individu isolé ne pouvant accéder
aux éléments ni les utiliser, par exemple une clé de chiffrement.
3.10 chiffrement: Action permettant de rendre un texte inintelligible au moyen d’un mécanisme de codage.
3.11 chiffrement irréversible: Transformation d’un texte en clair en texte chiffré de telle facon que le texte en
clair original ne puisse pas être retrouvé autrement qu’avec des procédures exhaustives’même si la clé de
chiffrement est connue.
3.32 transformation irréversible d’une clé: Nouvelle clé générée à partir d’une clé préalable de telle sorte qu’il
n’existe pas de technique permettant de déterminer l’ancienne clé même en connaissant la nouvelle clé et tous
les détails de la transformation.
3.13 émetteur: Institution tenant le compte identifié par le numéro de compte primaire (PAN).
3.14 élément parmi au moins de ux paramè tres poss édant le format d’une clé cryptographi que, qrJi
de clé: Un
est additionné modulo-2 à un ou pl usieur aramètres sem blabl es pour former une cl é de chiffrement
‘S P
3.15 addition modula-2: Addition binaire sans retenue (appelée également ou-exclusif).
3.16 noeud: Toute entité de traitement de message par laquelle passe une transaction.
1) A publier.
ISO 95640I:l991 (F)
3.17 notarisation: Méthode permettant de modifier une clé de chiffrement de clé dans le but d’authentifier
l’identité de l’expéditeur et du destinataire final.
personnel (PIN): ou mot de passe possédé par le client pour la vérification
3.18 numéro d’identification Code
de son identité.
3.19 texte en clair: Données dans leur forme originale non chiffrée.
3.20 numéro de compte primaire (PAN): Numéro attribué qui identifie l’émetteur et le porteur de la carte. Ce
numéro est composé d’un numéro d’identification de l’émetteur, de l’identification du numéro de compte indi-
viduel et d’un chiffre de vérification associé, comme le définit I’ISO 7812.
3.21 nombre pseudo-aléatoire: Nombre statistiquement aléatoire et essentiellement imprévisible bien que
généré par un procédé algorithmique.
3.22 PIN de référence: Valeur du PIN utilisée pour vérifier le PIN de transaction.
3.23 chiffrement réversible: Transformation d’un texte en clair en texte chiffré de telle sorte que le texte en
clair original puisse être retrouvé.
3.24 connaissance répartie: Contexte dans lequel au moins deux entités se partagent en les gardant secrets
les éléments d’une clé unique qui, pris isolément, ne permettent pas de déduire la clé de chiffrement résultant
de leur combinaison.
3.25 PIN de transaction: Terme utilisé pour décrire le PIN tel qu’il est saisi par le client.
3.26 variante d’une clé: Nouvelle clé formée par un procédé non secret à partir de la clé originale, de telle
sorte qu’un ou plusieurs bits de la nouvelle clé, à l’exclusion des bits de parité, soient différents des bits cor-
respondants de la clé originale.
4 Principes de base de gestion du PIN
La gestion du PIN doit être régie par les principes de base suivants:
a) Pour toutes les fonctions de gestion du PIN, des contrôles doivent être appliqués de sorte que le matériel
et le logiciel utilisés ne puissent pas être modifiés de facon frauduleuse ou qu’on ne puisse y avoir accès
sans enregistrement, détection et/ou invalidation comme indiqué en 6.1 .l.
b) Après la sélection, le PIN, s’il est mémorisé, doit être chiffré lorsqu’il ne peut pas être mécaniquement
sauvegardé, comme indique en 6.2 et 7.7.
c) Pour différents comptes, le chiffrement de la même valeur de PIN sous une clé de chiffrement donnée ne
doit pas produire de facon prévisible le même texte chiffré comme indiqué en 6.2.
,
d) La sécurité d’un PIN ch iffré ne doit pas reposer sur la confidentialité de la conception ou de l’algorithme
de chiffrem ent m ais sur une clé secrète comme indiqué en 6.2.
e) Le PIN en texte clair ne doit jamais se trouver dans les locaux de l’acquéreur sauf s’il est placé à l’intérieur
d’un dispositif physiquement sûr comme indiqué en 6.3.1.
clair peut se trouver da locaux contenant l’ordinateur de l’émetteur, à condition que
Un PIN en texte ns les
ériode définie
ces locaux cons tituen t un env ironnemen t physi quement sûr au cours de la p en 63.2.
g) Seul le client et/ou le personnel autorisé par l’émetteur doivent être impliqués dans la sélection du PIN (voir
7.2) l’émission du PIN ou tout procédé de saisie du PIN dans lequel le PIN peut être lié à des informations
d’identité du compte. Ce personnel doit opérer en respectant strictement les procedures prescrites (par
exemple double contrôle).
ISO 9564=1:1991(F)
h) Un PIN chiffré stocké doit être protégé contre la substitution, comme indiqué en 7.7.
i) La découverte d’un PIN (ou une menace de découverte) doit se traduire par la fin de la durée de vie du PIN
comme indiqué en 7.8.
j) L’émetteur est responsable de la vérification du PIN, bien que la fonction de vérification puisse être délé-
guée à une autre institution comme indiqué en 8.5.
k) Des clés de chiffrement différentes doivent être utilisées pour la protection du stockage du PIN et de la
transmission comme indiqué en 6.2.
1) Le client doit être informé par écrit de l’importance du PIN et de sa confidentialité (voir annexe H).
5 Claviers d’entrée du PIN
5.1 Jeu de caractères
Tous les claviers d’entrée du PIN doivent permettre la saisie des caractères numériques décimaux de 0 (zéro)
à 9 (neuf).
NOTE 1 II est reconnu que les caractères alphabétiques, bien que non attribués dans la présente partie de I’ISO 9564,
peuvent être utilisés comme ’ synonymes des caractères numériques décimaux.
De plus amples informations sur la
conception des claviers d’entrée du PIN, comprenant les correspondances entre caractères alphabétiques et numériques,
sont données dans l’annexe F.
5.2 Représentation des caractères
La relation entre la valeur numérique d’un caractère du PIN et le codage interne de cette valeur avant tout
chiffrement doit être comme indiqué dans le tableau 1.
Tableau 1 - Représentation des caractères
.
Caractère du PIN Binaire interne
0 0000
I I
1 0001
3 0011
I I
I I
5 0101
6 0110
a
5.3 Saisie du PIN
Les valeurs du PIN saisi ne doivent pas être affichées en clair ni divulguées par signal sonore.

ISO 9564=1:1991(F)
5.4 Eléments à prendre en compte pour la présentation physique
Un clavier d’entrée du PIN peut physiquement se présenter comme partie intégrante d’un terminal, ou peut se
trouver éloigné de l’électronique de gestion du terminal. L’électronique de gestion du terminal peut être ou
non protégée physiquement (voir définition en 6.3.1); quoiqu’il en soit, le clavier d’entrée du PIN doit être pro-
tégé comme indiqué en 6.3.1 ou en 6.3.3.
Le clavier d’entrée du PIN doit être conçu et installé de sorte que le client puisse empêcher des tiers d’ob-
server la valeur du PIN au moment de sa saisie.
Lorsqu’on utilise un clavier d’entrée du PIN éloigné, la liaison physique entre celui-ci et le terminal associé
doit être protégée (voir 8.2).
Le tableau 2 résume les prescriptions de sécurit& pour chacune des quatre configurations possibles pour le
terminal et le clavier d’entrée du PIN.
Éléments 8 prendre en compte pour la présentation physique du clavier
Tableau 2 -
Terminal protégé physiquement Terminal non protégé physiquement
Clavier d’entrée du PIN Les exigences de protection physique Les exigences de protection physique
intégré au terminal comme indiqué en 6.3.1 s’appliquent à tout comme indiqué en 6.3.1 ou en 6.3.3 s’appli-
le terminal. quent au clavier d’entrée du PIN.
Le terminal doit chiffrer le PIN comme indi- Le clavier d’entrée du PIN doit chiffrer le PIN
qué en 6.2, avant sa transmission. comme indiqué en 6.2, avant sa transmis-
sion.
Le clavier d’entrée du PIN doit être protégé
Clavier d’entrée du PIN Le clavier d’entrée du PIN doit être protégé
éloigné du terminal comme spécifie en 6.3.1 ou en 6.3.3. comme indiqué en 6.3.1 ou en 6.3.3.
Le clavier d’entrée du PIN doit chiffrer le PIN
Le clavier d’entrée du PIN doit chiffrer le PIN
comme indiqué en 6.2, avant sa transmis- comme indiqué en 6.2, avant sa transmis-
sion. sion.
