II-4A PCI-DSS标准技术标准

批准日期:2019年4月11日
生效日期:2019年4月11日
负责人:首席信息安全官
负责办公室:[U]高科技信息安全办公室
修订历史:1.1版;过时2019年7月22日
相关立法和大学政策:

审查期限:5年 
最后一次审查的日期:2019年7月22日
有关:人员,永利棋牌游戏商户

目的

技术控制是PCI-DSS标准(被称为PCI)合规框架的一个组成部分。永利棋牌游戏app下载有意维持符合PCI两种方式。首先,通过限制允许网络PCI数据的其中一个可驻留或发送,和第二范围,通过确保充分的技术控制是应用于其中允许的所有支付处理。大学经营单位需要申请基于PCI的工作流程应确保他们的产品或服务供应商解决了这些技术控制作为其批准后方可经营PCI兼容的服务请求的一部分。

从PCI处理学校财务审批将在队伍遵守这些标准的一个或多个(如适用)。

范围

本标准适用于对打算使用支付卡技术大学永利棋牌游戏永利棋牌游戏app下载的所有商户的相关活动。

标准

根据支付的方法和与大学的供应商关系所需的技术控制是分为四类。

目前卡 - 大学商船

这一类是大学的办公室,部门或学校谁拿信用卡在面对面面对面交易。卡处理符合在任何这些情况该政策:

  • 的刷卡上,插入,或轻敲与认证p2pe银行或供应商合作一个认证点至点加密(p2pe)设备上。这种类型的装置可以连接到任何网络,包括有线永利棋牌游戏或无线网络。
  • 的刷卡上,插入,或与服务提供者的是证明,它们的解决方案是PCI兼容抽头的非认证加密的设备上。这种类型的装置只能与外部网络连接使用,例如蜂窝数据连接,也就是从CWRU网络物理上不同的,或者是用于创建加密的虚拟专用网络(VPN)连接的路由器后面的专用因特网连接到校外的服务。
  • 的刷卡,其连接到模拟电话线的传统设备上。
  • 部门p2pe设备已被清点并掌柜的办公室认证。

违规的例子:

  • 永利棋牌游戏网络上使用非p2pe设备。
  • 大学雇员或代表直接输入信用卡号码到网页

的文件 当前 设备和服务的认证必须提交给掌柜的办公室。更新认证到期后需要。

卡不存在 - 大学商船

这一类是大学的办公室,部门或学校通过电话或通过邮件接受信用卡付款。卡处理符合在任何这些情况该政策:

  • 卡号直接进入认证p2pe设备与认证p2pe银行或供应商工作。这种类型的装置可以连接到任何网络,包括有线永利棋牌游戏或无线网络。
  • 卡号直接进入非认证的加密设备与服务提供商证明,他们的解决方案是PCI兼容。这种类型的装置只能与外部网络连接使用,例如蜂窝数据连接,也就是从CWRU网络物理上不同,或者是,创建一个加密VPN连接到校外路由器后面的专用因特网连接服务。
  • 卡号直接输入被连接到模拟电话线的传统设备上。
  • 卡号输入到使用SRED认证保护的交易按键板的安全网站。

违规的例子:

  • 永利棋牌游戏网络上使用非p2pe设备。
  • 大学雇员或代表直接输入信用卡号码到网页。
  • 通过电子邮件接受的信用卡信息。
  • 存储以任何方式3-或4-位安全代码。

的文件 当前 设备和服务的认证必须提交给掌柜的办公室。更新认证到期后需要。

在线 - 大学商户

这一类是大学的办公室,部门或学校接受非永利棋牌游戏app下载的网站,客户输入支付信息本身卡支付。卡处理符合在任何这些情况该政策:

  • 该网站是由外部服务提供者证明,他们都完全网站托管 其处理器的服务是符合PCI规范。
  • 整个支付过程由其中我们已经证明PCI合规性授权的第三方服务(即quikpay,贝宝)和始发网站的处理没有访问任何持卡人数据。

违规的例子:

  • 非PCI站点或服务,或接受任何手柄非加密的信用卡信息。
  • 直接接受位于永利棋牌游戏网或大学办公室,部门或学校的控制下的服务器上的任何信用卡信息。

的文件 当前 网站和服务的认证必须提交给掌柜的办公室。更新认证到期后需要。

合伙商人

以确保所有可能的步骤被带到安全的学生,教师,员工和客户的个人资料,都在人与电子商务的处理必须符合PCI与当前PCI数据安全标准。我们建议供应商按照为大学商家相同的准则。供应商必须提供一个声明,承认他们是符合当前的PCI标准,并应继续提供可能每年需要任何PCI认证文件。

定义:

商人 - 一个实体收集信用卡的资金和具有与提供的信用卡处理服务的银行或服务有直接关系

大学商人 - 一所大学的办公室,程序,部门或学校,学校的名字出现在买家的信用卡对帐单

合伙商人 - 与大学永利棋牌游戏经商,密切网上商户,但大学的名字没有出现在信用卡对帐单

卡存在 - 一个面 - 面购买是在销售时所作的物理卡,并且该卡被插入时,窃听,或在终端刷卡,无论是由客户或出纳员

卡不存在 - 即与客户提供的卡号,到期日和安全码,以商户代表间接地进行购买,通常是通过电话或邮件

在线 - 购买是通过网页与客户提供卡号,有效期,以及商家的安全代码或处理服务进行

标准复审周期

该标准将每两年审议了永利棋牌游戏修订日期的周年纪念日,在最低限度。标准可根据风险的变化更频繁的基础上进行审查。

引用

II-4 PCI-DSS标准