定义:
持卡人数据环境:设备、系统、应用程序和网络的范围确定为支付卡行业合规。
持卡人信息:持卡人的姓名,联系信息,支付卡号,主帐号,卡片有效期,付款卡验证代码,支付卡的交易信息,或任何其他信息,可以用来识别一个支付卡帐户或持有人。
媒体访问控制地址(MAC地址):一个惟一的标识符分配给网络接口控制器的通信数据链路层的网段。
付款卡:信用卡、借记卡、ATM卡,和任何其他卡或设备以外的现金或支票,签发银行或信用社,通常是由一个人做出付款的目的。
支付卡行业(PCI)合规:符合规定的标准的PCI安全标准委员会。
支付卡系统:任何计算机或信息技术设备、服务器、台式电脑、移动设备、软件应用程序、托管服务,软件即服务(SaaS)应用,多功能设备,或其他系统或技术用于处理、传输或存储持卡人信息。 支付卡验证代码:有时也称为CVV、CV2或CVV2代码,验证代码是三位数的值印在签名档的支付卡,或四位数代码位于前面的某些信用卡付款。 主帐号:卡支付卡片上发现的标识符,如信用卡和借记卡,储值卡,礼品卡和其他类似的卡片。在某些情况下卡号被称为一个银行卡号。 |
程序: 1。支付卡系统 大学技术服务(ut)将定义、文档,管理持卡人数据环境。支付卡系统必须安装和验证了ut。支付卡系统必须受防火墙保护生产安装和维护的。UTS将执行一个完整的网络和系统评估验证持卡人信息安全之前,任何支付卡系统被用于过程,传输或存储持卡人信息。支付卡系统实现任何更改之前,UTS必须授权,正式文件,计划和日志的更改。 2。通信 发送主要由终端用户帐号消息传递技术(如电子邮件、即时消息,聊天,等等)是严格禁止的。 所有在公共网络上传输的持卡人信息必须通过使用SSL加密或其他行业可接受的方法,使用最新的确认的标准生产。 远程访问支付卡系统必须被加密,UTS;没有其他允许远程访问。 3所示。设备管理 所有的设备都必须贴上所有者,联系信息和目的。此外,设备的MAC地址必须被记录下来,提供给ut,如果连接到网络。 所有工作站、信息技术设备和所有其他组件的一部分支付卡系统必须安装杀毒软件,当前防病毒定义,当前操作系统和安装补丁。本地防火墙,强密码,系统和网络日志和密码保护必须启用屏幕保护程序。 基于服务器的支付卡系统必须由生产管理,必须符合维护880年行政政策,系统管理。 学生业务服务负责供应商的年度评审/处理器服务组织控制报告或类似的文件,验证服务交付过程和组织的控制。所有检查的结果(s)据报道,ut和控制器的办公室。 销售点设备必须审查和批准学生业务服务和生产。设备购买、维护和安全更新将由学生管理业务服务。设备将从大学的批准购买支付卡处理器尽可能;如果不可能,学生业务服务将会确定一个批准的选择。 支付卡行业安全标准委员会要求大学安全地维护付款卡设备用于卡目前交易(也就是说,卡刷卡或下降)的出售: •维护设备的列表
•定期检查设备寻找篡改或替换
•检查验证的设备列表的列表包括:
o,模型的设备
设备的位置(例如,站点的地址或设施设备所在地)
o设备序列号或其他独特的识别方法。 •从列表中选择一个样本的设备和观察设备位置确认是准确的,最新的。 •培训人员意识到可疑行为和报告篡改或替换设备 •检查记录程序来验证流程定义包括以下:
o检查设备程序(由学生业务服务
o检查的频率 部门负责检查他们的支付卡设备至少每月一次。部门要记录他们的检查结果(s)在“刷卡终端库存表和篡改清单”由学生提供业务服务。部门必须包括设备部门程序的审查过程。所有检查的结果将被审查学生定期业务服务。 学生业务服务负责年度审查支付卡设备和相关的文档说明。所有检查的结果(s)据报道,ut和控制器的办公室。 4所示。支付卡处理 部门需要详细的程序关于支付卡处理,将所有PCI遵从性需求。当前的需求可从学生业务服务。部门要求提交审查和更新内部程序的副本每年学生业务服务。部门不提交他们每年更新过程可能被吊销支付卡处理特权。 在人:
- 只有批准人员应该处理支付卡的交易。