6 Problèmes liés à la sécurité du PIN
6.1 Procédures de contrôle du PIN
6.1.1 Matériel et logiciel
Le matériel et le logiciel utilisés pour les fonctions de gestion du PIN doivent être mis en œuvre de facon à
.
garantir les points suivants.
a) Le matériel et le logiciel assurent correctement la fonction pour laquelle ils ont été conys et uniquement
cette fonction.
b) Aucune modification ni accès au matériel et au logiciel ne peut survenir sans détection et/ou invalidation.
c) Aucune modification ni accès frauduleux aux informations ne peut survenir sans détection et/ou invali-
dation.
d) Le système ne doit pas pouvoir être utilisé ou mal utilisé dans le but de rechercher un PIN par essai réit&é
des PINS erronés.
NOTE 2 Des listages imprimés ou sur microfilm ou les image-mémoires utilisés pour la sélection, le calcul ou le chif-
frement du PIN devraient être contrôlés en cours d’utilisation, de livraison, de stockage et de destruction.
6.1.2 Supports d’enregistrements
Tous les supports d’enregistrement (par exemple bande magnétique, disques) contenant des informations à
partir desquelles un PIN en clair peut être déterminé, doivent être démagnétisés, écrasés, ou détruits physi-
quement immédiatement après leur utilisation. Un système informatique ne pourra être utilisé, pour ce faire,
:
que si toutes les zones de mémoire compri sd e mémorisation temporaire) utilis ées dans le processus ci-
(Y
dessus peuve nt être spé Icifi quement ide ntifiées et démagnétisées ou écrasées (voir annexe G).
6.1.3 Communications orales
Aucune procédure ne doit nécessiter ou permettre la communication orale du PIN en clair, par téléphone ou
en personne. Une institution ne doit jamais autoriser ses employés à demander à un client de divulguer le PIN
ou à recommander des valeurs specifïques.
6.1.4 Claviers téléphoniques
Les procédures d’une institution ne doivent pas autoriser la saisie du PIN en clair par l’intermédiaire de tou-
ches téléphoniques, sauf si le combiné téléphonique est concu et réalisé pour répondre aux exigences de 5.4
pour les claviers d’entrée du PIN et de 8.2 pour la transmissi& du PIN.
6.2 Chiffrement du PIN
Lorsqu’il est nécessaire de chiffrer un PIN pour sa mise en mémoire et sa transmission (voir 6.3 et 8.2), cela
doit être effectué en utilisant l’un des algorithmes approuvés spécifiés dans I’ISO 9564-2.
La procédure de chiffrement adoptée doit garantir que le chiffrement d’une valeur de PIN en clair utilisant une
clé de chiffrement particuliére ne produit pas de façon prévisible la même valeur chiffrée lorsque la même
valeur du PIN est associée à différents comptes (voir 7.8).
Des clés de chiffrement différentes doivent être utilisées pour protéger le PIN de référence et le PIN de trans-
action.
Les clés de chiffrement du PIN ne doivent pas être utilisees à d’autres fins cryptographiques.
Voir annexe B pour les principes généraux de gestion de clé.
6.3 Sécurité physique
Ce paragraphe d éfinit un (tdisp Iositif ue ment sûr)) et un ((environnement physiquement sûr,, et spkifie
physiq
les prescription S relati ves à un reil de sa isie d u PIN.
aPPa
Un PIN de référence non chiffré ne doit exister que dans ((dispositif physiquement sûr,,. Un PIN de transaction non chiffré ne doit exister que dans ( un appareil de saisie du PIN satisfaisant aux prescriptions de 6.3.3 ou dans 4’environnement
quement sûr,),
physiquement sûr,) de l’émetteur (ou de l’agent de l’émetteur).
6.3.1 Dispositif physiquement sûr
Pour évaluer la sécurité physique de tout dispositif, on doit prendre en considération l’environnement opé-
rationnel dans lequel celui-ci est mis en œuvre. Un dispositif physiquement sûr est un dispositif physique dans
lequel lorsqu’il est mis en œuvre d’une manière et dans un environnement adéquats on ne peut s’introduire
pour ensuite pouvoir divulguer tout ou partie de clé cryptographique ou de PIN résidant dans le dispositif.
L’entrée dans le dispositif quand il est mis en œuvre dans un environnement et d’une manière adéquate doit
provoquer l’effacement automatique et immédiat de tous les PINS, clés de chiffrement et tous les restes de PIN
utiles et de clés contenus dans le dispositif.
Un dispositif ne doit être utilisé comme un dispositif physiquement sûr que lorsqu’on est sûr que le fonction-
nement interne de celui-ci n’a pas été modifié dans le but d’en permettre l’intrusion (par exemple insertion
dans le dispositif d’un mécanisme actif ou passif d’écoute clandestine).

ISO 9564=1:1991(F)
6.3.2 Environnement physiquement sûr
Un environnement physiquement sûr est un environnement équipé de commandes d’accès ou d’autres méca-
nismes concus pour empêcher tout accès qui se traduirait par une divulgation de tout ou partie d’une clé de
chiffrement ou d’un PIN mis en mémoire dans cet environnement.
i quem ent sûr que tou s les PIN, les clés de chi ffreme
Un environnement doit le rester jusqu ‘à ce nt et les
PhYS
restes de PIN et de clés utiles aient é té effacés de cet en vi ron nement.
6.3.3 Prescriptions relatives à l’appareil de saisie du PIN
Un appareil de saisie du PIN doit être conforme aux prescriptions de 6.3.1 ou satisfaire, au moins, aux pres-
criptions suivantes.
a) Le PIN de transaction doit être chiffré dans l’appareil conformément à l’article 8.
b) L’intrusion réussie à l’intérieur de l’appareil de saisie du PIN ne doit pas permettre la divulgation d’un PIN
de transaction préalablement saisi même en connaissant l’information complémentaire correspondante qui
est, ou a été, accessible à l’extérieur de l’appareil (par exemple, PIN chiffrés transmis préalablement par
l’appareil).
c) La détermination non autorisée des données secrètes (PINS et clés) stockées dans l’appareil de saisie du
PIN ou la mise en place dans l’appareil d’une 4coute clandestine,) pour l’enregistrement de données se-
crètes doit avoir pour conséquence que l’appareil soit transporté dans un département spécialisé pour qu’il
y subisse des détériorations physiques telles que l’appareil ne puisse plus être remis en service sans qu’il
soit hautement probable de le détecter. De plus, la détermination des données secrètes résidant dans
l’appareil doit nécessiter un équipement spécialisé et des compétences peu courantes.
Les inform ations mises en mé moire da ns un apparei l de saisie de PIN, m ême si elles sont détermi nées,
d)
ne doivent pas pouvoir être tra nsfere es dans un autre appareil sem blable.
NOTE 3 Voir annexe 0 pour des informations sur la mise en œuvre d’un appareil de saisie du PIN.
7 Techniques de gestion/protection des fonctions du PIN liées aux comptes
7.1 Longueur du PIN
Un PIN doit avoir une longueur d’au moins 4 caractères et de 12 caractères au plus.
NOTE 4 Bien qu’un PIN plus long offre des avantages du point de vue de la sécurité, l’efficacité peut s’en trouver
amoindrie. Pour des raisons pratiques la longueur d’un PIN numérique attribué ne devrait pas être supérieure à 6 chiffres.
Pour des raisons de sécurité il est recommandé que la longueur d’un PIN alphabétique sélectionné par le client ne soit pas
inférieure à 6 caractères. II est à noter que de nombreux systèmes internationaux n’acceptent pas plus de 6 chiffres et/ou
ne permettent pas la saisie d’un PIN alphabétique.
7.2 Sélection du PIN
Un PIN doit être sélectionné en utilisant une ou plusieurs des techniques suivantes:
- PIN dérivé attribué;
- PIN aléatoire attribué;
- PIN sélectionné par le client.
La sécurité de tout PIN émis peut être compromise par sa découverte pendant une opération de sélection.
7.2.1 PIN dérivé attribué
Lorsque le PIN de référence est un ((PIN dérivé attribué),
l’émetteur doit l’obtenir par un procédé
cryptographique utilisant
a) le numéro de compte primaire, et/ou
b) une autre valeur associée au client.
NOTES
5 Le processus de dérivation du PIN ne devrait pas présenter de biais favorisant des jeux de valeurs spécifiques.
sée, l’émetteur ne devrait pas
6 Si cette technique est utili conserver d’enregistrement de la valeur du PIN puisque celui-ci
est.
peut être recalculé si besoin
7 Lorsque le PIN est dérivé à partir des données d’une carte, il peut être utilisé pour valider ces données.
7.2.2 PIN aléatoire attribué
Lorsque le PIN de référence est un ((PIN aléatoire attribué>) l’émetteur doit obtenir une valeur au moyen
a) d’un générateur de nombres aléatoires parfait, et/ou
b) d’un générateur de nombres pseudo-aléatoires (voir annexe E).
7.2.3 PIN sélectionné par le client
Lorsqu’un PIN de référence est un ((PIN sélectionné par le client,, la valeur doit être choisie par le client. Dans
ce cas l’émetteur doit donner au client les instructions de sélection et les avertissements nécessaires (voir
annexe H).
