【文章內容簡介】 》 、《銀行磁條卡自動柜員機(ATM)應用規(guī)范》 、 《中國銀聯(lián) MIS 商戶系統(tǒng)技術規(guī)范》、 《中國銀聯(lián) POS 終端規(guī)范 》 、 《中國銀聯(lián)代理業(yè)務 ATM 終端技術規(guī)范》 、 《中國銀聯(lián)銀行卡聯(lián)網(wǎng)聯(lián)合技術規(guī)范 版》 、以及銀聯(lián)網(wǎng)絡入網(wǎng)規(guī)則。若發(fā)現(xiàn)會員機構未能履行上述義務，則銀聯(lián)有權中止該機構的會員資格。 中國銀聯(lián)金融 IC 卡支付系統(tǒng)公鑰證書認證服務會員費成員機構需要支付的銀聯(lián)金融 IC 卡支付系統(tǒng)公鑰認證服務會員費將由銀聯(lián)根據(jù)成員機構的業(yè)務類型和業(yè)務量確定。 成員機構的會員聯(lián)系人更改成員機構參加銀聯(lián)金融 IC 卡支付系統(tǒng)公鑰認證服務會員注冊會議并代表該機構簽署注冊申請表的兩個參會安全官員是該機構與銀聯(lián)關于銀聯(lián)金融 IC 卡支付系統(tǒng)公鑰認證服務的授權聯(lián)系人，以后所有涉及銀聯(lián)金融 IC 卡支付系統(tǒng)公鑰認證服務的業(yè)務都由這兩個安全官員與銀聯(lián)審核員直接聯(lián)系。若出現(xiàn)因各種原因會員機構需要更改會員安全官員時，需要該機構負責人簽署的信件說明，并說明新的兩個安全官員的身份及聯(lián)系方式。同時由變更后的兩個會員安全官員與銀聯(lián)審核員重新進行會員注冊流程。 測試證書申請成員機構在成為中國銀聯(lián)金融 IC 卡公鑰認證服務會員后即可申請測試證書。根 CA 測試證書包含根 CA 測試公鑰，由銀聯(lián) IC 卡根 CA 的測試系統(tǒng)生成。根15 / 42CA 測試系統(tǒng)使用測試根 CA 密鑰對簽發(fā)成員發(fā)卡行測試證書，成員發(fā)卡行使用其測試證書對應的測試私鑰來生成用于系統(tǒng)測試的 IC 卡的簽名數(shù)據(jù)或 IC 卡公鑰證書并進行脫機測試或聯(lián)機測試，成員收單機構的測試終端只使用根 CA 測試公鑰做測試，不能把測試 IC 卡應用作為金融交易受理。 根 CA 測試公鑰信息的申請、傳遞、驗證成員機構在注冊成為中國銀聯(lián)金融 IC 卡支付系統(tǒng)公鑰認證服務會員后即可申請根 CA 測試公鑰證書。成員機構由安全官員就根 CA 測試公鑰的申請和獲取向銀聯(lián)審核員聯(lián)系。成員機構對根 CA 測試公鑰的獲取可以在銀聯(lián)審核員核準后指導成員機構安全官員從銀聯(lián) Web 網(wǎng)站下載或以安全電子郵件傳遞。成員機構應在按照《銀聯(lián)金融 IC 卡支付系統(tǒng)公鑰認證技術規(guī)范》第 7 章的驗證程序驗證根 CA 測試公鑰后才可使用。根 CA 測試公鑰以根 CA 公鑰文件形式傳遞，見《銀聯(lián)金融 IC 卡支付系統(tǒng)公鑰認證技術規(guī)范》第 6 章。根 CA 測試公鑰信息的驗證也可以使用銀聯(lián)提供的銀聯(lián)金融 IC 卡支付系統(tǒng)公鑰認證處理軟件進行。 