信用卡受理和处理

回到政策

根据《支付卡行业数据安全标准》接受和处理信用卡支付以及保护持卡人数据的要求。

政策声明

本政策根据《支付卡行业数据安全标准》(PCI DSS)规定了信用卡支付的接受和处理要求,以及对持卡人数据的保护要求。

政策的原因

本政策的目的是为保护提供给大学或代表大学行事的第三方服务供应商的持卡人资料制定标准。

谁受此政策的约束

教职员工

政策

卡塔尔世界杯时间表阿德尔菲大学认识到其数据安全和监管责任的重要性,并建立了一个框架来保护持卡人的数据。用于接受信用卡的所有流程、操作程序和相关技术必须符合PCI DSS和相关的大学政策。

  • AU商户id (mid)只能通过大学的信用卡处理器获得,目前该处理器是Curvepay。
  • 非盟商家应保护持卡人数据(CHD),防止任何未经授权的使用。
  • AU严格禁止在大学服务器或网络上捕获、存储、处理或传输CHD和敏感认证数据(SAD),但以下情况除外:
    • 加密的CHD传输可通过PCI验证的点对点加密(P2PE)解决方案(见接受信用卡的批准方法)。
    • 存储的纸张表格和数码图像,只有在数码图像无法阅读的情况下才可使用(见数据保存/储存)。
  • 如果实现了P2PE解决方案,AU商户必须提供文件,确认该解决方案已实现P2PE解决方案提供商提供的P2PE指导手册中的所有控制。
  • 必须分配和确认与信用卡处理相关的角色和职责。
  • 有机会使用非盟商人CDE的个人已经完成了所有必要的培训。
  • 所有可能影响非盟商户CHD安全或可能对非盟商户CDE产生影响的第三方服务供应商(TPSPs),在申请新的非盟MID或与现有的非盟MID相关联之前,必须通过大学采购服务中心进行批准。

大学认可的接受信用卡的方法

  • 销售点(面对面)/礼品卡:
    • 与专用电话线拨号连接的独立终端机(独立终端禁止IP/Internet连接
    • 支持蜂窝网络连接的手持终端(禁止使用手机读卡器)
    • P2PE解决方案列在PCI委员会的PCI P2PE验证解决方案列表中。
  • 邮购/电话订购/不赠卡:
    • 禁止
  • 电子商务/无卡交易:
    • 将所有电子商务功能和技术支持外包给大学批准的符合PCI标准的供应商
    • 大学开发的网站

数据保留/存储

  • 禁止以电子方式储存主要帐户号码(PAN)及/或敏感身份验证数据(SAD),即使是加密的,但以下情况除外:
    • 只可以纸张文件及/或该等纸张文件的数码图像的形式储存CHD,并须遵守下列规定:
      • 包含完整PAN的文档只能以纸质形式安全地存储,并且只能在获得授权之前存储,在对文档进行成像和扫描以进行数字存储之前,完整的PAN必须呈现为不可读的,最多只能看到前6位和/或后4位数字(411111*****1111)
    • 不允许存储SAD,必须立即使其完全不可读。
  • 所有数字记录必须保存到驱动器上一个安全的文件位置,只有在“需要知道”的基础上选定的人员才能有有限的和受监控的访问权限。
  • 根据阿德尔菲大学记录保留政策,保留期必须限制在商业、法律和/或监管目的要求的范围内,商户必须制定流程,按季度审查任何纸质记录的存储需求。卡塔尔世界杯时间表
  • 在指定的保存期后:
    • 文档的数字图像必须是不可恢复的(例如,通过符合行业接受的安全删除标准的安全擦除程序,或通过物理销毁媒体)。

商人的责任

职责包括但不限于:

  • 所有可以使用非盟商人CDE的个人都必须完成所需的培训,首先是在受雇或担任需要使用该培训的新职位时,然后每年进行培训,只要该个人可以使用该培训。
  • 将角色和职责分配给能够访问AU Merchant CDE的个人,以确保适当的内部控制,并遵守PCI DSS和Adelphi的相关政策。
  • 维护与CHD有直接物理交互作用的所有设备的保管链记录。
  • 维护中站、终端机和授权用户的当前列表和位置、操作程序、数据流程图、员工培训和设备检查日志,以供要求时查阅。
  • 在结算前审查交易,确保所有未结算批次每天结算,并至少每月核对所有账户活动(包括费用)。
  • 维护TPSP文件的副本,说明哪些PCI DSS要求将由TPSP满足,哪些将由非盟商户负责。
    • 每年获得TPSP的PCI DSS符合性证明。
  • 对疑似或已确认的非盟商户CDE或任何非盟商户CHD的安全漏洞,立即采取行动,通知下面“应对疑似信用卡安全漏洞”一节中列出的个人。

执行

非盟商人要接受定期审计。任何违反PCI DSS或大学政策的非盟商户都可能导致商户被终止接受信用卡作为支付方式的能力。个人也可能受到纪律处分。

回应一个可疑的信用卡安全漏洞

任何知道或怀疑非盟商人CDE或任何非盟商人CHD以任何方式遭到破坏的人,必须立即向以下每一个人报告该事件:

  • 直接主管
  • 高级商务官员

定义

卡品牌: Discover、MasterCard或Visa。

CHD -持卡人数据:至少由完整的PAN组成,但也可以包括包含持卡人姓名、到期日或服务代码的完整PAN。

持卡人数据环境:捕获、存储、处理或传输CHD或SAD的人员、流程和技术,包括可能影响此类数据安全的任何系统组件。

信用卡:由五个信用卡品牌之一发行的信用卡和借记卡。

非盟的商人:任何个人/学校/部门接受贴有五种信用卡品牌之一的信用卡,以代表大学支付货品及/或服务。

MID -商户ID:与用于交易处理和计费的每个AU商户账户相关联的唯一ID。

付款申请:存储、处理或传输CHD作为授权或结算的一部分的软件应用程序,其中支付应用程序被出售、分发或授权给第三方。

:主账号-也称为“账号”。唯一的支付卡号码(通常用于信用卡或借记卡),它标识发行机构和特定的持卡人帐户,由16到19位数字组成。

PCI SSC:由五个信用卡品牌成员组成的支付卡行业保安标准委员会,负责制定提高支付卡保安的标准。

PCI DSS:支付卡行业数据安全标准-提供旨在保护信用卡数据安全的技术和操作要求的基线,适用于所有存储、处理或传输信用卡数据或SAD和/或涉及信用卡处理的实体。

悲伤的:敏感认证数据-用于认证持卡人和/或授权信用卡交易的安全相关信息,包括完整的跟踪数据,芯片上的等效数据,三或四位数代码(例如,CVV2),或持卡人在信用卡交易期间输入的个人识别号码(PIN),和/或交易消息中存在的加密PIN块。

TPSP:第三方服务提供商—非卡牌品牌,直接参与CHD的处理、存储或传输,或提供控制或可能影响CDE安全的服务的业务实体。

形式

此策略目前没有与之关联的表单。在定期政策审查时,将对这一领域进行评估,以确定是否需要补充政策的额外信息。

相关信息

此策略目前没有相关信息。在定期政策审查时,将对这一领域进行评估,以确定是否需要补充政策的额外信息。

文档历史

  • 最近审核日期:2017年9月18日
  • 最后更新日期:2017年9月18日
  • 保单生效日期:不详

谁批准了这项政策

Robert DeCarlo,首席财务官兼副总裁

Michael J. McLeod,金融运营总监兼副总裁

搜索菜单