20.付款卡处理
Owner:
- Email: controller@lihuang-led.com
Last updated: July 01, 2022
Contents:
A. Purpose
B. Scope
C. Definitions
D. Policy
E. 过程、程序和指导方针
F. 联系信息
A. Purpose. bet365亚洲官网致力于为我们的客户提供安全的信用卡和借记卡处理环境,以防止损失和欺诈. 保护客户,限制大学的责任, 员工必须遵守支付卡行业(PCI)的安全处理要求, transmitting, 处理持卡人的数据.
B. Scope. 本政策适用于在bet365亚洲官网从事信用卡处理活动的所有员工.
C. Definitions.
C-1. Owner. 直接负责本单位所有信用卡付款处理活动的高级员工.
C-2. Contact. 负责本单位支付卡系统维护和协调的在册员工.
C-3. Operator. 任何负责处理本单位刷卡付款的员工.
C-4. Cardholder Data. 代表bet365亚洲官网处理的任何支付卡信息. 这包括卡号, expiration dates, 安全码(位于信用卡背面的CVC/CVV/CID代码)和持卡人的个人资料.
C-5. PCI-DSS. 支付卡行业-数据安全标准.
C-6. PA-DSS. 支付应用-数据安全标准.
C-7. SAQ. 自我评估问卷.
C-8. Merchant. 任何接受借记卡或信用卡作为其业务流程一部分的大学单位.
C-9. Units. bet365亚洲官网(大学)基层管理单位, 包括认可的大学, departments, 行政单位, 以及远离莫斯科主校区的地点.
C-10. Vendor. 任何与大学签约以方便支付卡交易的个人或公司.
C-11. 关键技术. 内部使用的任何技术设备, 或连接到或从, 支付卡处理环境网络或设备.
D. Policy. 都是bet365亚洲官网的所有者, contacts, 以及任何销售点系统的运营商, 信用支付终端, 或信用处理应用程序或系统必须保持符合当前的PCI-DSS.
D-1. 一般PCI-DSS合规责任.
a. PCI安全标准委员会发布并定期更新支付卡行业数据安全标准(PCI- dss) http://www.pcisecuritystandards.org/document_library. 单位联系人必须审查PCI-DSS的更新,以确定所需的更改,并在规定的生效日期前实施.
b. 在操作任何支付卡处理系统之前, 而且是按年计算的, 每个单位必须为每个商户填写PCI-DSS自我评估问卷(SAQ).
c. 每个单位必须在财务总监办公室发出通知后30天内提供PCI合规性证明.
d. PCI DSS证据和PCI认证所需的文件必须根据财务总监办公室的要求每年提供一次.
D-2. 合同要求.
a. 只有经财务总监办公室预先批准的商家和供应商才有权处理大学信用卡的处理. 已知服务提供商的列表和所提供服务的描述将由每个商户集中维护,并由商户每年审查其准确性.
c. 自本保单签发之日起生效,并适用于所有新签署或续签的协议, 与服务提供商签订的所有合同和协议必须包括条款或确认,即服务提供商对其拥有或以其他方式存储的持卡人数据的安全负责, process, 或代表UI传送, 或者服务提供者可能影响UI持卡人数据环境的安全性.
d. At a minimum, 在签订合同之前,ITS安全办公室和财务总监办公室的工作人员必须参与对供应商进行充分的评估和审查.
e. 与UI商户签约的第三方供应商或服务提供商必须在合同执行前提供合同附录或其他证明,以确保其符合当前的PCI-DSS和/或PA-DSS.
f. 在交易授权后,任何持卡人数据的存储必须事先得到财务总监办公室的批准,并必须符合当前的PCI-DSS标准. 持卡人数据的任何存储地点的清单必须与主计长办公室保持同步.
D-3. Documentation, training, 以及从事信用卡处理活动人员的背景调查要求.
a. 所有接受信用卡付款的单位每年都要向财务主任办公室和ITS提交一份本单位内经营者的书面名单. 该清单还应包括该单位遵循的程序的描述,以确保只有列出的运营商才能访问该单位的信用卡处理软件和系统.
b. 刚开始工作的时候, 此后每年一次, all owners, 直接参与接收或处理大学支付卡数据的联系人和运营商必须按照财务总监办公室的要求完成全面的PCI-DSS合规和安全意识培训. 年度培训必须包括对本政策和管理层制定的任何标准的审查,以确保PCI合规性. 任何单位特定的过程或程序也必须每年与每个操作员进行审查,并由单位内部记录SAQ.
c. 根据APM 50的规定,所有处理持卡人数据的员工都被认为对安全敏感.16岁,在被雇佣前必须完成犯罪背景调查.
D-4. 程序文件. 任何操作支付卡系统的单位必须保存所有处理支付卡数据和系统的文件,这些文件与PCI-DSS一致. 该文件必须每年进行审查和更新,以满足PCI-DSS的要求, and, when required, 附本单位年度质量指标作为证据. PCI-DSS和本政策所要求的文件必须在营业时间内根据财务总监办公室或用户界面计算机安全事件响应小组的要求随时提供.
