Bên phát hành lựa chọn các hạng mục dữ liệu có trong dữ liệu có dấu tĩnh. Bộ tiêu chuẩn TCVN 11198 này không bắt buộc một danh sách cụ thể. Tuy nhiên, Bảng 33 chỉ ra thiết lập tối thiểu được khuyến nghị. Ngoại trừ các hạng mục từ danh sách này có thể tạo thành một rủi to và các bên Phát hành cần phải cẩn thận xem xét tất cả các ngoại lệ này và thỏa mãn rằng bất kỳ rủi ro còn lại là chấp nhận được.
Bảng 33 - Dữ liệu Tĩnh để tiến hành xác thực
Dữ liệu Thẻ Tag Nguyên do phải bao gồm
AIP ‘82’ Bỏ sót cho phép kẻ tấn công tránh hoặc thay đổi xác thực dữ liệu ngoại tuyến và có thể cho phép thay đổi quản lý rủi ro thiết bị đầu cuối và xác minh chủ thẻ Ngày Hiệu lực Ứng
dụng ‘5F24’ Bỏ sót cho phép sử dụng thẻ không cần cửa sổ thời gian ủy quyền Ngày Hết hạn Ứng
dụng ‘5F25’ Bỏ sót cho phép sử dụng thẻ không cần cửa sổ thời gian ủy quyền Kiểm soát Lưu lượng
Sử dụng Ứng dụng ‘9F07’ Bỏ sót cho phép kẻ tấn công tránh khỏi các hạn chế của thẻ CDOL1 nếu thẻ hỗ trợ
CDA ‘8C’ Bỏ sót làm các ứng dụng có khả năng CDA có thể cho phép kẻ tấn công đánh lừa sự diễn giải của dữ liệu CDOL
CDOL2 nếu thẻ hỗ trợ
CDA ‘8D’ Bỏ sót làm các ứng dụng có khả năng CDA có thể cho phép kẻ tấn công đánh lừa sự diễn giải của dữ liệu CDOL
Danh sách CVM ‘8E’ Bỏ sót cho phép kẻ tấn công tránh khỏi xác minh chủ thẻ
IAC Mặc định ‘9F0D’ Bỏ sót cho phép kẻ tấn công thay đổi phân tích hành động thiết bị đầu cuối (và do đó ảnh hưởng đến quản lý rủi ro)
IAC Từ chối ‘9F0E’ Bỏ sót cho phép kẻ tấn công thay đổi phân tích hành động thiết bị đầu cuối (và do đó ảnh hưởng đến quản lý rủi ro)
động thiết bị đầu cuối (và do đó ảnh hưởng đến quản lý rủi ro)
Mã nước bên Phát
hành (tag 5F28) ‘5F28’ Bỏ sót cho phép kẻ tấn công tránh khỏi các hạn chế tương tác PAN ‘5A’ Bỏ sót cho phép kẻ tấn công yêu cầu nhận diện một
thẻ không có thật trong giao dịch ngoại tuyến
Số chuỗi PAN ‘5F34’ Bỏ sót cho phép kẻ tấn công yêu cầu nhận diện một thẻ không có thật trong giao dịch ngoại tuyến
Danh sách Tag SDA ‘9F4A’ Bỏ sót cho phép kẻ tấn công tránh hoặc thay đổi xác thực dữ liệu ngoại tuyến và có thể cho phép thay đổi quản lý rủi ro bị đầu cuối và xác minh chủ thẻ