212支付卡信息安全要求

理由是: 365英国上市官网(大学)受规则约束, 规定, 以及有关支付卡和持卡人信息处理的合同条款, 这些术语的定义如下. 本政策规定了接受支付卡付款的大学部门(系)的强制性安全措施和程序.

政策: 各部门必须遵守以下安全措施和大学程序，以维护支付卡和持卡人信息的安全, 并确保大学仍然有资格接受支付卡付款. 如果不遵守规定，学校将受到严厉的处罚.

适用范围及适用性: 任何接受支付卡作为付款方式的部门都必须遵守政策212.

定义:     

持卡人资料环境: 这些设备, 系统, 应用程序, 以及在支付卡行业合规范围内的网络. 

持卡人信息: 持卡人姓名, 联系信息, 支付卡号码, 主帐号, 卡的有效期, 支付卡验证码, 支付卡交易信息, 或任何其他可用于个人识别支付卡帐户或持有人的信息.

媒体访问控制地址(MAC地址): 分配给网络接口控制器的唯一标识符，用于在网段的数据链路层进行通信.

付款卡: 信用卡, 借记卡, ATM卡, 以及除现金或支票以外的任何其他卡或设备, 由银行或信用合作社签发的，通常由个人出示用于付款的票据.

支付卡行业(PCI)合规性: 符合PCI安全标准委员会制定的标准.

支付卡系统: 任何计算或信息技术设备, 服务器, 台式电脑, 移动设备, 软件应用程序, 托管服务, 软件即服务(SaaS), 应用程序, 多功能设备, 或其他用于加工的系统或技术, 传输, 或储存持卡人资料.

支付卡验证码: 有时被称为CVV, CV2, 或CVV2代码, 验证码是印在支付卡背面签名线上的三位数字, 或位于某些支付卡正面的四位数字代码.

主账号: 支付卡上的卡标识符, 比如信用卡和借记卡, 还有储值卡, 礼品卡及其他类似卡. 在某些情况下，卡号被称为银行卡号.

程序:

1.  支付卡系统

大学技术服务(UTS)将定义, 文档, 及管理持卡人资料环境. 支付卡系统必须由UTS安装和验证. 支付卡系统必须由UTS安装和维护的防火墙保护. 在使用任何支付卡系统进行处理之前，UTS将执行完整的网络和系统审查，以验证持卡人信息的安全性, 传送或储存持卡人资料.  在对支付卡系统实施任何更改之前, UTS必须授权, 正式的文档, 计划并记录变更.

2.  通信

通过最终用户消息传递技术发送主帐号(i.e. 电子邮件、即时通讯、聊天等等.)是严格禁止的.  

所有通过公共网络传输的持卡人信息必须通过使用SSL或其他行业可接受的方法进行加密, 使用由UTS确定的最新标准.  

Remote access to a Payment Card System must be encrypted and secured by UTS; no other remote access is allowed.  

3.  设备管理

所有设备必须标明所有者、365英国上市官网和用途. 另外, 如果连接到网络，设备的MAC地址必须被记录并提供给UTS.  

所有的工作站, 资讯科技设备, 以及支付卡系统的所有其他组件必须安装杀毒软件, 当前的防病毒定义, 当前的操作系统和已安装的补丁. 本地防火墙, 强密码, 系统和网络日志, 并且必须启用密码保护的屏幕保护程序.

基于服务器的支付卡系统必须由UTS管理，并且必须遵守 行政政策880，系统管理.

学生商务服务部负责供应商/加工者的年度审查服务组织控制报告或类似的文件，以验证服务交付过程和组织的控制. 所有审查的结果都报告给UTS和财务主任办公室.

销售点设备必须由学生商业服务和UTS审查和批准.  设备购买、维护和安全更新将由学生业务服务部门管理. Devices will be purchased from the University’s 应用程序roved Payment Card processor whenever possible; if not possible, 学生商务服务部将确定一个经批准的替代方案.

支付卡行业安全标准委员会要求大学安全维护支付卡设备用于卡片交易(即, 在销售点刷卡(或刷卡):

•维护设备列表
•定期检查设备，查找篡改或替换
•检查设备清单以验证清单包括:
     o设备的制造、型号
     o设备的位置(例如，设备所在的场地或设施的地址)
     o设备序列号或其他唯一标识方法.

•从列表中选择设备样本并观察设备位置，以验证列表的准确性和最新性.

•培训员工注意可疑行为并报告篡改或替换设备的行为

•审查形成文件的程序，以确认流程的定义包括以下内容:
     o检查设备的程序(由学生业务服务部维护)
     o检查频率

各部门每月至少检查一次支付卡设备.  各学系须将检查结果记录在学生业务服务部提供的“刷屏终端机盘点表及篡改检查清单”上.  要求各部门将设备检查过程纳入其部门程序. 学生商务服务部将定期审查所有检查的结果. 

