程序: 1.支付卡系统 大学技术服务(UTS)将定义、记录和管理持卡人数据环境。支付卡系统必须由UTS安装和验证。支付卡系统必须由UTS安装和维护的防火墙保护。在任何支付卡系统用于处理、传输或存储持卡人信息之前,UTS将执行完整的网络和系统审查,以验证持卡人信息的安全性。在实施支付卡系统的任何变更之前,UTS必须授权、正式记录、计划和记录变更。 2.通信 严禁通过终端用户消息传递技术(即电子邮件、即时消息传递、聊天等)发送主要帐号。 所有通过公共网络传输的持卡人信息必须通过使用SSL或其他行业可接受的方法进行加密,并使用UTS确定的最新标准。 对支付卡系统的远程访问必须由UTS加密和保护;不允许其他远程访问。 3.设备管理 所有设备必须标明所有者、联系方式和用途。此外,如果连接到网络,设备的MAC地址必须记录并提供给UTS。 作为支付卡系统一部分的所有工作站、信息技术设备和所有其他组件必须安装防病毒软件、当前的防病毒定义、当前的操作系统和补丁。必须启用本地防火墙、强密码、系统和网络日志以及密码保护屏幕保护程序。 基于服务器的支付卡系统必须由UTS管理,并且必须按照行政政策880,系统管理. 学生业务服务负责供应商/处理器服务组织控制报告或类似的文件,验证服务交付流程和组织控制的年度审查。所有审查的结果都报告给UTS和财务总监办公室。 销售点设备必须由学生业务服务和UTS审查和批准。设备购买、维护和安全更新将由学生业务服务管理。设备将尽可能从大学批准的支付卡处理器购买;如果不可能,学生业务服务将确定一个批准的替代方案。 支付卡行业安全标准委员会要求大学通过以下方式安全地维护在销售点用于卡当前交易(即刷卡或刷卡)的支付卡设备: •维护设备列表
•定期检查设备,以寻找篡改或替换
•检查设备列表以验证列表包括:
o型号、型号
o设备的位置(例如,设备所在的工地或设施的地址)
o设备序列号或其他唯一标识方法。 •从列表中选择一个设备样本,观察设备位置,以验证列表是准确的和最新的。 •培训员工意识到可疑行为,并报告篡改或替换设备 •检查形成文件的程序,以验证过程的定义包括以下内容:
o检查设备的程序(由学生业务服务维护
o检查的频率 各部门应负责至少每月检查其支付卡设备。各学系须将检查结果记录于学生业务服务处提供的“刷卡终端机清查表及篡改清单”内。各部门应将设备检验过程纳入部门程序。所有检查的结果将由学生业务服务定期审查。 学生业务服务部负责支付卡设备和相关文件程序的年度审查。所有审查的结果都报告给UTS和财务总监办公室。 4.支付卡处理 各部门必须有关于支付卡处理的详细程序,包括所有PCI合规性要求。目前的要求可从学生业务服务中获得。各部门必须每年向学生业务服务部门提交一份经过审查和更新的内部程序副本。未每年提交更新程序的部门,其支付卡处理权限可能会被撤销。 在人:
- 只有经批准的职员才能处理支付卡交易。
- 各部门须就下列事项审核所提交的实体支付卡:
- 这张卡有效吗?自卡上压花的有效月份的最后一天起,不得使用。
- 只有实际持卡人才能使用该卡。
- 顾客在收费单上的签名与卡背面的签名是否相符?比较签名,并确保签名的名字没有拼写错误或其他明显不同。
- 卡上的签名板看起来正常吗?检查以确保它没有被胶带覆盖,残缺,擦除,或油漆。卡片上明显的物理变化可能表明卡片被破坏了。
- 卡正面的账号与卡背面的账号和终端收据上的账号是否匹配?如果号码不匹配,或者号码被遮住或被削掉,这可能表明卡片被修改过。
- 顾客收据上的姓名与卡正面的浮雕姓名是否相符?如果名字不同,这可能表明卡片被修改过。
- 保留已签署的商户收据副本,并将另一份副本退还给持卡人。
