Combien de fois et dans combien d’endroits différents avez-vous composé le code PIN (ou numéro personnel d’identification) de votre carte bancaire aujourd’hui ? Pour veiller à ce que l’intégrité de ce type de données soit protégée à chaque transaction, l’ISO a procédé à la révision technique et à la mise à jour de la norme qui spécifie les exigences pour la gestion et la sécurité des codes PIN (ISO 9564-1).

Pourquoi élaborer une Norme internationale pour la gestion du PIN ? Prenons l’exemple de l’institution financière Visa. En 2007, Visa s’appuyait sur un réseau de 20 000 banques membres et comptait 1,59 milliards de cartes en circulation, qui généraient chaque année 59 milliards de transactions avec des pics de 6 800 transactions par seconde. La norme ISO pour la gestion du PIN contribue à protéger  contre toute divulgation non autorisée, toute compromission ou toute utilisation malveillante les numéros d’identification utilisés pour vérifier la légitimité du détenteur de la carte. Elle aide ainsi à minimiser le risque d’utilisations frauduleuses dans les systèmes de transfert électronique de fonds.

Pour Mark Sutton, Président du sous-comité de l’ISO qui a élaboré la norme, «un même PIN peut être utilisé pendant longtemps dans de nombreux pays, distributeurs et magasins et même sur Internet. La confidentialité du PIN doit être constamment assurée lors des transactions en ligne et hors ligne, de sa création à sa désactivation (y compris lors de la délivrance, de la mémorisation, des saisies, des transmissions, des validations, etc.).»

© P.Krieger, ISO

ISO 9564-1:2011, Services financiers – Gestion et sécurité du numéro personnel d’identification (PIN) – Partie 1: Principes de base et exigences relatifs aux PINs dans les systèmes à carte, spécifie des principes et des techniques de base pour fournir les mesures élémentaires au niveau international de sécurité nécessaires à une gestion efficace des PIN. Ces mesures s’adressent aux institutions responsables de la gestion et de la protection des PIN lors de leur création, de leur délivrance, de leur utilisation et de leur désactivation.

Les exigences de sécurité peuvent différer considérablement entre une vérification du PIN en ligne et hors ligne. Comme les codes PIN utilisés en ligne peuvent être vérifiés indépendamment de la carte elle-même, tout type de carte ou dispositif de paiement peut être utilisé pour initier une transaction. En revanche, des exigences spécifiques s’appliquent aux cartes utilisées pour les vérifications hors ligne, en particulier parce que, dans leur cas, il n’est pas nécessaire que le code PIN du détenteur de la carte soit transmis au terminal de l’émetteur.

Cette partie d’ISO 9564 est conçue pour que les émetteurs puissent s’assurer uniformément que leurs PIN sont bien gérés lorsqu’ils sont sous le contrôle d’autres institutions. Des techniques sont proposées pour protéger le processus d’authentification du détenteur par vérification de son code PIN tout au long de son cycle de vie.

«La norme ISO 9564-1 ainsi mise à jour aidera les banques et leurs contreparties à maintenir la confidentialité de leurs clés cryptographiques. C’est de la plus haute importance  car toute clé compromise est une menace pour la sécurité du PIN», explique M. Sutton.

ISO 9564-1 est applicable à la gestion du PIN pour la vérification du porteur dans les systèmes de banque de détail, notamment dans les distributeurs automatiques de billets (DAB), les terminaux point de vente, les distributeurs automatiques d’essence, les distributeurs automatiques de produits, les guichets automatiques bancaires et les systèmes de sélection/modification du code PIN.

La troisième édition de cette norme annule et remplace les deux versions précédentes, qui ont fait l’objet d’une révision technique.

ISO 9564-1 a été élaborée par le comité technique ISO/TC 68, Services financiers, sous-comité SC 2, Gestion de la sécurité et opérations bancaires générales.

ISO 9564-1:2011, Services financiers – Gestion et sécurité du numéro personnel d’identification (PIN) – Partie 1: Principes de base et exigences relatifs aux PINs dans les systèmes à carte, est disponible auprès des instituts nationaux membres de l'ISO (voir la liste complète avec les coordonnées). Il est également possible de se la procurer directement, au prix de 118 francs suisses, auprès du Secrétariat central de l'ISO par l'intermédiaire de l'ISO Store ou en contactant le département Marketing, Communication et Information (voir colonne de droite).