支付卡信息安全要求
主题: | 支付卡信息安全要求 |
数量: | 212 |
授权机构: | 财务和行政副总裁 |
负责办公室: | 主计长办公室及大学技术服务 |
发行日期: | 2005年7月 |
最后更新: | 2018年8月 |
理由是:万博ManBetX登录奥克兰大学(大学)受有关支付卡和持卡人信息处理的规则、条例和合同条款的约束,这些条款的定义如下。本政策为接受支付卡付款的大学院系提供了强制性的安全措施和程序。 |
|
政策:各部门必须遵守以下安全措施和大学程序,以维护支付卡和持卡人信息的安全,并确保大学仍然有资格接受支付卡付款。如不遵守,大学将受到严厉的处罚。 |
|
范围和适用性:任何接受支付卡作为支付方式的部门都必须遵守政策212。 |
|
定义: 持卡人数据环境:在支付卡行业合规范围内识别的设备、系统、应用程序和网络。 持卡人信息:持卡人的姓名、联系方式、支付卡号码、主要帐号、支付卡有效期、支付卡验证码、支付卡交易信息或任何其他可用于个人识别支付卡账户或持卡人的信息。 媒体访问控制地址(MAC地址):分配给网络接口控制器的一种唯一标识符,用于在网段的数据链路层进行通信。 付款卡:信用卡、借记卡、ATM卡以及由银行或信用合作社发行、通常由个人为付款目的出示的现金或支票以外的任何其他卡或设备。 支付卡行业(PCI)遵从性:符合PCI安全标准委员会制定的标准。 支付卡系统:任何计算或信息技术设备、服务器、桌面计算机、移动设备、软件应用程序、托管服务、软件即服务(SaaS)、应用程序、多功能设备或其他用于处理、传输或存储持卡人信息的系统或技术。 支付卡验证码:验证码有时被称为CVV, CV2或CVV2代码,验证码是打印在支付卡背面签名行的三位数字值,或位于某些支付卡正面的四位数字代码。 主账号:支付卡上的卡标识符,如信用卡和借记卡,以及储值卡、礼品卡和其他类似卡。在某些情况下,卡号被称为银行卡号。 |
|
程序: 1.支付卡系统 大学技术服务(UTS)将定义、记录和管理持卡人数据环境。支付卡系统必须由UTS安装和验证。支付卡系统必须由UTS安装和维护的防火墙保护。在任何支付卡系统用于处理、传输或存储持卡人信息之前,UTS将执行完整的网络和系统审查,以验证持卡人信息的安全性。在实施支付卡系统的任何变更之前,UTS必须授权、正式记录、计划和记录变更。 2.通信 严禁通过终端用户消息传递技术(即电子邮件、即时消息传递、聊天等)发送主要帐号。 所有通过公共网络传输的持卡人信息必须通过使用SSL或其他行业可接受的方法进行加密,并使用UTS确定的最新标准。 对支付卡系统的远程访问必须由UTS加密和保护;不允许其他远程访问。 3.设备管理 所有设备必须标明所有者、联系方式和用途。此外,如果连接到网络,设备的MAC地址必须记录并提供给UTS。 作为支付卡系统一部分的所有工作站、信息技术设备和所有其他组件必须安装防病毒软件、当前的防病毒定义、当前的操作系统和补丁。必须启用本地防火墙、强密码、系统和网络日志以及密码保护屏幕保护程序。 基于服务器的支付卡系统必须由UTS管理,并且必须按照行政政策880,系统管理. 学生业务服务负责供应商/处理器服务组织控制报告或类似的文件,验证服务交付流程和组织控制的年度审查。所有审查的结果都报告给UTS和财务总监办公室。 销售点设备必须由学生业务服务和UTS审查和批准。设备购买、维护和安全更新将由学生业务服务管理。设备将尽可能从大学批准的支付卡处理器购买;如果不可能,学生业务服务将确定一个批准的替代方案。 支付卡行业安全标准委员会要求大学通过以下方式安全地维护在销售点用于卡当前交易(即刷卡或刷卡)的支付卡设备: •维护设备列表 •从列表中选择一个设备样本,观察设备位置,以验证列表是准确的和最新的。 •培训员工意识到可疑行为,并报告篡改或替换设备 •检查形成文件的程序,以验证过程的定义包括以下内容: 各部门应负责至少每月检查其支付卡设备。各学系须将检查结果记录于学生业务服务处提供的“刷卡终端机清查表及篡改清单”内。各部门应将设备检验过程纳入部门程序。所有检查的结果将由学生业务服务定期审查。 学生业务服务部负责支付卡设备和相关文件程序的年度审查。所有审查的结果都报告给UTS和财务总监办公室。 4.支付卡处理 各部门必须有关于支付卡处理的详细程序,包括所有PCI合规性要求。目前的要求可从学生业务服务中获得。各部门必须每年向学生业务服务部门提交一份经过审查和更新的内部程序副本。未每年提交更新程序的部门,其支付卡处理权限可能会被撤销。 在人:
如果您怀疑支付卡交易,请联系语音授权中心并请求代码10授权。使用术语“代码10”允许您拨打语音授权中心询问交易,而不提醒持卡人。 若要为发现网络、Visa、MasterCard或美国运通交易申请代码10授权,请拨打语音授权标签上的电话号码(位于销售点设备上)。 按照处理器给你的指示进行操作。 纸张格式或其他硬拷贝/邮寄:
传真:
电话:
电子邮件:
5.贮存及处置
6.公开展示及披露 当显示任何其他持卡人信息时,支付卡帐号的最后四位数字以外的所有数字必须被屏蔽或涂黑。 除支付卡持卡人外,持卡人不得在他人面前口头重复持卡人资料。 所有持卡人信息必须被限制和/或阻止第三方客户和其他不需要知道的人查看。强光屏或类似设备可能被用来限制或阻挡他人的视线。 7.访问 对有权处理、传输或存储持卡人信息的员工的背景调查将根据行政政策725,填补空缺(不包括学术). 有权处理、传输或存储持卡人信息的员工必须参加并承认本政策和政策210现金收据的年度培训。学生业务服务部门负责提供培训并记录出勤率。未参加年度培训的部门,其支付卡处理权限将被取消。 支付卡系统的访问必须有安全的登录名和密码保护,并且必须限制那些有需要知道的人。接受支付卡电子支付的部门也必须遵循行政政策860,信息安全.部门接受支付卡付款的授权必须在流程创建之前从学生业务服务部获得。 员工访问必须在终止雇佣后立即删除。 提供给任何不是大学雇员的个人,如承包商或临时雇员,必须事先由学生业务服务和UTS审查。 供应商访问必须仅在需要期间启用,并在服务完成后立即禁用。 严禁对支付卡系统或持卡人信息进行分组、共享或通用访问。 在与外部组织共享持卡人信息或与供应商达成处理支付卡交易的安排之前,必须事先由学生业务服务和UTS审核并批准书面协议。 8.安全事故 任何向未经授权的第三方发布或暴露持卡人信息,或未经授权访问支付卡系统必须报告给UTS,学生业务服务和控制主任办公室。报告和应急响应将根据政策#860信息安全中关于机密数据的规定进行处理。 9.PCI(支付卡行业合规) 大学参与并遵守由PCI安全标准委员会这需要在PCI合规标准范围内对大学的运营进行年度验证。各部门必须及时提供学生业务服务和UTS所要求的准确信息,以促进验证过程。 PCI安全标准委员会还要求大学的支付应用程序提供商每年证明支付应用程序符合特定的数据安全行业标准(支付应用程序数据安全标准)。 万博ManBetX登录在批准或更新系统之前,奥克兰大学要求供应商和处理器提供实际的PCI合规证书。学生业务服务部门负责保存与PCI合规性和支付应用程序数据安全标准相关的合规性证书的批准和续签。学生业务服务负责对PCI安全标准委员会的网站进行年度审查,以确保供应商/处理器每年都进行重新认证。 10.支付卡处理商操作指南 大学必须遵守大学内部的政策和惯例商户操作指南由大学的付款处理机构提供,可在收银处网站上找到www.zhongqiwg.com/cashiers。 |
|