- 将收据的商业副本放在一个安全的,有限的访问区域,直到带到大学的出纳办公室。
- 当实体卡在场时,部门不允许输入支付卡交易。如果支付卡交易不能通过销售点设备处理,请要求另一种支付方式或要求客户在线支付(如果适用)。
如果您怀疑支付卡交易,请联系语音授权中心并请求代码10授权。使用术语“代码10”允许您拨打语音授权中心询问交易,而不提醒持卡人。 若要为发现网络、Visa、MasterCard或美国运通交易申请代码10授权,请拨打语音授权标签上的电话号码(位于销售点设备上)。 按照处理器给你的指示进行操作。 纸张格式或其他硬拷贝/邮寄:
- 必须尽一切努力避免使用纸张或其他硬拷贝/邮件方式获取持卡人信息。
- 收集持卡人信息的所有纸质格式和其他硬拷贝工具必须经过学生业务服务的审核和批准。
- 在处理之前,纸质或其他硬拷贝的持卡人信息必须存储在安全的、有限的访问区域。付款完成后,包含持卡人信息的表格部分或其他硬拷贝必须在横切/纸屑碎纸机中安全地粉碎。部门无需保存持卡人资料的纸质副本。
- 将收据的商业副本放在一个安全的,有限的访问区域,直到带到大学的出纳办公室。
传真:
- 一般而言,处理大量支付卡交易的业务操作应规划不接受传真支付卡的业务流程。为接受不定期的传真支付卡而设计的业务流程必须事先得到学生业务服务部门的审核和批准。
- 传真机必须放置在公众无法进入的安全区域。
- 多功能打印机/传真机的使用增加了大学的PCI范围;建议使用普通纸张,拨号传真。
- 包含支付信息的传真必须立即分发给负责将信息输入批准的刷卡设备或支付应用程序的个人。
- 在处理之前,包含持卡人信息的传真必须存储在安全的、有限的访问区域。付款完成后,包含持卡人信息的表格部分或其他硬拷贝必须在横切/纸屑碎纸机中安全地粉碎。部门无需保存持卡人资料的纸质副本。
- 客户副本(经修订的持卡人信息)可传真、邮寄或电子邮件给客户(可选)。
- 将收据的商业副本放在一个安全的,有限的访问区域,直到带到大学的出纳办公室。
电话:
- 一般来说,处理大量支付卡的业务操作应该规划不接受电话支付卡的业务流程。为接受不定期的电话支付卡而设计的业务流程必须事先得到学生业务服务部门的审核和批准。
- 如果必须记录持卡人信息,应在通话结束后立即处理。
- 付款完成后,包含持卡人信息的表格部分或其他硬拷贝必须在横切/纸屑碎纸机中安全地粉碎。部门无需保存持卡人资料的纸质副本。
- 将收据的商业副本放在一个安全的,有限的访问区域,直到带到大学的出纳办公室。
- 不接受通过语音邮件或电话信息的付款信息。
电子邮件:
- 不接受通过电子邮件支付的持卡人信息。电子邮件或聊天程序等开放通信系统对于传输任何持卡人信息不被视为安全。如果客户需要向部门发送付款信息,应采取以下步骤:
- 点击邮件上的“回复”
- 从电子邮件的原始部分删除支付卡数据。
- 在回复中,复制并粘贴以下内容
- “感谢您与(填写部门或姓名).我们感谢您的业务,但作为我们遵守支付卡数据安全标准的一部分,以及我们保护所有客户个人身份信息的实践,我们无法处理您通过电子邮件发送的付款。我们要求您使用以下批准的付款方式之一:
- 在线- www.xxxxxxxxxx.edu
- 邮寄地址
- 电话- xxx-xxx-xxxx
- 传真- xxx-xxx-xxxx
- 然后立即删除原邮件并清空垃圾箱。
5.贮存及处置
- 银行法规要求,支付卡交易收据的正本或清晰的副本应自交易发生之日起保留18个月。销售单/收据必须与部门的每日押金一起交给大学的出纳办公室,使用横切/纸屑碎纸机进行妥善存储和处理。
