ISO 5201:2024
Финансовые услуги — Безопасность платежей с помощью сканирования кода

Стандартный №

ISO 5201:2024

Дата публикации

2024

Разместил

International Organization for Standardization (ISO)

Последняя версия

ISO 5201:2024

сфера применения

Обзор стандарта ISO 5201:2024

Стандарт ISO 5201:2024 устанавливает рамки безопасности для платежных систем со сканированием кодов, в которых транзакции инициируются с помощью QR-кодов или аналогичных машиночитаемых символов. В этом документе первого издания рассматриваются режимы оплаты с представлением плательщика и с представлением получателя с указанием конкретных технических требований.

---

Основная структура безопасности

Компонент	Режим представления плательщиком	Режим представления получателем
Генерация кода	Динамические коды с TTL ≤60 с	Статические/динамические коды торговцев
Основные риски	Захват кода (7.3.4), подделка параметров (7.3.5)	Злоупотребление кодом (7.4.1), утечка информации (7.4.2)
Криптографические требования	Минимальная стойкость 128 бит (Приложение C), обязательный протокол TLS 1.2+

---

Меры по снижению рисков

Критические элементы управления безопасностью

• Com_Measure_2: Укрепление платежного приложения с помощью защиты SE/TEE
• PrP_Measure_7: Предотвращение создания снимков экрана для динамических кодов
• PeP_Measure_5: Ограничения одноразового использования для динамических продавцов коды

Стандарт определяет 17 распространенных рисков в обоих режимах, а также 5 дополнительных рисков, специфичных для реализаций, представленных плательщиком, и 5 — для реализаций, представленных получателем.

---

Руководство по внедрению

Для поставщиков платежных услуг

1. Внедрение мер безопасности, соответствующих ISO/IEC 27001
2. Внедрение мониторинга транзакций с пороговыми значениями сумм (8.2.6)
3. Координация идентификаторов CSP для предотвращения конфликтов маршрутизации (8.2.8)

Для разработчиков приложений

1. Внедрение механизмов защиты от повторного воспроизведения (8.3.10)
2. Применение криптографических модулей из серии ISO/IEC 18033
3. Принудительная проверка плательщика при изменении сумм (8.4.7)

---

Анализ технического развития

В издании 2024 года представлены значительные усовершенствования по сравнению с предыдущими стандартами мобильных платежей за счет:

• Стандартизации методологии оценки рисков в соответствии с ISO 31000
• Устранения возникающих угроз, таких как подделка QR-кодов (7.2.3)
• Учета уроков, полученных в ходе глобальных внедрений (примеры из Приложения B)

ISO 5201:2024 Ссылочный документ

• ISO 11568 Финансовые услуги — Управление ключами (розничная торговля)
• ISO 16609 Финансовые услуги. Требования к аутентификации сообщений с использованием симметричных методов.
• ISO 19092 Финансовые услуги — Биометрия — Система безопасности
• ISO 20038 Банковские и сопутствующие финансовые услуги. Запаковка ключей с использованием AES. Поправка 1.
• ISO/IEC 10118-1:2016/Amd 1:2021 Информационные технологии. Методы обеспечения безопасности. Хэш-функции. Часть 1. Общие положения. Поправка 1. Методы заполнения губчатых функций.
• ISO/IEC 10118-3 Методы ИТ-безопасности. Хэш-функции. Часть 3. Специальные хэш-функции.
• ISO/IEC 18031 Информационные технологии — Методы обеспечения безопасности — Генерация случайных битов*， 2025-02-03 Обновление
• ISO/IEC 19772 Информационная безопасность. Аутентифицированное шифрование.

ISO 5201:2024 История

• 2024 ISO 5201:2024 Финансовые услуги — Безопасность платежей с помощью сканирования кода

Специальные темы по стандартам и нормам

стандарты и спецификации