D-5. Inventory. 任何操作支付卡系统的单位都必须保存用于处理信用卡或在持卡人环境中使用的当前设备的列表,并注意试图篡改或更换设备. 每个设备必须有适当的标签. 这份清单必须每年提交财务主任办公室.
a. 每种设备的库存清单必须包括:
1. 设备的制造和型号
2. 设备物理位置
3. 设备序列号或资产标签
4. 明确允许使用设备的员工列表
b. 必须立即通知主计长办公室
1. 新设备投入使用
2. 旧设备将停止服务
3. 设备的物理位置将永久改变
D-6. 关键技术的使用策略.
a. 在支付处理环境中使用的所有关键技术必须得到财务总监办公室和ITS安全办公室的明确批准,并在操作前进行盘点.
b. 只有接受过商业流程和本政策培训的员工才能使用关键技术, 而且只有在他们的工作需要的时候.
c. 所有使用关键技术的员工都必须使用唯一的用户ID和密码(或其他身份验证项或令牌)进行身份验证。.
d. 所有要求直接访问关键技术的供应商员工必须在授予访问权限之前进行验证和批准, troubleshooting, 保养或维修服务.
e. 关键技术只能用于指定的商业目的,不能用于可能增加支付处理环境风险的一般行政用途(例如.g.,没有电子邮件,网上冲浪,即时通讯等.).
1. 设备必须定期检查, at least monthly, 用于篡改或替换,并记录在UI PCI DSS检查表上. 检查必须验证
a. 设备位置没有改变
b. 制造商名称,型号和序列号到库存
c. 颜色和总体描述没有改变
d. 没有额外的电线,附件,覆盖附加
e. 进出设备的连接数没有改变
2. 检查文件必须由另一名员工审核,并存档以备将来审核.
f. 关键技术只能在经批准并指定用于支付卡处理的网络上使用, 模拟电话线或经批准的第三方服务提供商. 请联系ITS保安办公室进行审核和批准. 从支持支付卡流程的批准网络中移除的关键技术设备必须在移除之前安全地从设备中删除所有持卡人数据,以确保安全信息不会在不受保护的情况下传输.
g. 远程访问关键技术必须:
1. 仅限于唯一标识的员工或有业务需求的供应商;
2. 将其配置为在非活动时自动断开连接. 将供应商访问帐户限制为主动监控,使用后立即停用;
h. Copying, 禁止在本地硬盘驱动器或可移动电子媒体上移动或存储持卡人数据.
i. 立即撤销任何已终止用户的访问权限.
D-7. 持卡人资料的安全及存取.
a. 持卡人资料不得储存, 以任何电子格式共享或传输,包括, 但不限于, disc, network storage, email, 移动硬盘, thumb-drive, and text message.
b. 在任何情况下,CVC/CVV/CID代码都不会以数字或纸质形式存储.
c. 不得通过电子邮件或任何其他数字信息技术要求或接受信用卡信息. 如果收到包含持卡人数据的电子邮件,必须立即删除并从垃圾文件夹中删除.
d. 定义每个角色的访问需求,包括:
1. 每个角色为其工作功能需要访问的系统组件和数据资源.
2. 访问资源所需的权限级别.
d. 只有在需要知道/使用的基础上,董事会指定的员工才可查阅所储存的持卡人资料. 临时雇员或学生雇员不得获得敏感的持卡人信息.
e. 所有包含持卡人数据部分的UI表单都必须经过设计,以便持卡人数据可以立即从表单中删除,并在处理后将其粉碎或放入UI提供并锁定的粉碎盒中.
1. 所有包含持卡人资料的表格必须尽快处理,以减少资料的储存时间.
2. 如果必须存储硬拷贝持卡人数据,应将其存储在安全锁定的存储中,以便尽快进行处理.
f. 临时存储在纸上的持卡人数据必须在输入时立即处理
1. 横切粉碎信息
2. 将信息放入经批准的供应商提供的锁箱内,随后由供应商销毁.
g. 使用适当的设施进入控制来限制和监控对系统的物理访问. 使用视频摄像机或访问控制机制(或两者兼而有之)来监控个人对敏感区域的物理访问. See APM 95.13美元用于使用安全摄像头.
D-8. 报告事件. 一旦发生可疑事件, event, 或者可能涉及暴露持卡人数据的篡改, 事件的即时通知必须发送到以下组:
- ITS保安办事处(security@lihuang-led.com or 208-885-1060)
- 财务总监办公室(pci-compliance@lihuang-led.com or 208-885-7105)
- 商户ID的所有者
在事件被报道后, 应根据技术安全事件响应计划和当前PCI要求对其进行调查和升级.
D-9. Noncompliance. 未能继续遵守本政策的条款可能会导致失去处理信用卡的能力,并在财务总监办公室和ITS安全办公室满意地恢复PCI合规性之前,无法支付所评估的罚款/费用/罚款.
E. 过程、程序和指导方针. 额外的指导方针, processes, 和程序可以由财务总监办公室和ITS分发或公布,以支持本政策和当前的PCI标准. 请查看他们的网站了解最新信息:
http://support.lihuang-led.com/TDClient/KB/?CategoryID=10
http://fdklwm.lihuang-led.com/dfa/finance/controller
F. 联系信息. 财务总监办公室可以协助解决有关此政策和PCI合规性的问题. 电话:(208)885-7105或 pci-compliance@lihuang-led.com.
Version History
Amended July 2022. 修订后符合当前支付卡行业的处理要求, 传输和处理持卡人数据.
Amended July 2020. 修订后符合当前支付卡行业的处理要求, 传输和处理持卡人数据.
2017年3月修订. 修订后符合当前支付卡行业的处理要求, 传输和处理持卡人数据.
2016年1月通过.