- 部门必须检查身体支付卡提出了以下几点:
- 卡有效吗?卡后不得使用到期月的最后一天的压印在卡片上。
- 只有实际卡/账户持有人应该使用信用卡。
- 对电荷形式匹配客户的签名卡片的背面签名吗?比较签名和确保签署的名字不是拼写错误或者明显不同。
- 卡片上的签名面板看起来正常吗?检查,以确保它没有录音,肢解,抹去,或者画。明显的自然改变卡可以表示妥协卡。
- 卡的帐号在前面匹配数量的卡片和终端收据显示?如果数字不匹配,或者他们被覆盖或削弱,这可能表明一个改变卡。
- 在客户收到的的名字匹配压花的名字前面的卡片上?如果名称是不同的,这可能表明一个改变卡。
- 保留商户刷卡机器生成的收据副本签署并返回持卡人的其他副本。
- 商人的收据副本在一个安全、限制区域,直到走上大学的收银员的办公室。
- 部门不允许在支付卡的交易关键物理卡。如果支付卡的交易将不会过程通过销售点设备,要求另一个在线支付方式或要求客户支付(如适用)。
如果你怀疑支付卡事务,联系授权中心和声音请求代码10授权。使用术语“代码10”允许您拨打语音授权中心的质疑没有提醒持卡人的交易。 请求一个代码10发现网络授权,签证,万事达或美国运通事务,叫声音授权贴纸上的电话号码(位于销售点设备)。 按照说明给你如何继续的处理器。 论文格式或其他硬拷贝/邮件:
- 必须尽一切努力避免使用论文格式或其他很难获取持卡人信息的复制/邮件。
- 所有论文格式和其它硬拷贝工具收集持卡人信息必须审查和批准学生业务服务。
- 持卡人信息的论文格式或其他复印件必须存储在一个安全的、有限的访问区域,直到处理。一旦付款处理,部分的形式或其他包含持卡人信息的复印件必须安全地分解在一十字/糖果碎纸机。部门没有一篇论文需要维护持卡人信息的副本。
- 商人的收据副本在一个安全、限制区域,直到走上大学的收银员的办公室。
传真:
- 一般来说,业务操作处理大量的支付卡的交易应该计划业务流程,不接受信用卡付款传真。业务流程设计接受偶尔的付款卡传真必须审查和批准的学生提前业务服务。
- 传真机必须位于一个安全区域没有对公众开放。
- 使用多功能打印机/传真机增加大学的PCI范围;普通纸,拨打传真建议。
- 传真与支付信息必须立即分发给个人负责key-entering信息进入刷卡设备或付款申请批准。
- 包含持卡人的传真信息必须存储在一个安全的、有限的访问区域,直到处理。一旦付款处理,部分的形式或其他包含持卡人信息的复印件必须安全地分解在一十字/糖果碎纸机。部门没有一篇论文需要维护持卡人信息的副本。
- 客户复制(修订持卡人信息)可能是传真,邮寄或发电子邮件给客户(可选)。
- 商人的收据副本在一个安全、限制区域,直到走上大学的收银员的办公室。
电话:
- 一般来说,业务操作处理大量的付款卡应该计划业务流程,在电话里不接受信用卡付款。业务流程设计通过电话接受偶尔的付款卡必须审查和批准的学生提前业务服务。
- 如果持卡人信息必须写下来,它调用结束后应立即处理。
- 一旦付款处理,部分的形式或其他包含持卡人信息的复印件必须安全地分解在一十字/糖果碎纸机。部门没有一篇论文需要维护持卡人信息的副本。
- 商人的收据副本在一个安全、限制区域,直到走上大学的收银员的办公室。
- 不接受支付信息通过语音邮件或电话留言。
电子邮件:
- 不接受支付持卡人信息通过电子邮件。开放的通信系统,如电子邮件或聊天程序并不被认为是安全的任何持卡人信息的传输。如果一个客户端发送支付信息的部门,应采取以下步骤:
- 点击“回复”的电子邮件
- 删除支付卡数据从原始的电子邮件。
- 在你的反应,复制并粘贴以下
- “谢谢你联系(插入部门或名称)。我们欣赏你的生意,然而作为我们合规工作的一部分支付卡数据安全标准和我们的实践来保护我们所有的客户的个人身份信息,我们不能处理付款,你已通过电子邮件发送。我们要求您使用下列批准让你付款的方法:
- 在线- www.xxxxxxxxxx.edu
