II-4 PCI-DSS标准

批准日期:二零一九年十一月十四日
生效日期:2019年11月14日
负责人:掌柜
负责办公室:掌柜的办公室
相关立法和大学政策:  

审查期限:5年
最后一次审查的日期:2019年11月14日
有关:教师,员工,学生,商人外

目的

该政策文件提供的信息,以确保与支付卡行业数据安全标准CWRU符合规定(PCI DSS)。在PCI DSS的目的是为了保护持卡人数据。这份文件是永利棋牌游戏app下载的程序,以防止客户信息丢失或泄露,包括信用卡号码。任何故障时保护客户的信息可能会造成的经济损失,为客户,暂停信用卡的处理权限,罚款,损坏学校的声誉。在PCI法规遵从团队的目的是教育在大学的支付环境的所有实体,并强制执行PCI DSS政策所包含。有关这项政策的问题,应直接向永利棋牌游戏app下载的财务主管的办公室。

范围

该政策适用于所有的永利棋牌游戏用户,外部商家,系统和网络参与的传输,存储,或利用大学的IT基础设施进行支付卡处理支付卡数据的处理。支付卡数据包括主账户号码,持卡人姓名,到期日期,服务代码,和敏感认证数据。

消除

不适用。

什么是PCI DSS

PCI DSS是一个授权的一套由五个主要的信用卡公司商定要求:Visa,万事达卡,探索,美国运通和JCB。这些安全要求适用于周围的支付卡行业的所有交易和商家/组织接受这些卡作为付款方式。可以在PCI安全标准委员会的网站上找到有关PCI的详细信息(//www.pcisecuritystandards.要么g)

为了接受信用卡付款,永利棋牌游戏app下载必须证明并遵守支付卡行业数据安全标准。该政策规定进行处理,传输,存储和处理支付卡交易的持卡人数据的需求,减少使用信用卡付款的由大学部门管理相关的制度风险,并确保适当的内部控制和遵守PCI DSS。

政策声明

一般

学校不支持在大学资系统的支付卡处理。该战略是外包所有支付卡处理异地,符合PCI标准的厂商,从而最大限度地减少对大学所拥有的业务流程PCI合规范围(其中大学是商家)。在特殊情况下,当商家都在永利棋牌游戏内的设施,或使用大学的范围内的IT基础设施,这些标准适用。

所有PCI-DSS处理商户活动必须每年由学校财务办公室的批准。

标准

永利棋牌游戏app下载[U]科技发布由大学财务办公室批准的技术标准。这里所描述的标准推广到覆盖目前和未来可能出现的支付卡行业安全标准。

  • 所有支付卡变速器将充分利用从卡入口到支付处理商加密的途径。
  • 的支付卡信息网络传播不得在永利棋牌游戏内的学术网络的出现。
  • 没有存储,处理,或在大学档案支付卡数据的学业或事业的IT环境是允许的。这个过程使任何一所大学的学术网络超出范围的PCI合规性,并确保客户使用自己的支付卡信息的完整性的支付卡商户。
  • 经常使用的审计数据丢失防护工具必须执行,以确保支付卡数据的风险最小化。
  • 信用卡活动必须解决的永利棋牌游戏app下载的银行账户。结算通过个人银行账户被禁止。

责任

  • 永利棋牌游戏app下载的成员必须遵守大学的PCI DSS管理和技术政策。
  • 大学院系:当信用卡处理是部门业务流程的一部分,进行年度PCI DSS自我评估(饱和),并提交给大学财务办公室批准的报告。
  • 任何部门接受支付卡数据,必须指定一人(或多个)谁都会有主要的决定权,并支付承担责任。
  • 各部门,用户接受支付卡将完成在租赁和此后每年PCI的训练。看到UTECH政策III-1E控制 - 限制的信息:对受限制信息的情况下的信息安全需求。
  • 永利棋牌游戏app下载的任何部门受理的支付卡将仅利用财务办公室批准的设备来处理信用卡支付。
  • 永利棋牌游戏商家:确保符合PCI DSS政策执行的所有信用卡处理。完全符合的永利棋牌游戏app下载掌柜认证的年度报告。
  • 所有支付设备这一过程信用卡必须存放在上锁的空间访问受限在不使用时。
  • 永利棋牌游戏app下载信息安全人员:执行网络设备的定期漏洞扫描,其中PCI支付进行扫描,提交风险报告给大学财务办公室。支持软件对数据丢失防护服务,为用户审核IT系统的PCI数据的存在。
  • 永利棋牌游戏app下载网络管理:地址和纠正任何缺陷或风险的网络安全评估发现;拒绝非认可的商业活动的网络服务。
  • 掌柜的办公室:保持所有设备的列表,捕捉支付卡数据,包括品牌,型号,序列号(或唯一性标识等方法)和定位装置。当添加,搬迁或退役设备的列表将被更新。