- 持卡人信息不得存储在任何持卡人数据环境或任何支付卡系统中。
- 严禁从支付卡磁条储存任何音轨的全部内容,不论是在支付卡背面,还是在晶片或以其他方式储存。
- 用于处理、传输或存储持卡人信息的区域必须仅限于授权的大学人员在需要知道的基础上。必须使用身份标识、办公室钥匙或类似的安全设备来限制访问。
- 便携式销售点设备(包括终端、PIN码垫等)在不使用时必须锁在上锁的柜子、抽屉或保险箱中。
- 收银机不使用时必须用密码锁保护。
- 所有支付卡信息和持卡人信息必须从大学员工的工作区域删除,如果该大学员工不在工作站上。
- 部门的销售点设备必须每天进行结算,并在结算后进行清理。
- 需要处理支付卡系统的部门必须在继续之前通知学生业务服务部和UTS。处理支付卡系统必须通过大学物业管理处理,并必须附有电脑发放表格,该表格可在物业管理网站上找到。发布必须符合管理政策#880,系统管理职责和支付卡系统必须格式化和清理,以便任何残留数据,持卡人信息或软件应用程序不能检索。
6.公开展示及披露
当显示任何其他持卡人信息时,支付卡帐号的最后四位数字以外的所有数字必须被屏蔽或涂黑。 除支付卡持卡人外,持卡人不得在他人面前口头重复持卡人资料。 所有持卡人信息必须被限制和/或阻止第三方客户和其他不需要知道的人查看。强光屏或类似设备可能被用来限制或阻挡他人的视线。 7.访问 对有权处理、传输或存储持卡人信息的员工的背景调查将根据行政政策725,填补空缺(不包括学术). 有权处理、传输或存储持卡人信息的员工必须参加并承认本政策和政策210现金收据的年度培训。学生业务服务部门负责提供培训并记录出勤率。未参加年度培训的部门,其支付卡处理权限将被取消。 支付卡系统的访问必须有安全的登录名和密码保护,并且必须限制那些有需要知道的人。接受支付卡电子支付的部门也必须遵循行政政策860,信息安全.部门接受支付卡付款的授权必须在流程创建之前从学生业务服务部获得。 员工访问必须在终止雇佣后立即删除。 提供给任何不是大学雇员的个人,如承包商或临时雇员,必须事先由学生业务服务和UTS审查。 供应商访问必须仅在需要期间启用,并在服务完成后立即禁用。 严禁对支付卡系统或持卡人信息进行分组、共享或通用访问。 在与外部组织共享持卡人信息或与供应商达成处理支付卡交易的安排之前,必须事先由学生业务服务和UTS审核并批准书面协议。 8.安全事故 任何向未经授权的第三方发布或暴露持卡人信息,或未经授权访问支付卡系统必须报告给UTS,学生业务服务和控制主任办公室。报告和应急响应将根据政策#860信息安全中关于机密数据的规定进行处理。 9.PCI(支付卡行业合规) 大学参与并遵守由PCI安全标准委员会这需要在PCI合规标准范围内对大学的运营进行年度验证。各部门必须及时提供学生业务服务和UTS所要求的准确信息,以促进验证过程。 PCI安全标准委员会还要求大学的支付应用程序提供商每年证明支付应用程序符合特定的数据安全行业标准(支付应用程序数据安全标准)。 万博ManBetX登录在批准或更新系统之前,奥克兰大学要求供应商和处理器提供实际的PCI合规证书。学生业务服务部门负责保存与PCI合规性和支付应用程序数据安全标准相关的合规性证书的批准和续签。学生业务服务负责对PCI安全标准委员会的网站进行年度审查,以确保供应商/处理器每年都进行重新认证。 10.支付卡处理商操作指南 大学必须遵守大学内部的政策和惯例商户操作指南由大学的付款处理机构提供,可在收银处网站上找到www.zhongqiwg.com/cashiers。
任何有关遵守本行政政策212的问题都应直接向学生业务服务或UTS咨询。 |