NOTE 8 Pour l’émetteur, un PIN sélectionné par le client est une valeur aléatoire.
7.3 Livraison et émission du PIN
Toutes les fonctions d’émission du PIN impliquant le personnel de l’émetteur doivent être effectuées sous
double contrôle.
Le PIN ne doit jamais être retrouvé et déchiffré ou régénéré pour être enregistré, traité, visualisé ou imprimé
sauf à l’intérieur d’un courrier d’envoi de PIN sûr (ou son équivalent).
À aucu n moment du processus de livraison le PIN ne doit apparaître en clair lorsqu’il peut être associé au
compte Id u client.
7.3.1 Livraison d’un PIN attribué
Un PIN attribué par un émetteur doit parvenir au client dans un courrier d’envoi de PIN.
Le courrier d’envoi du PIN doit être imprimé de telle manière que le PIN en clair ne puisse pas être vu avant
que l’enveloppe ne soit ouverte. L’enveloppe doit comporter le minimum de données nécessaires à la livraison
du courrier d’envoi du PIN au client concerné. Un courrier d’envoi de PIN doit être concu de facon telle que
son ouverture accidentelle ou frauduleuse soit décelée par le client avec une très forte p;obabilit& L’émetteur
doit inciter le client à ne pas utiliser un PIN contenu dans un courrier d’envoi de PIN qui aurait été ouvert ou
forcé, et doit l’avertir d’une telle éventualité.
NOTES
9 L’enveloppe ou son contenu peuvent contenir ((des résidus du PIN)) (par exemple un papier carbone) et il convient que
l’émetteur mette en garde le client de détruire complètement le courrier d’envoi du PIN ou de le conserver dans un endroit
sûr, une fois le PIN mémorisé.
KO 9564=1:1991(F)
10 Plusieurs cartes peuvent être émises sur le même compte, chacune comportant un PIN différent. Si tel est le cas, la
partie extérieure du courrier d’envoi du PIN peut nécessiter l’indication de détails relatifs à l’identification du client pour
faciliter une livraison correcte.
Le PIN et la carte ne doivent pas faire partie du même envoi ni être envoyés au même moment.
7.3.2 Livraison d’un PIN sélectionné par le client
Un PIN sélectionné par le client doit être transmis au client en faisant appel à l’une des techniques suivantes:
a) sélection initiale du PIN chez l’émetteur (voir 7.3.2.1);
b) sélection du PIN par courrier (voir 7.3.2.2).
7.3.2.1 Sélection du PIN chez l’émetteur
La sélection du PIN doit être effectuée chez l’émetteur par l’intermédiaire d’un clavier d’entrée du PIN
conforme aux prescriptions du tableau 2. La sélection et la saisie du PIN ne doivent pas obliger le client à di-
vulguer le PIN à l’un des employés de I’emetteur ou à un tiers. La procédure suivante doit être appliquée.
a) Un employé autorisé doit s’assurer de l’identité du client.
b) Le système doit exiger l’identification et l’autorisation des employés de ‘émetteur.
c) Le processus de sélection du PIN doit être mis en fonction par un en ployé autorisé. Le processus doit
s’achever par la réalisation complète d’une sélection de PIN.
d) L’identification de l’employé autorisé ainsi que la date et l’heure doivent faire partie intégrante de I’enre-
gistrement de la transaction.
7.3.2.2 Sélection du PIN par courrier
La sélection du PIN par courrier ne peut être effectuée qu’en utilisant un formulaire comportant un numéro de
contrôle et un espace pour le PIN sélectionné. Le numéro de contrôle ne doit pas divulguer le numéro de
compte. Une clé de chiffrement utilisée pour générer un numéro de contrôle ne doit pas être utilisée à d’autres
fins et doit être gérée conformément à l’annexe 8. Le formulaire complété ne doit pas contenir d’informations
liant le PIN au nom, à l’adresse ou au numéro de compte du client. Les procédures suivantes doivent être
appliquées.
a) Le courrier d’envoi au client doit contenir le formulaire de sélection du PIN et des instructions.
b) Le courrier doit être conforme aux procédures définies en 7.3.1, en considérant le numéro de contrôle
comme un PIN.
c) II doit être demandé au client d’inscrire le PIN sur le formulaire, de ne pas y inscrire d’autre information
sauf demande spécifique, de ne pas joindre d’autre correspondance et de renvoyer le formulaire à
l’adresse indiquée. Il convient d’utiliser une enveloppe spéciale portant déjà l’adresse.
d) Le traitement des formulaires de sélection du PIN recus doit être entrepris uniquement par des employés
autorisés de I ‘émetteur.
NOTE 11 Le numéro de contrôle peut être le numéro de compte chiffré de facon reversible. Certains émetteurs deman-
dent au client d’indiquer sur le formulaire un PIN sous forme chiffrée.
7.4 Changement du PIN
Le change ment du PIN doit être effectué par l’intermédiaire du système de l’émetteur conformément aux
prescriptio ns de 7.3; il ne doit pas être effectué dans un environnement d’interchange.

7.4.1 Changement du PIN sur un terminai sous surveillance
La procédure de changement du PIN sur un terminal sous surveillance doit être la même que celle spécifiée
pour la sélection du PIN en 7.3.2.1.
7.4.2 Changement du PIN sur un terminai non surveillé
La procédure de changement du PIN sur un terminal non surveillé du système de l’émetteur doit comporter la
saisie et la vérification du PIN actuel avant de sélectionner et d’opérer le remplacement du PIN sélectionné
par le client.
Le nouveau PIN devrait être saisi deux fois et être identique lors des deux saisies.
NOTE 12
7.4.3 Changement du PIN par courrier
La procédure de changement du PIN par courrier doit être la même que celle spécifiée pour la sélection du
PIN en 7.3.2.2.
7.4.4 Remplacement d’un PIN oublié
Le remplacement d’un PIN oublié doit être effectué sur le système de l’émetteur; il ne doit pas être effectué
dans un environnement d’interchange. Les procédures utilisées pour remplacer un PIN oublié doivent suivre
celles indiquées en 7.3.
Lorsqu’un PIN attribué a été oublié et que cela se traduit par la création d’un courrier d’envoi du PIN commu-
niquant la même valeur ou une nouvelle valeur de PIN attribué, les prescriptions de 7.3.1 doivent s’appliquer.
7.4.5 Remplacement d’un PIN qui n’est plus secret
Lorsqu’on suppose qu’un PIN n’est ‘plus secret, il doit être désactivé dès que possible (voir 7.8) et le client doit
être informé du remplacement de la valeur ou doit avoir la possibilité d’en sélectionner une. Un PIN de rem-
placement doit être différent du PIN d’origine. L’activation d’un PIN de remplacement peut être implicite ou
explicite (voir 7.6).
Lorsqu’on suppose qu’un PIN dérivé attribué a été divulgué, au moins l’un des éléments de données utilisé
pour calculer le PIN doit être modifié et un nouveau PIN dérivé et émis. Ceci peut nécessiter que toute carte
correspondante soit réémise ou recodée et que l’utilisation de l’ancienne carte soit rendue impossible.
7.5 Destruction des déchets et des courriers d’envoi de PIN retournés sans avoir été livrés
Les émetteurs doivent s’assurer que des mesures appropriées de sécurité sont prises lors du traitement
interne et de la destruction des courriers d’envoi de PIN retournés sans avoir été livrés et de tous déchets
résultant de l’impression initiale des courriers d’envoi de PIN.
NOTE 13 II convient de tenir compte des adresses de retour différentes en cas de non délivrance de la carte et des
courriers d’envoi de PIN.
7.6 Activation du PIN
Un PIN peut être activé de facon implicite ou explicite.
Dans un système d’activation implicite du PIN l’émetteur suppose que le PIN est bien livré, sauf s’il est informé
du contraire.
Lorsqu’un PIN doit être activé de facon explicite, l’émetteur ne doit pas activer le PIN avant que le client n’ait
renvoyé un recu signé et vérifié ultérieurement. Le recu ne doit pas contenir le PIN.
, v
7.7 Mise en mémoire du PIN
Un PIN mis en mémoire dans les fichiers d’ordinateur de l’émetteur doit être chiffré comme spécifié en 6.2.
ISO 9564-I :1991 (F)
Le chiffrement du PIN (réversible ou irréversible) doit prendre en compte le numéro de compte (ou d’autres
informations) de facon que le processus de vérification puisse détecter la substitution d’une valeur à la place
d’une autre valeur mise en memolre.
Lorsque le PIN (attribué ou sélectionné par le client) est mis en mémoire sur une carte, il ne doit jamais l’être
en clair. Si le PIN doit être mis en mémoire sur une carte, il doit être chiffré (par exemple par décalage du PIN).
