支付卡行业数据安全

目的

这一政策的目的是为了防止敏感的客户信息丢失或泄露,包括支付卡数据。未能保护客户的信息可能会造成客户的信用卡处理权限悬挂,并强加于和损害的单位和机构的声誉罚款的经济损失。

PCI DSS
PCI DSS是一个授权的一套由五个主要的信用卡公司商定要求:Visa,万事达卡,探索,美国运通和JCB。这些安全要求适用于周围的支付卡行业的所有交易和商家/组织接受这些卡作为付款方式。可以在PCI安全标准委员会的网站上找到有关PCI的详细信息(//www.pcisecuritystandards.org)

为了接受信用卡付款,188体育-188体育app-188体育盘口必须证明并遵守支付卡行业数据安全标准。在188体育-188体育app-188体育盘口的支付卡政策和额外的支持性文件提供了处理,传输,存储和处理持卡人数据交易的要求。这样做是为了减少与个别部门信用卡支付的管理相关的制度风险,并确保适当的内部控制和遵守支付卡行业数据安全标准完成(PCI DSS)。

签证持卡人信息安全计划(CISP)
签证INC。在六月设立了持卡人信息安全计划(CISP)2001年CISP是为了保护持卡人的签证数据 - 无论它驻留 - 确保会员,商家和服务提供商维持最高的信息安全标准。在2004年,CISP要求纳入了支付卡行业数据安全标准(PCI DSS)。

万事达卡站点数据保护程序(SDP)
在SDP程序,与PCI DSS为基础,细节到位,以保护存储和传输的万事达卡支付账户数据的数据安全性和法规遵从验证要求。

范围/适用性

在188体育-188体育app-188体育盘口支付卡政策适用于所有教师,员工,学生,企业,第三方厂商,个人,系统,以及涉及到的支付卡处理网络。这包括代表188体育-188体育app-188体育盘口的传输,存储,和/支付卡的数据的处理,以任何形式(电子或纸质)。

政策

它是188体育-188体育app-188体育盘口的政策允许接受的支付卡作为在从PCI委员会的书面同意支付的商品和服务的一种形式。188体育-188体育app-188体育盘口需要接受支付卡所以只能在遵守PCI DSS,并按照本政策文件中,188体育-188体育app-188体育盘口支付卡程序,以及其他证明文件做的所有部门。

接收或希望以电子方式接收款项必须符合业务和财务的副总裁发出的指引和程序188体育-188体育app-188体育盘口的所有实体。谁希望采取通过支付卡支付的所有实体必须由PCI委员会,商业和金融的副院长批准。对于具体过程的详细信息,请联系得到进一步的指导PCI委员会。

接受支付卡的实体将签署与PCI委员会,详细介绍他们的职责,以及安全要求(支付卡行业数据安全标准及相关机构的信息技术政策)必须遵循的协议。该协议可能会不时地根据需求的变化进行更新。未按照协议的要求,可能会导致您接受银行卡支付能力的撤销。

实体必须只接受由PCI委员会授权的支付卡,并同意按照合同(或多个)操作188体育-188体育app-188体育盘口,其服务提供商(S)和卡品牌成立。这是为了确保所有交易都符合支付卡行业数据安全标准(PCI DSS),联邦法规,NACHA规则,服务供应商合同和188体育-188体育app-188体育盘口政策有关的安全和隐私,涉及到电子交易。商家不允许存储持卡人数据(摇摄/名称/服务代码/截止日期)或敏感认证数据(完整的磁条数据,CAV / CVV2 / CW2 / CID,销/销/块)以电子方式或物理。所以建议,如果制定的商家坚持任何一所大学的数据保留或处置政策。否则商家建议制定和实施自己的数据保留和处置政策或标准,程序和流程,包括至少对所有持卡人数据(CHD)存储以下内容:

•限制数据存储量和滞留时间延长到这是需要的法律,法规和/或业务要求;