發(fā)卡行測試公鑰證書的申請、簽發(fā)、傳遞、驗證成員機構在注冊成為中國銀聯(lián)金融 IC 卡支付系統(tǒng)公鑰證書認證服務會員后即可申請發(fā)卡行測試公鑰證書。測試證書的申請流程、簽發(fā)流程、和驗證流程與生產(chǎn)系統(tǒng)證書申請相關流程相同，成員發(fā)卡行必須在申請材料中標識所申請的證書是測試證書，同時遞交發(fā)卡行測試公鑰工作申請，詳細規(guī)則見本規(guī)范第 節(jié)、本規(guī)范附錄 C、和《銀聯(lián)金融 IC 卡支付系統(tǒng)公鑰認證技術規(guī)范》第5 章。 成員機構根 CA生產(chǎn)型公鑰證書申請、獲取、接受銀聯(lián)金融 IC 卡根 CA 生產(chǎn)型公鑰證書以電子版根 CA 公鑰文件形式傳遞，關于根 CA 公鑰文件見《銀聯(lián)金融 IC 卡支付系統(tǒng)公鑰認證技術規(guī)范 》第 6 章。根 CA 公鑰文件由銀聯(lián)金融 IC 卡根 CA 生成，并以安全電子郵件方式轉交銀聯(lián)IC 卡應用部和銀聯(lián)審核員。成員發(fā)卡行需要按照本規(guī)范第 節(jié)規(guī)定申請獲取適當?shù)母?CA 公鑰，成員收單機構需要申請獲取所有為銀聯(lián)標準 IC 卡提供公鑰認證服務的根 CA 公鑰。成員發(fā)卡行必須在申請發(fā)卡行公鑰證書前獲取并驗證根 CA 公鑰。16 / 42在成功注冊成為銀聯(lián)金融 IC 卡支付系統(tǒng)公鑰認證會員單位后，成員機構安全官員可以以銀聯(lián)安全電子郵件方式向銀聯(lián)審核員申請獲取銀聯(lián)金融 IC 卡根CA 生產(chǎn)型公鑰信息，成員機構安全官員必須在申請中標明成員機構的機構代碼和機構名稱，同時使用傳真將同樣請求傳真給銀聯(lián)審核員。銀聯(lián)審核員在收到成員收單機構安全官員電子郵件和傳真后，電話向成員收單機構安全官員核實申請。得到確認后，銀聯(lián)審核員將收到的申請以安全電子郵件方式轉交銀聯(lián)IC 卡應用部，銀聯(lián) IC 卡應用部審核并批復后以安全電子郵件方式通知銀聯(lián)審核員，同時 IC 卡應用部將批復文件遞交銀聯(lián)金融 IC 卡支付系統(tǒng)公鑰認證管理機構備案。銀聯(lián)審核員在收到銀聯(lián) IC 卡應用部的申請批復后以安全電子郵件形式將所申請的根 CA 生產(chǎn)型公鑰信息以電子版根 CA 公鑰文件形式同時傳遞給該成員機構的兩個安全官員。成員機構安全官員在收到銀聯(lián)審核員傳遞的銀聯(lián)金融 IC 卡根 CA 公鑰信息必須按照《中國銀聯(lián)金融 IC 卡支付系統(tǒng)公鑰認證技術規(guī)范》第 7 章的程序驗證根 CA 公鑰，只有嚴格按照《中國銀聯(lián)金融 IC 卡支付系統(tǒng)公鑰認證技術規(guī)范 》第 7 章的程序成功驗證了收到的根 CA 公鑰后才可以接受并使用。成員機構可以使用銀聯(lián)金融 IC 卡支付系統(tǒng)公鑰認證處理軟件完成公鑰的驗證。若成員機構成功驗證了按照《中國銀聯(lián)金融 IC 卡支付系統(tǒng)公鑰認證技術規(guī)范》第 7 章的程序成功驗證了收到的根 CA 公鑰，必須由該機構安全官員以電話加上傳真方式將結果通知銀聯(lián)審核員。若簽名驗證失敗，則由該機構安全官員以電話和安全電子郵件方式將結果通知銀聯(lián)審核員。