7.8 Désactivation du PIN
L’émetteur est res pons able de la désactivation du PIN. Un émetteur doit désactiver un PIN si l’un des événe-
ments suiv ants se prod uit:
a) le PIN n’est plus secret (ou suspecte de ne plus l’être);
b) tous les comptes du client associés à la carte sont clos;
c) le client demande la désactivation du PIN;
d) la durée de vie du PIN s’achéve.
Dans le cas où un PIN n’est plus secret, le client doit être informé de la mesure prise.
L’émetteur doit prendre les mesures appropriées pour garantir que le PIN désactivé ne puisse plus être utilisé
avec le numéro de compte associé.
NOTE 14 Exemples de telles mesures
a) effacement du PIN désactivé des enregistrements de I’Gmetteur;
b) blocage de l’accès au compte.
8 Techniques de gestion/de protection des fonctions du PIN liées aux transactions
8.1 Saisie du PIN
Le cli ent, I’acce pteur de la carte et l’acquéreur ou son agent sont responsables de la prote du PIN au
cours du proces sus d e saisie.
Le premier chiffre saisi sur le clavier PIN doit être le chiffre de poids fort (le plus à gauche). Le dernier chiffre
à saisir doit être le chiffre de poids faible (le plus à droite).
L’équipement utilisé en interchange doit permettre la saisie de 4 à 12 caractères de PIN.
8.2 Protection du PIN en cours de transmission
PIN doit être prot .égé en cours de tra nsmission (y compris, par exemple, le stockage aux noeuds du Meau)
Un
l’un ou les d eux moyen s suivants:
Par
a) mise à disposition d’une protection physique (voir 6.3);
b) chiffrement du PIN (voir 6.2).
Lorsqu’il est nécessaire de déchiffrer un PIN en cours de transmission, par exemple, pour passer d’un format
de PIN à un autre ou pour modifier la clé de chiffrement utilisée, le PIN doit être contenu dans un appareil
physiquement sûr.
8.3 Formats de bloc de PIN normalisés
Le présent paragraphe spécifie la réalisation d’un bloc de 64 bits d’information du PIN et inclut le nombre, la
position et la fonction des bits.

ISO 956401:1991 (F)
Les 4 bits les plus significatifs du bloc forment la zone de contrôle. Les valeurs suivantes lui sont attribuées:
0000 - Format 0 comme indiqué en 8.3.1
- Format 1 comme indiqué en 8.3.2
0010 à 0
...

NORME
INTERNATIONALE
9564-l
Première édition
1991-12-15
Banque - Gestion et sécurité du numéro
personnel d’identification -
Partie 1:
Principes et techniques de protection du PIN
Banking - Persona1 Identification Number management and securify -
Part 1: PIN protection principles and techniques
----------
Numéro de référence
ISO 9564=1:1991(F)
Sommaire
Page
1 Domaine d’application . . . . . . . . . . . . . .~. 1
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
2 Références normatives
3 Définitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4 Principes de base de gestion du PIN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
5 Claviers d’entrée du PIN
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
5.1 Jeu de caractères
.~.~.,. 4
5.2 Représentation des caractères
5.3 Saisie du PIN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5.4 Éléments à prendre en compte pour la présentation
physique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6 Problèmes liés à la sécurité du PIN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . 5
6.1 Procédures de contrôle du PIN .a.,.*.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
6.2 Chiffrement du PIN
......................................... ............................ 6
6.3 Sécurité physique
7 Techniques de gestion/protection des fonctions du PIN liées aux
comptes . . .
.......................................... ............................. 7
7.1 Longueur du PIN
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7.2 Sélection du PIN
7.3 Livraison et émission du PIN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
...................................... ........................... 9
7.4 Changement du PIN
7.5 Destruction des déchets et des courriers d’envoi de PIN retournés
sans avoir été livrés ,.,. 10
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
7.6 Activation du PIN
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
7.7 Mise en mémoire du PIN
. . . . . . . . . . . . . . . . . . . . . . . . . . . . ,.,. 11
7.8 Désactivation du PIN
8 Techniques de gestion/de protection des fonctions du PIN liées aux
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
transactions
0 iso 1991
Droits de reproduction réservés. Aucune partie de cette publication ne peut être repro-
duite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou
mécanique, y compris la photocopie et les microfilms, sans l’accord écrit de l’éditeur.
Organisation internationale de normalisation
Case Postale 56 l CH-1211 Genève 20 l Suisse
Imprimé en Suisse
ii
8.1 Saisie du PIN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
8.2 Protection du PIN en cours de transmission . . . . . . . . . . . . . . . . . . . . . . . 11
8.3 Formats de bloc de PIN normalisés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
II
8.4 Autres formats de bloc de PIN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.5 Vérification du PIN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
8.6 Enregistrement séquentiel des transactions contenant des
données du PIN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
9 Procédure d’approbation des algorithmes de chiffrement . . . 14
Annexes
A Procédure d’approbation d’un algorithme de chiffrement . . . 15
B Principes généraux de gestion de clés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
C Techniques de vérification du PIN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
D Appareil de saisie du PIN . . 20
E Exemple de génération de PIN pseudo-aléatoire . . . . . . . . . . . . . . . . . . 22
F Directives complémentaires pour la conception du clavier d’entrée
du PIN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
G Conseils pour l’établissement de procédures d’effacement et de
destruction de données sensibles .,.,. 26
H Informations destinées aux clients . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .*. 29
. . .
III
ISO 9564~1:1991 (F)
Avant-propos
LIS0 (Organisation internationale de normalisation) est une fédération
mondiale d’organismes nationaux de normalisation (comités membres
de I’ISO). L’élaboration des Normes internationales est en général
confiée aux comités techniques de I’ISO. Chaque comité membre inté-
ressé par une étude a le droit de faire partie du comité technique créé
à cet effet. Les organisations internationales, gouvernementales et non
gouvernementales, en liaison avec I’ISO participent également aux tra-
vaux. L’ISO collabore étroitement avec la Commission électrotechnique
internationale (CEI) en ce qui concerne la normalisation électrotech-
nique.
Les projets de Normes internationales adoptés par les comités techni-
ques sont soumis aux comités membres pour vote. Leur publication
comme Normes internationales requiert l’approbation de 75 % au moins
des comités membres votants.
La Norme internationale ISO 9564-l a été élaborée par le comité tech-
nique ISO/TC 68, Banque et services financiers liés aux opérations ban-
caires, sous-comité SC 6, Cartes de transactions financières, supports
et opérafions relatifs à celles-ci.
L’ISO 9564 comprend les parties suivantes, présentées sous le titre gé-
néral Banque - Gestion et sécurité du numéro personnel
d’identification:
- Partie 1: Principes et techniques de protection du PIN
- Partie 2: Algorithme(s) approuvé(s) pour le chiffrement du PIN
Les annexes A et 6 font partie intégrante de la présente partie de I’ISO
9564. Les annexes C, D, E, F, G et H sont données uniquement à titre
d’information.
ISO 9564=1:1991(F)
Introduction
Le numéro d’identification personnel (PIN) est un moyen de vérifier
l’identité d’un client dans un système de transfert électronique de fonds
(EFT).
La gestion du PIN a pour but de protéger le PIN contre toute divulgation
non autorisée, contre sa découverte et sa mauvaise utilisation au cours
de sa durée de vie et, ce faisant, minimiser les risques de fraude sur-
venant dans les systèmes EFT. Le secret du PIN doit être assuré à tout
moment au cours de sa durée de vie qui comprend sa sélection, son
émission, son activation, sa mise en mémoire, sa saisie, sa transmis-
sion, sa validation, sa désactivation et tout autre emploi pouvant en être
fait.
La sécurité du PIN dépend également d’une gestion de clés saine.
Sauvegarder le secret des clés de chiffrement est primordial car la dé-
couverte de n’importe quelle cle compromet tout PIN précédemment
chiffré par cette clé.
Dans la mesure du possible, la présente partie de I’ISO 9564 spécifie
des exigences en termes absolus. Dans certains cas, il n’est prati-
quement pas possible d’éviter un certain niveau de subjectivité surtout
lorsqu’il s’agit du degré de niveau de sécurité souhaité ou à atteindre.
Le niveau de sécurité à atteindre doit intégrer un certain nombre de
facteurs, y compris la sensibilité des données concernées et I’éventua-
lité de leur interception, la possibilité pratique de tout procédé de chif-
frement envisagé et le coût de l’obtention et de la violation d’un système
particulier de sécurité. Par conséquent, il est nécessaire que I’accep-
teur, l’acquéreur et l’émetteur de carte s’accordent sur l’étendue et le
détail des procédures de sécurité et de gestion du PIN. II n’est prati-
quement pas possible d’atteindre une sécurité absolue; c’est pourquoi
les procédures de gestion du PIN ne devraient pas uniquement viser à
réduire la possibilité d’une violation de sécurité mais devraient
également viser à détecter avec une très forte probabilité tout accès il-
licite ou changement du matériel du PIN susceptible d’advenir en dépit
des mesures préventives. Ceci s’applique à toutes les étapes de la gé-
nération, de l’échange et de l’utilisation d’un PIN, notamment les pro-
cédés intervenant dans l’équipement de chiffrement et ceux lies à la
communication des PIN.
