212支付卡信息安全要求
主题: | 支付卡信息安全要求 |
数量: | 212 |
授权机构: | 财务副总裁 & 政府 |
负责办公室: | 财务总监办公室和大学技术服务 |
发行日期: | 2005年7月 |
最后更新: | 2018年8月 |
理由是: 十大菠菜台子(大学)受规则约束, 规定, 以及有关支付卡和持卡人信息处理的合同条款, 这些术语的定义如下. 本政策规定了接受支付卡付款的大学部门(系)的强制性安全措施和程序. | |
政策: 各部门必须遵守以下安全措施和大学程序,以维护支付卡和持卡人信息的安全, 并确保大学仍然有资格接受支付卡付款. 如果不遵守规定,学校将受到严厉的处罚. | |
适用范围及适用性: 任何接受支付卡作为付款方式的部门都必须遵守政策212. | |
定义: 持卡人资料环境: 这些设备, 系统, 应用程序, 以及在支付卡行业合规范围内的网络. 持卡人信息: 持卡人姓名, 联系信息, 支付卡号码, 主帐号, 卡的有效期, 支付卡验证码, 支付卡交易信息, 或任何其他可用于个人识别支付卡帐户或持有人的信息. 媒体访问控制地址(MAC地址): 分配给网络接口控制器的唯一标识符,用于在网段的数据链路层进行通信. 付款卡: 信用卡, 借记卡, ATM卡, 以及除现金或支票以外的任何其他卡或设备, 由银行或信用合作社签发的,通常由个人出示用于付款的票据. 支付卡行业(PCI)合规性: 符合PCI安全标准委员会制定的标准. 支付卡系统: 任何计算或信息技术设备, 服务器, 台式电脑, 移动设备, 软件应用程序, 托管服务, 软件即服务(SaaS), 应用程序, 多功能设备, 或其他用于加工的系统或技术, 传输, 或储存持卡人资料.
支付卡验证码: 有时被称为CVV, CV2, 或CVV2代码, 验证码是印在支付卡背面签名线上的三位数字, 或位于某些支付卡正面的四位数字代码.
主账号: 支付卡上的卡标识符, 比如信用卡和借记卡, 还有储值卡, 礼品卡及其他类似卡. 在某些情况下,卡号被称为银行卡号. | |
程序: 1. 支付卡系统 大学技术服务(UTS)将定义, 文档, 及管理持卡人资料环境. 支付卡系统必须由UTS安装和验证. 支付卡系统必须由UTS安装和维护的防火墙保护. 在使用任何支付卡系统进行处理之前,UTS将执行完整的网络和系统审查,以验证持卡人信息的安全性, 传送或储存持卡人资料. 在对支付卡系统实施任何更改之前, UTS必须授权, 正式的文档, 计划并记录变更. 2. 通信 通过最终用户消息传递技术发送主帐号(i.e. 电子邮件、即时通讯、聊天等等.)是严格禁止的. 所有通过公共网络传输的持卡人信息必须通过使用SSL或其他行业可接受的方法进行加密, 使用由UTS确定的最新标准. Remote access to a Payment Card System must be encrypted and secured by UTS; no other remote access is allowed. 3. 设备管理 所有设备必须标明所有者、十大菠菜台子和用途. 另外, 如果连接到网络,设备的MAC地址必须被记录并提供给UTS. 所有的工作站, 资讯科技设备, 以及支付卡系统的所有其他组件必须安装杀毒软件, 当前的防病毒定义, 当前的操作系统和已安装的补丁. 本地防火墙, 强密码, 系统和网络日志, 并且必须启用密码保护的屏幕保护程序. 基于服务器的支付卡系统必须由UTS管理,并且必须遵守 行政政策880,系统管理. 学生商务服务部负责供应商/加工者的年度审查服务组织控制报告或类似的文件,以验证服务交付过程和组织的控制. 所有审查的结果都报告给UTS和财务主任办公室. 销售点设备必须由学生商业服务和UTS审查和批准. 设备购买、维护和安全更新将由学生业务服务部门管理. Devices will be purchased from the University’s 应用程序roved Payment Card processor whenever possible; if not possible, 学生商务服务部将确定一个经批准的替代方案. 