成員機構安全官員利用安全電子郵件取得根 CA 公鑰信息并成功驗證其簽名是至關重要的，可以有效驗證根 CA 公鑰信息的數(shù)據(jù)完整性和進行信息源認證。同時成員機構在存儲根 CA 公鑰信息過程中可以以驗證簽名的方式驗證公鑰信息的數(shù)據(jù)完整性。因此，成員機構在使用根 CA 公鑰前必須按照《中國銀聯(lián)金融 IC 卡支付系統(tǒng)公鑰認證技術規(guī)范》第 7 章的程序成功驗證根 CA 公鑰證書的簽名，只有成功驗證了根 CA 公鑰證書的簽名，成員機構才可以接受并使用根 CA 公鑰。成員機構可以使用銀聯(lián)提供的金融 IC 卡公鑰處理軟件驗證收到的根 CA 公鑰證書的簽名的有效性。 發(fā)卡行公鑰證書申請、簽發(fā)、傳遞、驗證一旦成員發(fā)卡行成功注冊成為銀聯(lián)金融 IC 卡公鑰認證服務會員單位，成員機構即可進行一張或多張發(fā)卡行公鑰證書的申請，但需要針對每一張發(fā)卡行公鑰證書完成一份銀聯(lián)金融 IC 卡支付系統(tǒng)公鑰認證服務發(fā)卡行公鑰證書工作申請17 / 42表，見本規(guī)范附錄 C。成員發(fā)卡行在申請發(fā)卡行公鑰證書前必須首先按照本規(guī)范第 節(jié)的程序獲取和驗證根 CA 相關公鑰。 成員發(fā)卡行公鑰證書申請前的規(guī)則中國銀聯(lián)金融 IC 卡公鑰認證服務系統(tǒng)使用標準工作程序受理成員發(fā)卡行公鑰證書申請，包括發(fā)卡行公鑰證書申請的準備、申請書數(shù)據(jù)格式、命名規(guī)則。成員發(fā)卡行在決定申請成員發(fā)卡行公鑰證書時必須遵循下列規(guī)則。 角色分離原則為了有效控制對成員發(fā)卡行公鑰證書的非授權申請的風險，銀聯(lián)規(guī)定每次發(fā)卡行公鑰證書的申請必須由成員發(fā)卡行中國銀聯(lián)金融 IC 卡公鑰認證服務會員注冊登記的兩個安全官員分別同時申請，所遞交的申請文件必須相同。銀聯(lián)不受理只由單一申請人遞交的發(fā)卡行公鑰證書申請。 密鑰管理規(guī)則銀聯(lián)金融 IC 卡支付體系的安全在很大程度上取決于各級密鑰對或密鑰在其整個生命周期內的安全管理。成員發(fā)卡行必須嚴格按照《中國金融集成電路（IC）卡規(guī)范 》 （2022 版） 、銀聯(lián)《銀聯(lián)卡業(yè)務運作規(guī)章》 、本規(guī)范、和《中國銀聯(lián)金融 IC 卡支付系統(tǒng)公鑰認證技術規(guī)范》進行包括在其業(yè)務范圍內的各級密鑰對、密鑰的安全生成、處理、分發(fā)、注銷的管理。由于發(fā)卡行證書及其相應公私鑰對是用來生成在金融交易中實際使用的金融 IC 卡，因此發(fā)卡行必須對其證書對應的公私鑰對進行嚴格的密鑰管理，其證書公私鑰對對應的私鑰必須始終處于密碼硬件中，或在多人控制下進行加密備份。成員發(fā)卡行可以在密鑰安全管理方面得到銀聯(lián)技術人員的幫助。若有需求，成員發(fā)卡行可以通過銀聯(lián)審核員聯(lián)系銀聯(lián) IC 卡應用部技術人員提供幫助。 發(fā)卡行公鑰的業(yè)務決策在向銀聯(lián)申請發(fā)卡行公鑰證書前，每個成員發(fā)卡行必須做下列決策，每一決策在業(yè)務和安全上都有不同影響，因此成員發(fā)卡行必須在決策時仔細評估由其導致的風險和代價。