212年支付卡信息安全需求
主题: | 支付卡信息安全需求 |
数量: | 212年 |
授权机构: | 财务副总裁&管理 |
负责办公室: | 控制器的办公室和大学技术服务 |
发行日期: | 2005年7月 |
最后更新: | 2018年8月 |
理由是:万博ManBetX登录奥克兰大学(大学)是服从规则,规定和合同规定付款处理卡和持卡人信息,如下这些术语的定义。这一政策为大学提供强制性的安全措施和程序部门(部门)接受付款信用卡进行付款。 |
|
政策:部门必须遵守以下安全措施和大学程序维护安全的付款卡和持卡人信息,并确保大学仍然有资格接受支付卡支付。未能遵守大学将可能受到严厉处罚。 |
|
范围和适用性:任何部门接受付款信用卡作为一种支付方式必须遵守政策212年。 |
|
定义: 持卡人数据环境:设备、系统、应用程序和网络的范围确定为支付卡行业合规。 持卡人信息:持卡人的姓名,联系信息,支付卡号,主帐号,卡片有效期,付款卡验证代码,支付卡的交易信息,或任何其他信息,可以用来识别一个支付卡帐户或持有人。 媒体访问控制地址(MAC地址):一个惟一的标识符分配给网络接口控制器的通信数据链路层的网段。 付款卡:信用卡、借记卡、ATM卡,和任何其他卡或设备以外的现金或支票,签发银行或信用社,通常是由一个人做出付款的目的。 支付卡行业(PCI)合规:符合规定的标准的PCI安全标准委员会。 支付卡系统:任何计算机或信息技术设备、服务器、台式电脑、移动设备、软件应用程序、托管服务,软件即服务(SaaS)应用,多功能设备,或其他系统或技术用于处理、传输或存储持卡人信息。 支付卡验证代码:有时也称为CVV、CV2或CVV2代码,验证代码是三位数的值印在签名档的支付卡,或四位数代码位于前面的某些信用卡付款。 主帐号:卡支付卡片上发现的标识符,如信用卡和借记卡,储值卡,礼品卡和其他类似的卡片。在某些情况下卡号被称为一个银行卡号。 |
|
程序: 1。支付卡系统 大学技术服务(ut)将定义、文档,管理持卡人数据环境。支付卡系统必须安装和验证了ut。支付卡系统必须受防火墙保护生产安装和维护的。UTS将执行一个完整的网络和系统评估验证持卡人信息安全之前,任何支付卡系统被用于过程,传输或存储持卡人信息。支付卡系统实现任何更改之前,UTS必须授权,正式文件,计划和日志的更改。 2。通信 发送主要由终端用户帐号消息传递技术(如电子邮件、即时消息,聊天,等等)是严格禁止的。 所有在公共网络上传输的持卡人信息必须通过使用SSL加密或其他行业可接受的方法,使用最新的确认的标准生产。 远程访问支付卡系统必须被加密,UTS;没有其他允许远程访问。 3所示。设备管理 所有的设备都必须贴上所有者,联系信息和目的。此外,设备的MAC地址必须被记录下来,提供给ut,如果连接到网络。 所有工作站、信息技术设备和所有其他组件的一部分支付卡系统必须安装杀毒软件,当前防病毒定义,当前操作系统和安装补丁。本地防火墙,强密码,系统和网络日志和密码保护必须启用屏幕保护程序。 基于服务器的支付卡系统必须由生产管理,必须符合维护880年行政政策,系统管理。 学生业务服务负责供应商的年度评审/处理器服务组织控制报告或类似的文件,验证服务交付过程和组织的控制。所有检查的结果(s)据报道,ut和控制器的办公室。 销售点设备必须审查和批准学生业务服务和生产。设备购买、维护和安全更新将由学生管理业务服务。设备将从大学的批准购买支付卡处理器尽可能;如果不可能,学生业务服务将会确定一个批准的选择。 支付卡行业安全标准委员会要求大学安全地维护付款卡设备用于卡目前交易(也就是说,卡刷卡或下降)的出售: •维护设备的列表 •从列表中选择一个样本的设备和观察设备位置确认是准确的,最新的。 •培训人员意识到可疑行为和报告篡改或替换设备 •检查记录程序来验证流程定义包括以下: 部门负责检查他们的支付卡设备至少每月一次。部门要记录他们的检查结果(s)在“刷卡终端库存表和篡改清单”由学生提供业务服务。部门必须包括设备部门程序的审查过程。所有检查的结果将被审查学生定期业务服务。 学生业务服务负责年度审查支付卡设备和相关的文档说明。所有检查的结果(s)据报道,ut和控制器的办公室。 4所示。支付卡处理 部门需要详细的程序关于支付卡处理,将所有PCI遵从性需求。当前的需求可从学生业务服务。部门要求提交审查和更新内部程序的副本每年学生业务服务。部门不提交他们每年更新过程可能被吊销支付卡处理特权。 在人:
如果你怀疑支付卡事务,联系授权中心和声音请求代码10授权。使用术语“代码10”允许您拨打语音授权中心的质疑没有提醒持卡人的交易。 请求一个代码10发现网络授权,签证,万事达或美国运通事务,叫声音授权贴纸上的电话号码(位于销售点设备)。 按照说明给你如何继续的处理器。 论文格式或其他硬拷贝/邮件:
传真:
电话:
电子邮件:
5。存储和处理
6。公开展示与信息披露 除了最后四位数的支付卡帐号必须戴面具或black-lined每当其他持卡人信息显示。 持卡人信息不应该口头重复前面的支付卡持有人以外的任何人。 所有持卡人信息必须限制和/或阻止第三方客户的观点和其他人都不需要知道。眩光屏幕或类似的设备可以用来限制或阻止他人的观点。 7所示。访问 为员工背景调查访问处理、传输或存储持卡人信息将按照执行725年行政政策,填补空缺(不包括学术)。 员工访问处理、传输或存储持卡人信息必须参加并承认年度培训政策和政策210年现金收入。学生是负责提供培训和业务服务记录考勤。那些不参加年度培训部门可以吊销支付卡处理特权。 访问支付卡系统必须保护安全的登录名和密码,并且必须被限制在那些需要知道的。部门接受电子支付卡支付也必须遵循860年行政政策,信息安全。授权部门接受支付卡支付必须提前获得进程创建的学生业务服务。 员工访问必须清除立即终止就业。 访问提供给任何个人不是一个大学的员工,如承包商或临时雇员,必须由学生提前审查业务服务和生产。 供应商必须启用访问期间只需要立即和残疾人在完成服务。 集团共享或通用访问支付卡系统或持卡人信息是严格禁止的。 之前分享持卡人信息与外部组织,或进入一个安排供应商付款流程卡交易,书面协议必须提前进行审核和批准,学生业务服务和生产。 8。安全事故 任何释放或暴露的持卡人信息未经授权的第三方,或未经授权访问支付卡系统须报ut,学生业务服务和控制器的办公室。报告和应急处理规定的机密数据描述政策下# 860信息安全。 9。PCI(支付卡行业合规) 大学参与和符合规定的标准PCI安全标准委员会(PCI SSC)这需要大学年度验证的操作在PCI遵从性标准。部门必须促进验证过程,及时提供准确信息业务服务和生产要求的学生。 PCI安全标准委员会还需要大学的付款应用程序提供者(s)每年证明付款应用程序满足特定行业标准数据安全(付款应用程序数据安全标准)。 万博ManBetX登录奥克兰大学需要实际的PCI前合规证书从供应商和处理器系统或重新批准。学生业务服务负责审批和更新证书的合规与PCI相关的合规和付款应用程序数据安全标准。学生业务服务负责年度回顾的PCI安全标准委员会的网站,确保供应商/处理器re-certifying每年。 10。支付卡处理器商人操作指南 必须遵守大学内建立的政策和做法商人操作指南大学提供的付款处理器,出纳办公室网站上可以找到www.zhongqiwg.com/cashiers。 |
|
相关政策和形式: |