PCI-DSS政策

指定的个人
代表永利棋牌游戏app下载的礼品,货物或服务必须指定谁都会有主要权力和支付卡交易处理的责任部门内的个人(工作人员或教师)任何部门接受支付卡付款。各部门必须在任何时候指定的个人。它是由部门主管,以确保这个角色充满。

指定个人的职责包括,但不限于以下内容:

  • 确保其部门内的员工谁负责支付卡交易处理或访问的加工设备完成年度PCI的训练,并认识和理解围绕这一活动的政策和程序。
  • 确保只有认可的硬件/软件是用来处理信用卡支付。
  • 确保设备/终端被保护免受当无人值守和便携式设备被物理地固定在不使用时被篡改。

信用卡受理和处理
在开展业务的过程中,可能需要一个部门或其他业务部门接受支付卡。新的商家帐户的接受和支付卡处理的目的的开口由个案基础上所做的那样。与接受的支付卡相关的任何费用将计入该单位。有兴趣的部门要联系掌柜的办公室开始接受信用卡的过程。

发射

  • 员工必须谨慎和处理信用卡数据时使用常识。
  • 支付卡可以在人所接受,通过电话(有组成验证数据的两倍,不应该读信用卡数据回成分),通过符合PCI DSS系统,或邮寄信件。

不遵守
在不符合的情况下,永利棋牌游戏app下载时是商家:

  • 掌柜的办公室将派通信主管部门的负责人。
  • 通信将解释其原因的位置是不符合规定,行动计划,成为标准,和时间框架中完成行动计划。
  • 如果部门不符合时间表得到兼容,将此事上报给高级管理人员,在这一点上,决定将要么暂停支付卡处理或延长时间线进行。每次出现时将在通过根据具体情况进行评估。

在违反或PCI违规的情况下,支付卡品牌可以评估处罚将被转嫁到了大学永利棋牌游戏app下载的银行。高达每违反分支$ 500,000的一次性罚款进行评估以及持续的月度处罚。这可能受影响的信用卡公司被处以罚款或评估将是受影响单位的责任。

不遵守与第三方的事件:

  • 通知将被发送出去。
  • 供应商更换,如果必要的。

安全事故

入射被定义为怀疑或证实数据折衷。一个数据的折衷方法是其中禁止机密或限制数据收集,处理,存储或传输那里一直到系统或网络的未授权访问的任何情况;支付卡数据被禁止的数据。数据妥协也可能涉及疑似或确诊的任何材料或包含持卡人数据记录的丢失或被盗。

在安全事件或事故的情况下,任何人的知识或事件的合理怀疑指示作出立即上报到以下任一:

  • 永利棋牌游戏app下载的帮助台216-368-HELP(4357)
  • 在216-368-0084永利棋牌游戏app下载的安全融合中心
  • 的电子邮件地址 security@case.edu 要么 abuse@case.edu
  • 注意:可以使用这些电子邮件地址,但比服务台通过语音通信或语音邮件直接通知事倍功半。

定义

PCI-dss-支付卡行业数据安全标准,V3.2.1

saq-安全评估问卷

引用

永利棋牌游戏政策草案:我 - 3信用卡管理和PCI-DSS政策

支付卡行业数据安全标准,v.3.2.1(//www.pcisecuritystandards.要么g/documents/pci_dss_v3-2-1.pdf)

标准复审周期

这一政策将每三年检讨有关政策生效日的周年纪念日,在最低限度。该政策可能会因风险暴露的变化更频繁的基础上进行审查。