發(fā)卡行業(yè)務決策包括：? 需要生成的發(fā)卡行公私鑰對個數(shù)，即需要申請的發(fā)卡行公鑰證書個數(shù)。參見本規(guī)范第 節(jié)。18 / 42? 每對公鑰的密鑰長度，發(fā)卡行公鑰長度必須小于或等于用來簽發(fā)該發(fā)卡行公鑰證書的根 CA 密鑰長度。見本規(guī)范第 節(jié)。? 發(fā)卡行每對公鑰的失效日期，發(fā)卡行公鑰失效日期必須早于或等于用來簽發(fā)該發(fā)卡行公鑰證書的根 CA 簽名密鑰對的失效日期。此外，對于由一對發(fā)卡行公鑰簽發(fā)的具有 IC 卡公私鑰對的 IC 卡（支持動態(tài)卡數(shù)據(jù)認證） ，該 IC 卡公鑰的失效日期（位于該 IC 卡公鑰證書中）必須早于或等于發(fā)卡行的這對公鑰的失效日期。因此，IC 卡的印制在于卡表面的卡失效日期必須早于或等于用于簽發(fā)該 IC 卡(卡內靜態(tài)數(shù)據(jù)或IC 卡公鑰證書)的發(fā)卡行公鑰的失效日期。并且若 IC 卡具有 IC 卡公鑰證書，IC 卡的印制在卡表面的卡失效日期必須早于或等于該 IC 卡公鑰失效日期。根 CA 公私鑰對的失效日期參見本規(guī)范第 節(jié)。? 發(fā)卡行每一對公鑰的公鑰指數(shù)，必須是 3 或 216＋1。? 將哪一個發(fā)卡行公鑰證書在發(fā)卡時放入 IC 卡，發(fā)卡行可以有多個發(fā)卡行公鑰證書，但是只能將簽發(fā)該 IC 卡的發(fā)卡行公鑰證書放入該 IC 卡。.在成員發(fā)卡行完成了上述業(yè)務決策后即可進行發(fā)卡行公鑰證書的申請。 準備發(fā)卡行公鑰證書申請書成員發(fā)卡行的發(fā)卡行公鑰證書申請書包括兩個電子版文件：填寫完畢的發(fā)卡行公鑰證書工作申請表和發(fā)卡行公鑰輸入文件。發(fā)卡行必須：? 生成所需的發(fā)卡行公私鑰對和發(fā)卡行公鑰輸入文件，該公鑰輸入文件包含申請的發(fā)卡行公鑰和相關數(shù)據(jù)，并由這個發(fā)卡行公私鑰對應的私鑰簽名，加上數(shù)據(jù) Hash 值。公鑰輸入文件格式參見《中國銀聯(lián)金融 IC卡支付系統(tǒng)公鑰認證技術規(guī)范》第 3 章。? 準備發(fā)卡行公鑰輸入文件，成員發(fā)卡行按照《中國銀聯(lián)金融 IC 卡支付系統(tǒng)公鑰認證技術規(guī)范》第 3 章中的發(fā)卡行公鑰輸入文件格式將發(fā)卡行證書申請表中的發(fā)卡行公鑰證書申請記錄號寫入發(fā)卡行公鑰輸入文件。? 按照本規(guī)范附錄 C 格式為每一個發(fā)卡行公鑰輸入文件填寫一份發(fā)卡行公鑰證書工作申請表，在發(fā)卡行公鑰證書工作申請表中使用與該發(fā)卡行公鑰輸入文件相同的記錄號。19 / 42成員發(fā)卡行可使用銀聯(lián)提供的銀聯(lián)金融 IC 卡支付系統(tǒng)公鑰認證處理軟件來生成標準的發(fā)卡行公鑰輸入文件。為了使銀聯(lián)和發(fā)卡行在發(fā)卡行公鑰證書申請和處理過程中能夠跟蹤申請和處理進程，要求每一次申請都以 BIN 號和記錄號唯一標識。銀聯(lián)將負責為發(fā)卡行的每個公鑰證書的申請安排一個唯一的記錄號。成員發(fā)卡行需要在每次發(fā)卡行公鑰證書申請前由安全官員向銀聯(lián)審核員獲取記錄號。