PCI遵从常见问题解答

支付卡行业安全标准委员会是什么?

支付卡行业数据安全标准委员会最初是由几个支付卡供应商在2006年的目标管理的演变支付卡行业数据安全标准。

支付卡行业数据安全标准(PCI DSS) ?

支付卡行业数据安全标准(PCI DSS)是全球标准由支付卡行业安全标准委员会帮助组织接受信用卡付款的方式,帮助安全事务和防止欺诈。

什么是信用卡付款?

付款卡是一个系统的一部分,使持卡人通过电子资金转帐付款。最常见的付款卡是信用卡和借记卡。

PCI遵从性是什么?

PCI遵从性是一个过程,展示校准和符合PCI DSS的标准。

PCI遵从什么时候申请?

作为一般规则PCI标准应用每当支付卡的交易。更具体地说,PCI合规支付卡号时需要存储,处理,或者传播。这是通常被称为“范围”。软件用于处理事务必须实施PCI遵从性。系统用于支付卡处理必须实现的方式执行遵从性。最后,网络上的通信必须获得兼容。

PCI遵从性是可选的?

不,需要维护付款安全接受信用卡付款的所有实体。万博ManBetX登录奥克兰大学每年必须证明遵守现行的PCI标准并随时更新认证一个新的解决方案,实现接受信用卡付款。

为什么信用卡处理解决方案依从性和维护?

未能符合PCI DSS标准可能导致罚款发给大学和/或可能导致大学撤销接受信用卡付款的能力对于任何支付。

我的供应商他们PCI兼容,这是足够的吗?

不。虽然供应商可能表明他们的产品是兼容的,他们通常指只支付应用程序数据安全标准(PA-DSS)合规。所有PA-DSS应用程序也必须实现的方式满足PCI dss标准为了充分满足PCI遵从性需求。本质上PA-DSS应用程序需要实现每所有PCI要求为了使应用程序和符合PCI dss的大学。

每个服务提供者参与支付卡的过程,包括第三方网站重定向到处理器,每年必须提供的证明他们符合PCI DSS。此外,商家保留任何第三方的责任,以确保实现的解决方案是符合PCI DSS标准和欧政策

当我选择一个解决方案,接受,商店,流程,或传送持卡人数据,我把提案申请或寻找在软件协议好吗?

批准学生业务服务SBS和大学技术服务(ut)发行之前需要一个RFP的购买和/或购买任何解决方案或系统,支付卡处理。未能得到适当的预先批准可能会导致一个非PCI兼容的解决方案导致pentalties。工作带来积极影响通过非comliant使用支付卡处理解决方案是受到UTS或立即终止SBS。

生产请联系((电子邮件保护))请求援助RFP语言或购买评论如果支付卡处理参与选择的解决方案或系统。UTS将包括SBS在所有后续通信相关的请求。

最有效的服务请主动获取足够的信息来解决下列事项需要在合同。地址:

  • 如果服务提供者(即位于网站。、餐厅、商店等),服务提供者必须提供自己的商人ID、自己的互联网服务提供商,他们自己的网络设备,和自己的读卡器,他们必须保持所有这些组件符合PCI标准。
  • PCI DSS要求12.8.3问如果有一个建立过程,包括前进行尽职调查,推出任何新的payment-related解决方案。健壮的评论不仅应该包括过程获得服务提供者的断言,它满足遵从性法规,也包括一个全面了解的支付渠道将由新产品(如面对面,网络,电话,等等)。现在和未来计划,并回顾TPSPs pci遵从性现状。
  • PCI DSS要求12.8.5规定信息维护信息,要求供应商负责,要求奥克兰大学负责,哪些需求是共同的责任。万博ManBetX登录与供应商合作,完成一个矩阵每个适用的责任要求,但即使他们不会参与,大学仍负责所做的分析和记录了适用的要求。

  • 包括供应商的数据流图,描绘了持卡人的数据流(冠心病)和系统和各方参与交易。如果支付卡信息进入在线网站,所涉及的额外的第三方服务提供商和他们是PCI兼容(即能够提供电流/ AOC有效以及每年更新一个)?如前所述,甚至第三方,不随便处理、存储或传输冠心病仍然可以PCI服务提供者如果他们能影响过程的安全。