支付卡行业安全标准委员会要求大学安全维护支付卡设备用于卡片交易(即, 在销售点刷卡(或刷卡): •维护设备列表 •从列表中选择设备样本并观察设备位置,以验证列表的准确性和最新性. •培训员工注意可疑行为并报告篡改或替换设备的行为 •审查形成文件的程序,以确认流程的定义包括以下内容: 各部门每月至少检查一次支付卡设备. 各学系须将检查结果记录在学生业务服务部提供的“刷屏终端机盘点表及篡改检查清单”上. 要求各部门将设备检查过程纳入其部门程序. 学生商务服务部将定期审查所有检查的结果. 学生商务服务部负责对支付卡设备和相关文件程序进行年度审查. 所有审查的结果都报告给UTS和财务主任办公室. 4. 支付卡处理 部门需要有详细的付款卡处理程序,包括所有PCI合规性要求. 目前的要求可从学生商务服务处获得. 各部门必须每年向学生业务服务部门提交一份审查和更新的内部程序副本. 未每年提交更新程序的部门可能会被撤销其支付卡处理权限. 在人:
如果您怀疑支付卡交易, 请联系语音授权中心,申请Code 10授权. 使用术语“代码10”允许您呼叫语音授权中心对交易提出质疑,而不会提醒持卡人. 为发现网络请求Code 10授权, 签证, 万事达卡, 或美国运通交易, 拨打语音授权标签上的电话号码(位于销售点设备上). 按照处理器给您的说明进行操作. 纸张格式或其他硬拷贝/邮寄:
传真:
电话:
电子邮件:
5. 贮存及处置
6. 公开展示 & 信息披露 当显示任何其他持卡人信息时,除最后四位数字外,支付卡账号的所有数字都必须被屏蔽或涂黑. 持卡人的资料不应在除持卡人以外的任何人面前口头重复. 所有持卡人信息必须限制和/或阻止第三方客户和其他人在不需要知道的情况下看到. 眩光屏或类似设备可用于限制或阻挡他人的视线. 7. 访问 对有权限处理的员工进行背景调查, 传输或储存持卡人资料时,将按照 行政政策725,填补空缺(不包括学术职位). 具有处理权限的员工, 发送或存储持卡人信息的客户必须参加并确认有关本政策和政策210现金收据的年度培训. 学生商务服务部负责提供培训并记录出勤情况. 不参加年度培训的部门可能会被取消其支付卡处理权限. 访问支付卡系统必须受到安全登录和密码的保护, 而且必须仅限于那些需要了解的人. 接受支付卡电子支付的部门也必须遵守 行政政策860,信息安全. 部门接受支付卡付款的授权必须在流程创建之前从学生业务服务处获得. 雇佣终止后,必须立即禁止员工访问. 访问提供给任何个人谁不是大学的员工, 比如承包商或临时雇员, 必须由学生商务服务中心和UTS. 供应商访问必须仅在需要期间启用,并在服务完成后立即禁用. 集团, 对支付卡系统或持卡人信息的共享或通用访问是严格禁止的. 在与外部机构共享持卡人信息之前, 或与供应商签订处理支付卡交易的安排, 书面协议必须由学生商务服务中心和悉尼科技大学事先审查和批准. 8. 安全事故 向未经授权的第三方发布或暴露持卡人信息, 或未经授权访问支付卡系统必须向UTS报告, 学生业务服务和财务总监办公室. 报告和应急响应将根据《十大菠菜台子》中关于保密数据的规定进行处理. 9. PCI(支付卡行业合规) 大学参与并遵守由世界卫生组织制定的标准 PCI安全标准委员会 这需要每年对大学在PCI合规标准下的运作进行验证. 各院系必须通过及时提供学生商务服务和悉尼科技大学要求的准确信息来促进验证过程. PCI安全标准委员会还要求大学的支付应用程序提供商每年证明支付应用程序符合某些数据安全的行业标准(支付应用程序数据安全标准)。. 在系统被批准或更新之前,十大菠菜台子要求供应商和处理器提供实际的PCI合规性证书. 学生商务服务部负责保持与PCI合规性和支付应用数据安全标准相关的合规性证书的批准和续订. 学生商业服务部负责PCI安全标准委员会网站的年度审查,以确保供应商/处理器每年重新认证. 10. 支付卡处理机商户操作指南 大学必须遵守大学内部制定的政策和做法 商户操作指南 由大学的付款处理程序提供,可在出纳处网站上找到 奥克兰.edu/cashiers. | |
相关政策及表格:
|