發(fā)卡行的每一個公鑰證書的申請必須使用完整的一份發(fā)卡行公鑰申請材料，若同時申請多張證書，則需要完成多份申請材料。 發(fā)卡行公鑰證書申請的遞交發(fā)卡行按照《中國銀聯(lián)金融 IC 卡支付系統(tǒng)公鑰認證技術規(guī)范》第 3 章完成發(fā)卡行公鑰輸入文件和本規(guī)范附錄 C 完成發(fā)卡行公鑰證書工作申請表。銀聯(lián)提供的銀聯(lián)金融 IC 卡公鑰處理軟件可以幫助發(fā)卡行正確完成所需的申請文件生成、填寫，并按照《中國銀聯(lián)金融 IC 卡支付系統(tǒng)公鑰認證技術規(guī)范》規(guī)定的標準模板生成所需申請材料。申請材料包括電子版的：? 發(fā)卡行公鑰證書工作申請表? 發(fā)卡行公鑰輸入文件 發(fā)卡行可以選擇下列方式向銀聯(lián)遞交發(fā)卡行公鑰證書申請材料：? 由安全官員使用銀聯(lián)提供的安全電子郵件系統(tǒng)用加密簽名的方式將申請材料傳遞給銀聯(lián)審核員。? 由安全官員使用密封的掛號郵件郵寄給銀聯(lián)審核員。? 由安全官員使用專人傳遞給銀聯(lián)審核員。成員發(fā)卡行必須由兩個注冊的安全官員分別同時遞交相同內容的發(fā)卡行公鑰證書申請，兩人的申請材料中的申請記錄號必須相同。銀聯(lián)只有在審核員收到由發(fā)卡行兩個安全官員遞交的申請后才處理證書申請。具體的遞交方式首先咨詢銀聯(lián)為該發(fā)卡行委派的審核員。 銀聯(lián)金融 IC 卡支付系統(tǒng)公鑰認證機構對證書申請的受理銀聯(lián)對成員發(fā)卡行公鑰申請的審批程序如下：20 / 421. 由銀聯(lián)審核員對成員發(fā)卡行的公鑰證書申請材料包括發(fā)卡行公鑰證書工作申請表（見本規(guī)范附錄 C）和發(fā)卡行公鑰輸入文件（見《銀聯(lián)金融 IC 卡支付系統(tǒng)公鑰認證技術規(guī)范》第 3 章）內容的規(guī)范性做審核，確認申請材料符合本規(guī)范和《銀聯(lián)金融 IC 卡支付系統(tǒng)公鑰認證技術規(guī)范》 ；若同時收到 BIN 的申請（見本規(guī)范附錄 B） ，則按照 《銀聯(lián)卡業(yè)務運作規(guī)章》遞交銀聯(lián)相關部門處理 BIN 號的申請；若確認申請材料完整規(guī)范，則將申請轉交銀聯(lián) IC 卡應用部；2. 銀聯(lián) IC 卡應用部對收到的發(fā)卡行公鑰證書申請做最終審核并批準申請，將發(fā)卡行公鑰證書申請材料轉交銀聯(lián)金融 IC 卡根 CA，同時銀聯(lián) IC 卡應用部向銀聯(lián)金融 IC 卡支付系統(tǒng)公鑰認證管理機構遞交一份對該申請的批復備案；3. 銀聯(lián)金融 IC 卡根 CA 按照《銀聯(lián)金融 IC 卡支付系統(tǒng)公鑰認證技術規(guī)范》第 4 章程序簽發(fā)該發(fā)卡行的公鑰證書并將簽發(fā)的公鑰證書以發(fā)卡行公鑰證書輸出文件的型式轉交給銀聯(lián)審核員；4. 銀聯(lián)審核員將簽發(fā)的發(fā)卡行公鑰證書以發(fā)卡行公鑰證書輸出文件的形式同時轉交給該發(fā)卡行的兩個安全官員。銀聯(lián)審核員在收到完整的發(fā)卡行公鑰證書申請材料后使用銀聯(lián)金融 IC 卡支付系統(tǒng)公