  • 供应商承认并同意它负责所有奥克兰大学客户持卡人数据的安全了。万博ManBetX登录供应商代表和认股权证,对于生命的合同和/或当供应商参与奥克兰大学客户持卡人数据、软件和服务用于处理事务,应当符合标准建立的支付卡行业安全标准委员会。万博ManBetX登录供应商应当书面请求后,提供的证明遵守支付卡行业数据安全标准的10日内(PCI DSS)的请求。
  • 供应商同意提供奥克兰大学电流和完成合规认证的副本(AOC万博ManBetX登录)。此外,供应商同意提供奥克兰大学最近的证据(不超过3个月)通过季度外部提交的万博ManBetX登录漏洞扫描的扫描供应商(ASV)批准。万博ManBetX登录奥克兰大学AOC有权要求提交由一个合格的安全评估员签名或公司作为上市支付卡行业安全标准委员会的网站。生产的实际需求之间必须协调,控制器或被任命者,风险管理。
  • 供应商将在24小时内通知奥克兰大学的知万博ManBetX登录识,或可以合理地预期,出现安全漏洞。供应商同意赔偿并持有奥克兰大学,其官员、雇员、代理人,无害的,从和反对任万博ManBetX登录何及所有索赔、行动的原因,西装,判断,评估、费用(包括合理的律师费用),费用引起的或有关的任何损失的奥克兰大学客户信用卡或身份信息管理,保留,或由供应商维护,包括但不限于欺诈或未经批准使用的信用卡或识别信息。
  • 供应商同意,虽然对相反者的任何协议或附录,奥克兰大学可以立即终止协议而不受惩罚通知供应商在供应商未能保持符合PCI DSS或未能保持机密性或任何持卡人数据的完整性。万博ManBetX登录

  • 服务提供者有资格AOC自我评估必须提供从一个SAQ D服务提供者。供应商,被归类为一个PCI AOC一级服务提供者需要提供一个从现场评估(也称为合规报告或中华民国)。供应商同意提供奥克兰大学电流和完成合规认证的副本(AOC万博ManBetX登录)。每年获得的AOC必须。AOC商人负责请求更新每年从所有涉及到的服务提供商。

样品合同语言:

PCI DSS要求12.8要求商户维护和实施的政策和程序来管理服务提供商如果持卡人的数据是共享的。12.8.2州要求进一步“保持一个书面协议,包括确认的服务提供商负责持卡人数据的安全服务提供商拥有。”

{供应商名称}承认并同意它负责所有人的安全{机构名称}客户持卡人数据了。{供应商名称}代表和认股权证的合同和/或生活而{供应商名称}参与{机构名称}客户持卡人数据,软件和服务用于处理事务,应当符合标准建立的支付卡行业安全标准委员会(https://www.pcisecuritystandards.org/)。{供应商名称},应当书面请求后,提供证明遵守支付卡行业数据安全标准的10日内(PCI DSS)的请求。

{供应商名称}同意,它负责具有持卡人数据的安全,包括函数与存储、处理和传输的持卡人数据或{供应商名称}程度会影响的安全{机构名称}持卡人数据环境。

{供应商名称}代表和认股权证,对于生命的合同和/或当供应商参与{机构名称}客户持卡人数据,软件,服务和任何第三方提供者{供应商名称}分包用于处理事务,应当符合标准建立的支付卡行业安全标准委员会(https://www.pcisecuritystandards.org/)。

{供应商名称}同意提供{机构名称}电流和完整合规认证的副本(AOC)。如果适用{供应商名称}进一步同意提供{机构名称}最近的证明(不超过3个月)通过季度外部提交的漏洞扫描的扫描供应商(ASV)批准。{机构名称}AOC有权要求提交由一个合格的安全评估员签名或公司作为上市支付卡行业安全标准委员会的网站。

{供应商名称}会通知{机构名称}在24小时内如果有知识,或可以合理地预期,出现安全漏洞。{供应商名称}同意赔偿并持有{机构名称},其官员、雇员和代理人,无害的,从和反对任何及所有索赔、行动的原因,西装,判断,评估、费用(包括合理的律师费用),费用引起的或有关的任何损失{机构名称}客户信用卡或身份信息管理、保留或由{供应商名称},包括但不限于欺诈或未经批准使用的信用卡或识别信息。

{供应商名称}同意,虽然对相反者的任何协议或补充,{机构名称}可能没有处罚通知后立即终止协议{供应商名称}在这次事件中{供应商名称}未能保持符合PCI DSS或未能保持机密性或任何持卡人数据的完整性。

(注意,下面的部分是必需的,如果供应商将校园支付设备操作与自己的商人ID)

{供应商名称}确认没有沟通与PCI相关需求从欧/或要求。{供应商名称}承担所有责任与设备相关的操作符合当前PCI标准和确保所有PCI的责任,包括但不限于,定期检查支付卡设备位于vendor-owned设备位于你的校园以及检查任何可能的篡改或替换设备。

2020年9月