学生商务服务部负责对支付卡设备和相关文件程序进行年度审查. 所有审查的结果都报告给UTS和财务主任办公室.  

4.  支付卡处理 

部门需要有详细的付款卡处理程序，包括所有PCI合规性要求. 目前的要求可从学生商务服务处获得. 各部门必须每年向学生业务服务部门提交一份审查和更新的内部程序副本. 未每年提交更新程序的部门可能会被撤销其支付卡处理权限.

在人:

• 只有经过批准的员工才能处理支付卡交易.
• 各部门必须审核提交的实体支付卡，以满足以下要求:

• 保留刷卡机生成收据的商户签名副本，并将另一副本交回持卡人.
• 把收据的商业副本放在一个安全的地方, 在被带到大学的出纳处之前，只能进入有限的区域.
• 当实体卡存在时，部门不允许输入支付卡交易. 如果支付卡交易不能通过销售点设备处理, 要求使用其他付款方式或要求客户在网上付款(如适用).

如果您怀疑支付卡交易, 请联系语音授权中心，申请Code 10授权. 使用术语“代码10”允许您呼叫语音授权中心对交易提出质疑，而不会提醒持卡人.

为发现网络请求Code 10授权, 签证, 万事达卡, 或美国运通交易, 拨打语音授权标签上的电话号码(位于销售点设备上).

按照处理器给您的说明进行操作.

纸张格式或其他硬拷贝/邮寄:

• 必须尽量避免使用纸张格式或其他硬拷贝/邮寄方式获取持卡人资料.
• 所有收集持卡人信息的纸质格式和其他硬拷贝工具必须经过学生商务服务部的审查和批准.
• 持卡人的书面或其他硬拷贝资料必须存放在安全的地方, 在处理之前限制进入区域. 一旦付款被处理, 表格中包含持卡人资料的部分或其他硬拷贝必须在横切/碎纸机中安全地粉碎. 部门不需要保存持卡人资料的纸质副本.
• 把收据的商业副本放在一个安全的地方, 在被带到大学的出纳处之前，只能进入有限的区域.

传真:

• 在一般情况下, 处理大量支付卡交易的业务操作应规划不接受传真支付卡的业务流程.  为接受偶尔的传真支付卡而设计的业务流程必须事先经过学生业务服务部门的审查和批准.
• 传真机必须放置在公众不能进入的安全区域.
• Use of a multi-function printer / fax machine increases the PCI scope of the University; a plain paper, 建议拨号传真.
• 包含支付信息的传真必须立即分发给负责将信息输入经批准的刷卡设备或支付应用程序的个人.
• 包含持卡人信息的传真必须存放在安全的地方, 在处理之前限制进入区域. 一旦付款被处理, 表格中包含持卡人资料的部分或其他硬拷贝必须在横切/碎纸机中安全地粉碎. 部门不需要保存持卡人资料的纸质副本.
• 客户副本(连同已修订的持卡人资料)可传真, 邮寄, 或通过电子邮件发送给客户(可选).
• 把收据的商业副本放在一个安全的地方, 在被带到大学的出纳处之前，只能进入有限的区域.

电话:

• 在一般情况下, 处理大量支付卡的业务操作应该规划出不接受电话支付卡的业务流程. 通过电话接受临时支付卡的业务流程必须事先经过学生业务服务部门的审查和批准.
• 如需填写持卡人资料, 它应该在电话结束后立即处理.
• 一旦付款被处理, 表格中包含持卡人资料的部分或其他硬拷贝必须在横切/碎纸机中安全地粉碎. 部门不需要保存持卡人资料的纸质副本.
• 把收据的商业副本放在一个安全的地方, 在被带到大学的出纳处之前，只能进入有限的区域.
• 不接受通过语音信箱或电话留言的付款信息.

 电子邮件:

• 不接受电子邮件付款. 公开的通信系统，如电子邮件或聊天程序，对于任何持卡人信息的传输不被认为是安全的. 如果客户需要将他们的付款信息发送给部门, 应采取下列步骤:

1. 点击邮件上的“回复”
2. 从电子邮件的原始部分删除支付卡数据.
3. 在您的回复中，复制并粘贴以下内容
   1. “谢谢您与(插入部门或姓名). 感谢您的光临, 但是，作为我们遵守支付卡数据安全标准的一部分，以及我们保护所有客户个人身份信息的做法, 我们无法处理您通过邮件发送的付款. 我们要求您使用以下批准的付款方式之一:
      • 网上- www.xxxxxxxxxx.edu
      • 邮件-邮寄地址
      • 电话- xxx-xxx-xxxx
      • 传真- xxx-xxx-xxxx
   2. 然后立即删除原始邮件并清空垃圾箱.