•这不是绝对必要的,以便开展业务数据不会以任何形式保留。所有数据都将被视为机密;

•持卡人数据的具体保留要求;

•当不再需要数据的安全删除过程;

·对于识别和安全地删除存储持卡人数据超过定义的保留季度过程;

•数据记录的物理访问仅限于工作人员需要知道的。

通过终端用户通讯技术接收持卡人数据(CHD)(例如,电子邮件,即时消息,SMS,聊天等),是从来没有被用于处理付款。遵循响应和安全地销毁持卡人数据的适当方法核定部门程序。

所有 加工设备 被经由PCI委员会获得。

豁免此项政策将受到限制,并且需要一个商业计划(包括之所以可用的中央处理系统将不会为您的地区使用)要由PCI委员会事先的任何设备或系统的采购局的批准。

收到的所有款项必须被引导到188体育-188体育app-188体育盘口 获准的银行帐户。的类型和所述电子交易的性质(例如,ACH,信用卡,购买,丝等的点)将决定在交易将被沉积。

会计分录,记录付款的收据将直接链接到该机构的金融信息系统(FIS),只要有可能,以确保及时记录交易,并加快总分类账和银行账户的提示reconcilement。

定义

支付卡行业数据安全标准(PCI DSS)

由支付卡行业安全标准委员会和5个主要的信用卡品牌定义的安全要求:
•VISA,万事达,美国运通,发现,JCB

持卡人 有人谁拥有和使用会员卡,特别是信用卡的好处。

卡持有者数据(CHD) 这些都要求信用卡信息要素加以保护。这些元件包括主账号(PAN),持卡人姓名,到期日期和服务代码。

主账号(PAN) 的14或16位数字代码印在一个银行或信用卡上,并在卡的磁条进行编码。盘识别卡和帐户的发行方,并且包括一个校验码作为认证设备。

持卡人姓名 谁该卡已经发出持卡人的名字。

截止日期 在其上卡到期而不再有效日期。到期日期被压花,编码或印在卡上。

服务代码 服务代码,允许在卡被使用和什么。

敏感的验证数据 这还需要信用卡信息的附加元素被保护,但不会存储。这些包括磁条(即,磁道)数据,CAV2,CVC2,CID或CVV2数据和销/销块。

磁条(即,轨道)数据 数据在一个卡交易期间用于授权芯片上的磁条或等效数据编码。交易授权之后,机构可能不会保留完整的磁条数据。

CAV2,CVC2,CID或CVV2数据 印在或签名板的右或上的支付卡的面上的三或四数字值用于验证卡 - 不存在的交易。

销/销块 一个卡交易期间由持卡人输入的个人标识号,和/或加密的交易信息中销块存在。

处置 CHD必须以某种方式呈现所有数据不可恢复的处置。这包括纸质文件和任何电子介质,包括计算机,硬盘驱动器,磁带,USB存储设备。 (处置或再利用之前,计算机驱动器应按照(机构的)电子数据处理政策消毒)。经批准的处置方法是:
•横切粉碎,焚烧,粉碎批准或处置服务

商人部门 任何部门或单位(可以是一组主管部门或一个部门的一个子集)已批准(机构)接受信用卡和已分配的零售商识别号。

商人部门负责人(MDRP) 谁拥有主要权力和部门进行信用卡交易中的责任部门内的个人。

数据库 组织和维护,在各种不同的方式访问信息的结构化的电子格式。的数据库简单的例子是表或电子表格

程序/准则

支持文件

支持文件下面列出可根据要求提供。请与PCI委员会的更多细节。 [电子邮件保护]

•最佳实践
•年度商人调查
•部门办理附件
•支付卡设备检查日志
•员工名单和培训记录
•员工认证
•支付卡安全事故应急预案
•申请新的支付卡商户


详细了解该政策或配套程序,请联系 金融.

政策更新时间:倍频程24,2018