La présente partie de I’ISO 9564 est concue de facon que les émetteurs
puissent s’assurer uniformément, au degré le pius pratique possible,
qu’un PIN, tout en étant sous le contrôle d’autres institutions, est cor-
rectement géré. Des techniques sont données pour protéger le proces-
SIJS d’authentification du client basé sur le PIN en sauvegardant le PIN
contre une divulgation non autorisée au cours de son cycle de vie.
La présente partie de I’ISO 9564 présente des techniques de protection
du PIN contre toute divulgation non autorisée au cours de sa durée de
vie et comprend les annexes suivantes:

ISO 9564-I :1991 (F)
a) l’annexe A donne les procédures d’approbation d’un algorithme de
chiffrement;
b) l’annexe B traite des principes généraux de gestion de clé;
c) l’annexe C traite des techniques de vérification du PIN;
d) l’annexe D traite des concepts de mise en œuvre d’un dispositif de
saisie du PIN;
e) l’annexe E présente un exemple de génération de PIN pseudo-
aléatoire
f) l’annexe F donne des directives complémentaires pour la concep-
tion du clavier d’entrée du PIN;
I’ann exe G spécifie I’abroga tion des support ‘s d’enregistrement uti-
9)
lisés r le stockage des él éments de mise à la clé;
Pou
h) l’annexe H donne des informations destinées aux clients.
Dans I’ISO 9564-2 sont spécifiés les algorithmes approuvés de chif-
frement qui doivent être utilisés pour la protection du PIN. L’application
des exigences de la présente partie de I’ISO 9564 requiert la conclusion
d’accords bilatéraux, y compris ce qui concerne le choix des algo-
rithmes spécifiés dans I’ISO 9564-2.
La présente partie de I’ISO 9564 fait partie d’une série de normes dé-
crivant les prescriptions de sécurité dans l’environnement bancaire,
comme suit:
ISO 9564.1:1991, Banque - Gestion et sécurité du numéro personnel
d’identification - Partie 1: Principes et techniques de protection du
PIN.
ISO 9564.2:1991, Banque - Gestion et sécurité du numéro personne/
d’iden tifka tion - Partie 2: Algorithme(s) approuvé(s) pour le chiffrement
du PIN.
ISO 9807:1991, Banque et services financiers liés aux opérations bancai-
- Spécifications liées à i’authentifkation des messages (service aux
res
particuliers).
Les prescriptions de I’ISO 9564 sont compatibles avec celles de
I’ISO 8583 en ce qui concerne la sécurité des informations connexes.

NORME INTERNATIONALE ISO 9564-1:1991(F)
Banque - Gestion et sécurité du numéro personnel
d’identification -
Partie 1:
Principes et techniques de protection du PIN
1 Domaine d’application
La présente partie de I’ISO 9564 prescrit les mesures de sécurité minimales nécessaires à une gestion efficace
du PIN. Des mesures normalisées permettant d’échanger des informations liées au PIN sont indiquées. La
présente partie de I’ISO 9564 prescrit également les règles liées à l’approbation des algorithmes de chif-
frement du PIN. La présente partie de I’ISO 9564 s’applique aux institutions responsables des techniques de
mise en œuvre de gestion et de protection du PIN liées aux transactions initiées par carte bancaire. Les dis-
positions de la présente partie de I’ISO 9564 ne couvrent pas
- la protection du PIN contre la perte ou la mauvaise utilisation volontaire par le client ou les employés de
l’émetteur;
- la protection de données d’une transaction non protégées par un PIN;
- la protection de messages de transaction envers leur modification ou leur substitution (par exemple une
réponse d’autorisation à une vérification de PIN);
- la protection contre la répétition du PIN ou de la transaction;
- les techniques spécifiques de gestion de clés;
.
- la gestion du PIN et la sécurité des transactions réalisées au moyen des cartes à circuit intégré (CC);
- l’utilisation d’algorithmes de chiffrement asymétriques pour la gestion du PIN.
\
2 Références normatives
Les normes suivantes contiennent des dispositions qui, par suite de la référence qui en est faite, constituent
des dispositions valables pour la présente partie de I’ISO 9564. Au moment de la publication, les éditions in-
diquées étaient en vigueur. Toute norme est sujette à révision et les parties prenantes des accords fondés sur
la présente partie de I’ISO 9564 sont invitées à rechercher la possibilité d’appliquer les éditions les plus ré-
centes des normes indiquées ci-après. Les membres de la CEI et de I’ISO possèdent le registre des Normes
internationales en vigueur à un moment donné.
ISO 78 12: 1987, Cartes d’identification - Système de numérotation et procédure d’enregistrement pour les
identificateurs d’émetteur.
ISO 8583:1987, Messages initiés par carte bancaire - Spécifications d’échange de messages - Contenu pour les
transactions financières.
ISO 8908: ---Il, Banque et services financiers liés aux opérations bancaires - Vocabulaire et éléments de
données.
ISO 9807:1991, Banque et services financiers liés aux opérations bancaires - Spécifications liées à I’autbentifï-
cation des messages (service aux particuliers).
American National Standard X3.92:1981, Data Encryption Algorithm (UEA).
3 Définitions
Pour les besoins de la présente partie de I’ISO 9564, les définitions suivantes s’appliquent.
3.1 acquéreu r: I nstitution (ou son agent) ui acquiert de l’acc epte ur de la carte l’information financière liée à
q
introduit cette informatio n dans un systè me d ‘inte rchan
la transaction et
w
3.2 algorithme: Processus mathématique défini sans ambiguïté.
3.3 accepteur de carte: Partie acceptant la carte et présentant les données de la transaction à un acquéreur.
3.4 texte chiffré: Information dans sa forme chiffrée.
3.5 découverte: En chiffrement, la violation du secret et/ou de la sécurité.
3.6 clé de chiffre lment: Valeur mathématique utilisée dans un algorithme pour transformer un texte en clair
en texte chiffré ou vice versa.
3.7 client: Individu associé au numéro de compte primaire (PAN) spécifié dans la transaction.
3.8 déchiffrement: Transformation inverse d’un chiffrement réversible préalable; action permettant de rendre
un texte chiffré intelligible.
3.9 double contrôle: Intervention de deux entités distinctes ou plus (généralement des personnes) opérant de
concert pour protéger des fonctions ou des informations sensibles, aucun individu isolé ne pouvant accéder
aux éléments ni les utiliser, par exemple une clé de chiffrement.
3.10 chiffrement: Action permettant de rendre un texte inintelligible au moyen d’un mécanisme de codage.
3.11 chiffrement irréversible: Transformation d’un texte en clair en texte chiffré de telle facon que le texte en
clair original ne puisse pas être retrouvé autrement qu’avec des procédures exhaustives’même si la clé de
chiffrement est connue.
3.32 transformation irréversible d’une clé: Nouvelle clé générée à partir d’une clé préalable de telle sorte qu’il
n’existe pas de technique permettant de déterminer l’ancienne clé même en connaissant la nouvelle clé et tous
les détails de la transformation.
3.13 émetteur: Institution tenant le compte identifié par le numéro de compte primaire (PAN).
3.14 élément parmi au moins de ux paramè tres poss édant le format d’une clé cryptographi que, qrJi
de clé: Un
est additionné modulo-2 à un ou pl usieur aramètres sem blabl es pour former une cl é de chiffrement
‘S P
3.15 addition modula-2: Addition binaire sans retenue (appelée également ou-exclusif).
3.16 noeud: Toute entité de traitement de message par laquelle passe une transaction.
1) A publier.
ISO 95640I:l991 (F)
3.17 notarisation: Méthode permettant de modifier une clé de chiffrement de clé dans le but d’authentifier
l’identité de l’expéditeur et du destinataire final.
personnel (PIN): ou mot de passe possédé par le client pour la vérification
3.18 numéro d’identification Code
de son identité.
3.19 texte en clair: Données dans leur forme originale non chiffrée.
3.20 numéro de compte primaire (PAN): Numéro attribué qui identifie l’émetteur et le porteur de la carte. Ce
numéro est composé d’un numéro d’identification de l’émetteur, de l’identification du numéro de compte indi-
viduel et d’un chiffre de vérification associé, comme le définit I’ISO 7812.
3.21 nombre pseudo-aléatoire: Nombre statistiquement aléatoire et essentiellement imprévisible bien que
généré par un procédé algorithmique.
3.22 PIN de référence: Valeur du PIN utilisée pour vérifier le PIN de transaction.
3.23 chiffrement réversible: Transformation d’un texte en clair en texte chiffré de telle sorte que le texte en
clair original puisse être retrouvé.