5.  贮存及处置

1. 银行法规要求，自交易发生之日起，支付卡交易收据的正本或清晰的副本须保存18个月. 销售单据/收据必须与部门的日常押金一起交给大学的出纳办公室，以便妥善保管和使用横切/碎纸机处理.
2. 持卡人资料不得储存于任何持卡人资料环境或任何支付卡系统.
3. 存储从支付卡磁条的任何轨道的全部内容, 是否在支付卡背面, 用芯片或其他方式, 是严格禁止的.
4. 进入用于加工的区域, 传送或储存持卡人资料，必须仅限于获授权的大学人员在需要知道的基础上. 必须使用身份证、办公室钥匙或类似的安全设备来限制进入.
   1. 便携式销售点设备(包括终端、密码板等.)不使用时，必须放在上锁的柜内、上锁的抽屉或保险箱内.
   2. 收银机不使用时必须用密码屏锁保护.
   3. 如果大学员工不在工作站上，所有支付卡信息和持卡人信息必须从大学员工的工作区域删除.
5. 各部门的销售点设备必须每天结算，结算后清理.
6. 需要处理支付卡系统的部门必须在进行之前通知学生商业服务和UTS. 支付卡系统的处理必须通过大学物业管理部门进行，并且必须附有计算机释放表格，该表格可以在物业管理网站上找到.  该版本必须符合管理策略#880, 系统管理职责和支付卡系统必须格式化和清理，使任何残留的数据, 持卡人信息, 或者无法检索软件应用程序.

6.  公开展示 & 信息披露

当显示任何其他持卡人信息时，除最后四位数字外，支付卡账号的所有数字都必须被屏蔽或涂黑.

持卡人的资料不应在除持卡人以外的任何人面前口头重复.

所有持卡人信息必须限制和/或阻止第三方客户和其他人在不需要知道的情况下看到. 眩光屏或类似设备可用于限制或阻挡他人的视线.

7.  访问

对有权限处理的员工进行背景调查, 传输或储存持卡人资料时，将按照 行政政策725，填补空缺(不包括学术职位).

具有处理权限的员工, 发送或存储持卡人信息的客户必须参加并确认有关本政策和政策210现金收据的年度培训. 学生商务服务部负责提供培训并记录出勤情况.  不参加年度培训的部门可能会被取消其支付卡处理权限.

访问支付卡系统必须受到安全登录和密码的保护, 而且必须仅限于那些需要了解的人. 接受支付卡电子支付的部门也必须遵守 行政政策860，信息安全. 部门接受支付卡付款的授权必须在流程创建之前从学生业务服务处获得.

雇佣终止后，必须立即禁止员工访问.

访问提供给任何个人谁不是大学的员工, 比如承包商或临时雇员, 必须由学生商务服务中心和UTS.

供应商访问必须仅在需要期间启用，并在服务完成后立即禁用.

集团, 对支付卡系统或持卡人信息的共享或通用访问是严格禁止的.

在与外部机构共享持卡人信息之前, 或与供应商签订处理支付卡交易的安排, 书面协议必须由学生商务服务中心和悉尼科技大学事先审查和批准.

8.  安全事故

向未经授权的第三方发布或暴露持卡人信息, 或未经授权访问支付卡系统必须向UTS报告, 学生业务服务和财务总监办公室. 报告和应急响应将根据《365英国上市官网》中关于保密数据的规定进行处理.

9.  PCI(支付卡行业合规)

大学参与并遵守由世界卫生组织制定的标准 PCI安全标准委员会  这需要每年对大学在PCI合规标准下的运作进行验证. 各院系必须通过及时提供学生商务服务和悉尼科技大学要求的准确信息来促进验证过程.

PCI安全标准委员会还要求大学的支付应用程序提供商每年证明支付应用程序符合某些数据安全的行业标准(支付应用程序数据安全标准)。.

在系统被批准或更新之前，365英国上市官网要求供应商和处理器提供实际的PCI合规性证书. 学生商务服务部负责保持与PCI合规性和支付应用数据安全标准相关的合规性证书的批准和续订. 学生商业服务部负责PCI安全标准委员会网站的年度审查，以确保供应商/处理器每年重新认证.

10.  支付卡处理机商户操作指南

大学必须遵守大学内部制定的政策和做法 商户操作指南 由大学的付款处理程序提供，可在出纳处网站上找到 奥克兰.edu/cashiers.

关于遵守本行政政策212的任何问题应直接向学生商业服务或UTS.

相关政策及表格:
OU美联社&P #210现金收据

OU美联社&p# 860信息安全

OU美联社&系统管理职责

收银处网页