- 邮件,邮寄地址
- 电话——xxx-xxx-xxxx
- 传真——xxx-xxx-xxxx
- 然后立即删除原始邮件和倒垃圾。
5。存储和处理
- 银行规定初稿或清晰的支付卡的交易收据副本被保留为从交易发生之日起18个月。销售滑落/收据必须在大学与部门的出纳办公室的日常存款用于适当的存储和处理使用一十字/糖果碎纸机。
- 持卡人信息不能存储在任何持卡人数据环境或任何支付卡系统。
- 完整内容的存储任何跟踪付款信用卡磁条,是否支付卡的背面,在芯片或否则,是严格禁止的。
- 获得区域用于处理、传输或存储持卡人信息必须限制授权大学人员需要。ID徽章、办公室钥匙或类似的安全设备必须用来限制访问。
- 便携式销售点设备(包括终端、针垫等)必须获得一个锁柜,锁着的抽屉里或一个安全的不使用的时候。
- 收银机必须与一个密码保护屏幕锁不使用的时候。
- 必须删除所有支付卡信息和持卡人信息从一个大学员工的工作区域,如果员工不需要出席工作站。
- 部门的销售点设备必须每天结算,结算后清除。
- 部门需要处理的支付卡系统必须通知学生业务服务和ut,在继续之前。处置一个支付卡系统必须通过大学物业管理,必须伴随着计算机发布形式可以在物业管理网站上找到。释放必须符合行政政策# 880,系统管理责任和支付卡系统必须被格式化并清洁任何剩余的数据,持卡人信息,或软件应用程序不能被检索。
6。公开展示与信息披露
除了最后四位数的支付卡帐号必须戴面具或black-lined每当其他持卡人信息显示。 持卡人信息不应该口头重复前面的支付卡持有人以外的任何人。 所有持卡人信息必须限制和/或阻止第三方客户的观点和其他人都不需要知道。眩光屏幕或类似的设备可以用来限制或阻止他人的观点。 7所示。访问 为员工背景调查访问处理、传输或存储持卡人信息将按照执行725年行政政策,填补空缺(不包括学术)。 员工访问处理、传输或存储持卡人信息必须参加并承认年度培训政策和政策210年现金收入。学生是负责提供培训和业务服务记录考勤。那些不参加年度培训部门可以吊销支付卡处理特权。 访问支付卡系统必须保护安全的登录名和密码,并且必须被限制在那些需要知道的。部门接受电子支付卡支付也必须遵循860年行政政策,信息安全。授权部门接受支付卡支付必须提前获得进程创建的学生业务服务。 员工访问必须清除立即终止就业。 访问提供给任何个人不是一个大学的员工,如承包商或临时雇员,必须由学生提前审查业务服务和生产。 供应商必须启用访问期间只需要立即和残疾人在完成服务。 集团共享或通用访问支付卡系统或持卡人信息是严格禁止的。 之前分享持卡人信息与外部组织,或进入一个安排供应商付款流程卡交易,书面协议必须提前进行审核和批准,学生业务服务和生产。 8。安全事故 任何释放或暴露的持卡人信息未经授权的第三方,或未经授权访问支付卡系统须报ut,学生业务服务和控制器的办公室。报告和应急处理规定的机密数据描述政策下# 860信息安全。 9。PCI(支付卡行业合规) 大学参与和符合规定的标准PCI安全标准委员会(PCI SSC)这需要大学年度验证的操作在PCI遵从性标准。部门必须促进验证过程,及时提供准确信息业务服务和生产要求的学生。 PCI安全标准委员会还需要大学的付款应用程序提供者(s)每年证明付款应用程序满足特定行业标准数据安全(付款应用程序数据安全标准)。 万博ManBetX登录奥克兰大学需要实际的PCI前合规证书从供应商和处理器系统或重新批准。学生业务服务负责审批和更新证书的合规与PCI相关的合规和付款应用程序数据安全标准。学生业务服务负责年度回顾的PCI安全标准委员会的网站,确保供应商/处理器re-certifying每年。 10。支付卡处理器商人操作指南 必须遵守大学内建立的政策和做法商人操作指南大学提供的付款处理器,出纳办公室网站上可以找到www.zhongqiwg.com/cashiers。
任何问题关于遵守这个行政政策212应该针对学生业务服务或生产。 |