3.24 connaissance répartie: Contexte dans lequel au moins deux entités se partagent en les gardant secrets
les éléments d’une clé unique qui, pris isolément, ne permettent pas de déduire la clé de chiffrement résultant
de leur combinaison.
3.25 PIN de transaction: Terme utilisé pour décrire le PIN tel qu’il est saisi par le client.
3.26 variante d’une clé: Nouvelle clé formée par un procédé non secret à partir de la clé originale, de telle
sorte qu’un ou plusieurs bits de la nouvelle clé, à l’exclusion des bits de parité, soient différents des bits cor-
respondants de la clé originale.
4 Principes de base de gestion du PIN
La gestion du PIN doit être régie par les principes de base suivants:
a) Pour toutes les fonctions de gestion du PIN, des contrôles doivent être appliqués de sorte que le matériel
et le logiciel utilisés ne puissent pas être modifiés de facon frauduleuse ou qu’on ne puisse y avoir accès
sans enregistrement, détection et/ou invalidation comme indiqué en 6.1 .l.
b) Après la sélection, le PIN, s’il est mémorisé, doit être chiffré lorsqu’il ne peut pas être mécaniquement
sauvegardé, comme indique en 6.2 et 7.7.
c) Pour différents comptes, le chiffrement de la même valeur de PIN sous une clé de chiffrement donnée ne
doit pas produire de facon prévisible le même texte chiffré comme indiqué en 6.2.
,
d) La sécurité d’un PIN ch iffré ne doit pas reposer sur la confidentialité de la conception ou de l’algorithme
de chiffrem ent m ais sur une clé secrète comme indiqué en 6.2.
e) Le PIN en texte clair ne doit jamais se trouver dans les locaux de l’acquéreur sauf s’il est placé à l’intérieur
d’un dispositif physiquement sûr comme indiqué en 6.3.1.
clair peut se trouver da locaux contenant l’ordinateur de l’émetteur, à condition que
Un PIN en texte ns les
ériode définie
ces locaux cons tituen t un env ironnemen t physi quement sûr au cours de la p en 63.2.
g) Seul le client et/ou le personnel autorisé par l’émetteur doivent être impliqués dans la sélection du PIN (voir
7.2) l’émission du PIN ou tout procédé de saisie du PIN dans lequel le PIN peut être lié à des informations
d’identité du compte. Ce personnel doit opérer en respectant strictement les procedures prescrites (par
exemple double contrôle).
ISO 9564=1:1991(F)
h) Un PIN chiffré stocké doit être protégé contre la substitution, comme indiqué en 7.7.
i) La découverte d’un PIN (ou une menace de découverte) doit se traduire par la fin de la durée de vie du PIN
comme indiqué en 7.8.
j) L’émetteur est responsable de la vérification du PIN, bien que la fonction de vérification puisse être délé-
guée à une autre institution comme indiqué en 8.5.
k) Des clés de chiffrement différentes doivent être utilisées pour la protection du stockage du PIN et de la
transmission comme indiqué en 6.2.
1) Le client doit être informé par écrit de l’importance du PIN et de sa confidentialité (voir annexe H).
5 Claviers d’entrée du PIN
5.1 Jeu de caractères
Tous les claviers d’entrée du PIN doivent permettre la saisie des caractères numériques décimaux de 0 (zéro)
à 9 (neuf).
NOTE 1 II est reconnu que les caractères alphabétiques, bien que non attribués dans la présente partie de I’ISO 9564,
peuvent être utilisés comme ’ synonymes des caractères numériques décimaux.
De plus amples informations sur la
conception des claviers d’entrée du PIN, comprenant les correspondances entre caractères alphabétiques et numériques,
sont données dans l’annexe F.
5.2 Représentation des caractères
La relation entre la valeur numérique d’un caractère du PIN et le codage interne de cette valeur avant tout
chiffrement doit être comme indiqué dans le tableau 1.
Tableau 1 - Représentation des caractères
.
Caractère du PIN Binaire interne
0 0000
I I
1 0001
3 0011
I I
I I
5 0101
6 0110
a
5.3 Saisie du PIN
Les valeurs du PIN saisi ne doivent pas être affichées en clair ni divulguées par signal sonore.

ISO 9564=1:1991(F)
5.4 Eléments à prendre en compte pour la présentation physique
Un clavier d’entrée du PIN peut physiquement se présenter comme partie intégrante d’un terminal, ou peut se
trouver éloigné de l’électronique de gestion du terminal. L’électronique de gestion du terminal peut être ou
non protégée physiquement (voir définition en 6.3.1); quoiqu’il en soit, le clavier d’entrée du PIN doit être pro-
tégé comme indiqué en 6.3.1 ou en 6.3.3.
Le clavier d’entrée du PIN doit être conçu et installé de sorte que le client puisse empêcher des tiers d’ob-
server la valeur du PIN au moment de sa saisie.
Lorsqu’on utilise un clavier d’entrée du PIN éloigné, la liaison physique entre celui-ci et le terminal associé
doit être protégée (voir 8.2).
Le tableau 2 résume les prescriptions de sécurit& pour chacune des quatre configurations possibles pour le
terminal et le clavier d’entrée du PIN.
Éléments 8 prendre en compte pour la présentation physique du clavier
Tableau 2 -
Terminal protégé physiquement Terminal non protégé physiquement
Clavier d’entrée du PIN Les exigences de protection physique Les exigences de protection physique
intégré au terminal comme indiqué en 6.3.1 s’appliquent à tout comme indiqué en 6.3.1 ou en 6.3.3 s’appli-
le terminal. quent au clavier d’entrée du PIN.
Le terminal doit chiffrer le PIN comme indi- Le clavier d’entrée du PIN doit chiffrer le PIN
qué en 6.2, avant sa transmission. comme indiqué en 6.2, avant sa transmis-
sion.
Le clavier d’entrée du PIN doit être protégé
Clavier d’entrée du PIN Le clavier d’entrée du PIN doit être protégé
éloigné du terminal comme spécifie en 6.3.1 ou en 6.3.3. comme indiqué en 6.3.1 ou en 6.3.3.
Le clavier d’entrée du PIN doit chiffrer le PIN
Le clavier d’entrée du PIN doit chiffrer le PIN
comme indiqué en 6.2, avant sa transmis- comme indiqué en 6.2, avant sa transmis-
sion. sion.
6 Problèmes liés à la sécurité du PIN
6.1 Procédures de contrôle du PIN
6.1.1 Matériel et logiciel
Le matériel et le logiciel utilisés pour les fonctions de gestion du PIN doivent être mis en œuvre de facon à
.
garantir les points suivants.
a) Le matériel et le logiciel assurent correctement la fonction pour laquelle ils ont été conys et uniquement
cette fonction.
b) Aucune modification ni accès au matériel et au logiciel ne peut survenir sans détection et/ou invalidation.
c) Aucune modification ni accès frauduleux aux informations ne peut survenir sans détection et/ou invali-
dation.
d) Le système ne doit pas pouvoir être utilisé ou mal utilisé dans le but de rechercher un PIN par essai réit&é
des PINS erronés.
NOTE 2 Des listages imprimés ou sur microfilm ou les image-mémoires utilisés pour la sélection, le calcul ou le chif-
frement du PIN devraient être contrôlés en cours d’utilisation, de livraison, de stockage et de destruction.
6.1.2 Supports d’enregistrements
Tous les supports d’enregistrement (par exemple bande magnétique, disques) contenant des informations à
partir desquelles un PIN en clair peut être déterminé, doivent être démagnétisés, écrasés, ou détruits physi-
quement immédiatement après leur utilisation. Un système informatique ne pourra être utilisé, pour ce faire,
:
que si toutes les zones de mémoire compri sd e mémorisation temporaire) utilis ées dans le processus ci-
(Y
dessus peuve nt être spé Icifi quement ide ntifiées et démagnétisées ou écrasées (voir annexe G).
6.1.3 Communications orales
Aucune procédure ne doit nécessiter ou permettre la communication orale du PIN en clair, par téléphone ou
en personne. Une institution ne doit jamais autoriser ses employés à demander à un client de divulguer le PIN
ou à recommander des valeurs specifïques.
6.1.4 Claviers téléphoniques
Les procédures d’une institution ne doivent pas autoriser la saisie du PIN en clair par l’intermédiaire de tou-
ches téléphoniques, sauf si le combiné téléphonique est concu et réalisé pour répondre aux exigences de 5.4
pour les claviers d’entrée du PIN et de 8.2 pour la transmissi& du PIN.
6.2 Chiffrement du PIN
Lorsqu’il est nécessaire de chiffrer un PIN pour sa mise en mémoire et sa transmission (voir 6.3 et 8.2), cela
doit être effectué en utilisant l’un des algorithmes approuvés spécifiés dans I’ISO 9564-2.
La procédure de chiffrement adoptée doit garantir que le chiffrement d’une valeur de PIN en clair utilisant une
clé de chiffrement particuliére ne produit pas de façon prévisible la même valeur chiffrée lorsque la même
valeur du PIN est associée à différents comptes (voir 7.8).
Des clés de chiffrement différentes doivent être utilisées pour protéger le PIN de référence et le PIN de trans-
action.
Les clés de chiffrement du PIN ne doivent pas être utilisees à d’autres fins cryptographiques.
Voir annexe B pour les principes généraux de gestion de clé.
6.3 Sécurité physique
Ce paragraphe d éfinit un (tdisp Iositif ue ment sûr)) et un ((environnement physiquement sûr,, et spkifie
physiq
les prescription S relati ves à un reil de sa isie d u PIN.
aPPa
Un PIN de référence non chiffré ne doit exister que dans ((dispositif physiquement sûr,,. Un PIN de transaction non chiffré ne doit exister que dans ( un appareil de saisie du PIN satisfaisant aux prescriptions de 6.3.3 ou dans 4’environnement
quement sûr,),
physiquement sûr,) de l’émetteur (ou de l’agent de l’émetteur).
6.3.1 Dispositif physiquement sûr
Pour évaluer la sécurité physique de tout dispositif, on doit prendre en considération l’environnement opé-
rationnel dans lequel celui-ci est mis en œuvre. Un dispositif physiquement sûr est un dispositif physique dans
lequel lorsqu’il est mis en œuvre d’une manière et dans un environnement adéquats on ne peut s’introduire
pour ensuite pouvoir divulguer tout ou partie de clé cryptographique ou de PIN résidant dans le dispositif.
L’entrée dans le dispositif quand il est mis en œuvre dans un environnement et d’une manière adéquate doit
provoquer l’effacement automatique et immédiat de tous les PINS, clés de chiffrement et tous les restes de PIN
utiles et de clés contenus dans le dispositif.
Un dispositif ne doit être utilisé comme un dispositif physiquement sûr que lorsqu’on est sûr que le fonction-
nement interne de celui-ci n’a pas été modifié dans le but d’en permettre l’intrusion (par exemple insertion
dans le dispositif d’un mécanisme actif ou passif d’écoute clandestine).

ISO 9564=1:1991(F)
6.3.2 Environnement physiquement sûr
Un environnement physiquement sûr est un environnement équipé de commandes d’accès ou d’autres méca-
nismes concus pour empêcher tout accès qui se traduirait par une divulgation de tout ou partie d’une clé de
chiffrement ou d’un PIN mis en mémoire dans cet environnement.
i quem ent sûr que tou s les PIN, les clés de chi ffreme
Un environnement doit le rester jusqu ‘à ce nt et les
PhYS
restes de PIN et de clés utiles aient é té effacés de cet en vi ron nement.
6.3.3 Prescriptions relatives à l’appareil de saisie du PIN
Un appareil de saisie du PIN doit être conforme aux prescriptions de 6.3.1 ou satisfaire, au moins, aux pres-
criptions suivantes.
a) Le PIN de transaction doit être chiffré dans l’appareil conformément à l’article 8.
b) L’intrusion réussie à l’intérieur de l’appareil de saisie du PIN ne doit pas permettre la divulgation d’un PIN
de transaction préalablement saisi même en connaissant l’information complémentaire correspondante qui
est, ou a été, accessible à l’extérieur de l’appareil (par exemple, PIN chiffrés transmis préalablement par
l’appareil).
c) La détermination non autorisée des données secrètes (PINS et clés) stockées dans l’appareil de saisie du
PIN ou la mise en place dans l’appareil d’une 4coute clandestine,) pour l’enregistrement de données se-
crètes doit avoir pour conséquence que l’appareil soit transporté dans un département spécialisé pour qu’il
y subisse des détériorations physiques telles que l’appareil ne puisse plus être remis en service sans qu’il
soit hautement probable de le détecter. De plus, la détermination des données secrètes résidant dans
l’appareil doit nécessiter un équipement spécialisé et des compétences peu courantes.
Les inform ations mises en mé moire da ns un apparei l de saisie de PIN, m ême si elles sont détermi nées,
d)
ne doivent pas pouvoir être tra nsfere es dans un autre appareil sem blable.
NOTE 3 Voir annexe 0 pour des informations sur la mise en œuvre d’un appareil de saisie du PIN.
7 Techniques de gestion/protection des fonctions du PIN liées aux comptes
7.1 Longueur du PIN
Un PIN doit avoir une longueur d’au moins 4 caractères et de 12 caractères au plus.
NOTE 4 Bien qu’un PIN plus long offre des avantages du point de vue de la sécurité, l’efficacité peut s’en trouver
amoindrie. Pour des raisons pratiques la longueur d’un PIN numérique attribué ne devrait pas être supérieure à 6 chiffres.
Pour des raisons de sécurité il est recommandé que la longueur d’un PIN alphabétique sélectionné par le client ne soit pas
inférieure à 6 caractères. II est à noter que de nombreux systèmes internationaux n’acceptent pas plus de 6 chiffres et/ou
ne permettent pas la saisie d’un PIN alphabétique.
7.2 Sélection du PIN
Un PIN doit être sélectionné en utilisant une ou plusieurs des techniques suivantes:
- PIN dérivé attribué;
- PIN aléatoire attribué;
- PIN sélectionné par le client.
La sécurité de tout PIN émis peut être compromise par sa découverte pendant une opération de sélection.
7.2.1 PIN dérivé attribué
Lorsque le PIN de référence est un ((PIN dérivé attribué),
l’émetteur doit l’obtenir par un procédé
cryptographique utilisant
a) le numéro de compte primaire, et/ou
b) une autre valeur associée au client.
NOTES
5 Le processus de dérivation du PIN ne devrait pas présenter de biais favorisant des jeux de valeurs spécifiques.
sée, l’émetteur ne devrait pas
6 Si cette technique est utili conserver d’enregistrement de la valeur du PIN puisque celui-ci
est.
peut être recalculé si besoin
7 Lorsque le PIN est dérivé à partir des données d’une carte, il peut être utilisé pour valider ces données.
7.2.2 PIN aléatoire attribué
Lorsque le PIN de référence est un ((PIN aléatoire attribué>) l’émetteur doit obtenir une valeur au moyen
a) d’un générateur de nombres aléatoires parfait, et/ou
b) d’un générateur de nombres pseudo-aléatoires (voir annexe E).
7.2.3 PIN sélectionné par le client
Lorsqu’un PIN de référence est un ((PIN sélectionné par le client,, la valeur doit être choisie par le client. Dans
ce cas l’émetteur doit donner au client les instructions de sélection et les avertissements nécessaires (voir
annexe H).
NOTE 8 Pour l’émetteur, un PIN sélectionné par le client est une valeur aléatoire.
7.3 Livraison et émission du PIN
Toutes les fonctions d’émission du PIN impliquant le personnel de l’émetteur doivent être effectuées sous
double contrôle.
Le PIN ne doit jamais être retrouvé et déchiffré ou régénéré pour être enregistré, traité, visualisé ou imprimé
sauf à l’intérieur d’un courrier d’envoi de PIN sûr (ou son équivalent).
À aucu n moment du processus de livraison le PIN ne doit apparaître en clair lorsqu’il peut être associé au
compte Id u client.
7.3.1 Livraison d’un PIN attribué
Un PIN attribué par un émetteur doit parvenir au client dans un courrier d’envoi de PIN.
Le courrier d’envoi du PIN doit être imprimé de telle manière que le PIN en clair ne puisse pas être vu avant
que l’enveloppe ne soit ouverte. L’enveloppe doit comporter le minimum de données nécessaires à la livraison
du courrier d’envoi du PIN au client concerné. Un courrier d’envoi de PIN doit être concu de facon telle que
son ouverture accidentelle ou frauduleuse soit décelée par le client avec une très forte p;obabilit& L’émetteur
doit inciter le client à ne pas utiliser un PIN contenu dans un courrier d’envoi de PIN qui aurait été ouvert ou
forcé, et doit l’avertir d’une telle éventualité.
NOTES
9 L’enveloppe ou son contenu peuvent contenir ((des résidus du PIN)) (par exemple un papier carbone) et il convient que
l’émetteur mette en garde le client de détruire complètement le courrier d’envoi du PIN ou de le conserver dans un endroit
sûr, une fois le PIN mémorisé.
KO 9564=1:1991(F)
10 Plusieurs cartes peuvent être émises sur le même compte, chacune comportant un PIN différent. Si tel est le cas, la
partie extérieure du courrier d’envoi du PIN peut nécessiter l’indication de détails relatifs à l’identification du client pour
faciliter une livraison correcte.
Le PIN et la carte ne doivent pas faire partie du même envoi ni être envoyés au même moment.
7.3.2 Livraison d’un PIN sélectionné par le client
Un PIN sélectionné par le client doit être transmis au client en faisant appel à l’une des techniques suivantes:
a) sélection initiale du PIN chez l’émetteur (voir 7.3.2.1);
b) sélection du PIN par courrier (voir 7.3.2.2).
7.3.2.1 Sélection du PIN chez l’émetteur
La sélection du PIN doit être effectuée chez l’émetteur par l’intermédiaire d’un clavier d’entrée du PIN
conforme aux prescriptions du tableau 2. La sélection et la saisie du PIN ne doivent pas obliger le client à di-
vulguer le PIN à l’un des employés de I’emetteur ou à un tiers. La procédure suivante doit être appliquée.
a) Un employé autorisé doit s’assurer de l’identité du client.
b) Le système doit exiger l’identification et l’autorisation des employés de ‘émetteur.
c) Le processus de sélection du PIN doit être mis en fonction par un en ployé autorisé. Le processus doit
s’achever par la réalisation complète d’une sélection de PIN.
d) L’identification de l’employé autorisé ainsi que la date et l’heure doivent faire partie intégrante de I’enre-
gistrement de la transaction.
7.3.2.2 Sélection du PIN par courrier
La sélection du PIN par courrier ne peut être effectuée qu’en utilisant un formulaire comportant un numéro de
contrôle et un espace pour le PIN sélectionné. Le numéro de contrôle ne doit pas divulguer le numéro de
compte. Une clé de chiffrement utilisée pour générer un numéro de contrôle ne doit pas être utilisée à d’autres
fins et doit être gérée conformément à l’annexe 8. Le formulaire complété ne doit pas contenir d’informations
liant le PIN au nom, à l’adresse ou au numéro de compte du client. Les procédures suivantes doivent être
appliquées.
a) Le courrier d’envoi au client doit contenir le formulaire de sélection du PIN et des instructions.
b) Le courrier doit être conforme aux procédures définies en 7.3.1, en considérant le numéro de contrôle
comme un PIN.
c) II doit être demandé au client d’inscrire le PIN sur le formulaire, de ne pas y inscrire d’autre information
sauf demande spécifique, de ne pas joindre d’autre correspondance et de renvoyer le formulaire à
l’adresse indiquée. Il convient d’utiliser une enveloppe spéciale portant déjà l’adresse.
d) Le traitement des formulaires de sélection du PIN recus doit être entrepris uniquement par des employés
autorisés de I ‘émetteur.
NOTE 11 Le numéro de contrôle peut être le numéro de compte chiffré de facon reversible. Certains émetteurs deman-
dent au client d’indiquer sur le formulaire un PIN sous forme chiffrée.
7.4 Changement du PIN
Le change ment du PIN doit être effectué par l’intermédiaire du système de l’émetteur conformément aux
prescriptio ns de 7.3; il ne doit pas être effectué dans un environnement d’interchange.

7.4.1 Changement du PIN sur un terminai sous surveillance
La procédure de changement du PIN sur un terminal sous surveillance doit être la même que celle spécifiée
pour la sélection du PIN en 7.3.2.1.
7.4.2 Changement du PIN sur un terminai non surveillé
La procédure de changement du PIN sur un terminal non surveillé du système de l’émetteur doit comporter la
saisie et la vérification du PIN actuel avant de sélectionner et d’opérer le remplacement du PIN sélectionné
par le client.
Le nouveau PIN devrait être saisi deux fois et être identique lors des deux saisies.
NOTE 12
7.4.3 Changement du PIN par courrier
La procédure de changement du PIN par courrier doit être la même que celle spécifiée pour la sélection du
PIN en 7.3.2.2.
7.4.4 Remplacement d’un PIN oublié
Le remplacement d’un PIN oublié doit être effectué sur le système de l’émetteur; il ne doit pas être effectué
dans un environnement d’interchange. Les procédures utilisées pour remplacer un PIN oublié doivent suivre
celles indiquées en 7.3.
Lorsqu’un PIN attribué a été oublié et que cela se traduit par la création d’un courrier d’envoi du PIN commu-
niquant la même valeur ou une nouvelle valeur de PIN attribué, les prescriptions de 7.3.1 doivent s’appliquer.
7.4.5 Remplacement d’un PIN qui n’est plus secret
Lorsqu’on suppose qu’un PIN n’est ‘plus secret, il doit être désactivé dès que possible (voir 7.8) et le client doit
être informé du remplacement de la valeur ou doit avoir la possibilité d’en sélectionner une. Un PIN de rem-
placement doit être différent du PIN d’origine. L’activation d’un PIN de remplacement peut être implicite ou
explicite (voir 7.6).
Lorsqu’on suppose qu’un PIN dérivé attribué a été divulgué, au moins l’un des éléments de données utilisé
pour calculer le PIN doit être modifié et un nouveau PIN dérivé et émis. Ceci peut nécessiter que toute carte
correspondante soit réémise ou recodée et que l’utilisation de l’ancienne carte soit rendue impossible.
7.5 Destruction des déchets et des courriers d’envoi de PIN retournés sans avoir été livrés
Les émetteurs doivent s’assurer que des mesures appropriées de sécurité sont prises lors du traitement
interne et de la destruction des courriers d’envoi de PIN retournés sans avoir été livrés et de tous déchets
résultant de l’impression initiale des courriers d’envoi de PIN.
NOTE 13 II convient de tenir compte des adresses de retour différentes en cas de non délivrance de la carte et des
courriers d’envoi de PIN.
7.6 Activation du PIN
Un PIN peut être activé de facon implicite ou explicite.
Dans un système d’activation implicite du PIN l’émetteur suppose que le PIN est bien livré, sauf s’il est informé
du contraire.
Lorsqu’un PIN doit être activé de facon explicite, l’émetteur ne doit pas activer le PIN avant que le client n’ait
renvoyé un recu signé et vérifié ultérieurement. Le recu ne doit pas contenir le PIN.
, v
7.7 Mise en mémoire du PIN
Un PIN mis en mémoire dans les fichiers d’ordinateur de l’émetteur doit être chiffré comme spécifié en 6.2.
ISO 9564-I :1991 (F)
Le chiffrement du PIN (réversible ou irréversible) doit prendre en compte le numéro de compte (ou d’autres
informations) de facon que le processus de vérification puisse détecter la substitution d’une valeur à la place
d’une autre valeur mise en memolre.
Lorsque le PIN (attribué ou sélectionné par le client) est mis en mémoire sur une carte, il ne doit jamais l’être
en clair. Si le PIN doit être mis en mémoire sur une carte, il doit être chiffré (par exemple par décalage du PIN).
7.8 Désactivation du PIN
L’émetteur est res pons able de la désactivation du PIN. Un émetteur doit désactiver un PIN si l’un des événe-
ments suiv ants se prod uit:
a) le PIN n’est plus secret (ou suspecte de ne plus l’être);
b) tous les comptes du client associés à la carte sont clos;
c) le client demande la désactivation du PIN;
d) la durée de vie du PIN s’achéve.
Dans le cas où un PIN n’est plus secret, le client doit être informé de la mesure prise.
L’émetteur doit prendre les mesures appropriées pour garantir que le PIN désactivé ne puisse plus être utilisé
avec le numéro de compte associé.
NOTE 14 Exemples de telles mesures
a) effacement du PIN désactivé des enregistrements de I’Gmetteur;
b) blocage de l’accès au compte.
8 Techniques de gestion/de protection des fonctions du PIN liées aux transactions
8.1 Saisie du PIN
Le cli ent, I’acce pteur de la carte et l’acquéreur ou son agent sont responsables de la prote du PIN au
cours du proces sus d e saisie.
Le premier chiffre saisi sur le clavier PIN doit être le chiffre de poids fort (le plus à gauche). Le dernier chiffre
à saisir doit être le chiffre de poids faible (le plus à droite).
L’équipement utilisé en interchange doit permettre la saisie de 4 à 12 caractères de PIN.
8.2 Protection du PIN en cours de transmission
PIN doit être prot .égé en cours de tra nsmission (y compris, par exemple, le stockage aux noeuds du Meau)
Un
l’un ou les d eux moyen s suivants:
Par
a) mise à disposition d’une protection physique (voir 6.3);
b) chiffrement du PIN (voir 6.2).
Lorsqu’il est nécessaire de déchiffrer un PIN en cours de transmission, par exemple, pour passer d’un format
de PIN à un autre ou pour modifier la clé de chiffrement utilisée, le PIN doit être contenu dans un appareil
physiquement sûr.
8.3 Formats de bloc de PIN normalisés
Le présent paragraphe spécifie la réalisation d’un bloc de 64 bits d’information du PIN et inclut le nombre, la
position et la fonction des bits.

ISO 956401:1991 (F)
Les 4 bits les plus significatifs du bloc forment la zone de contrôle. Les valeurs suivantes lui sont attribuées:
0000 - Format 0 comme indiqué en 8.3.1
- Format 1 comme indiqué en 8.3.2
0010 à 0
...