支付卡接受,安全性,合规性和治理(S-1)

标准:S-1
负责人:首席财务官兼司库
负责办公室:库务办公室
发行日期:2013年12月13日
修订日期:2020年9月18日

目录

联络人
本标准影响的个人和实体
标准声明
职责范围
定义 (定义的术语在整个文档中均用大写字母表示)
相关文件,表格和工具
历史和更新
附录A

联系方式

澄清标准

职务/办公室

电话

电子邮件/网页

库务署

765-494-9783

[email protected]

业务程序,新商户和流程变更

职务/办公室

电话

电子邮件/网页

库务署

765-494-9783

[email protected]

IT程序以及软件/硬件的更改或更新

职务/办公室

电话

电子邮件/网页

Purdue系统安全

765-494-2751

[email protected]

已知或怀疑的安全事件

职务/办公室

电话

电子邮件/网页

  • 库务署
  • Purdue系统安全
  • 765-494-9783
  • 765-494-2751

受此标准影响的个人和实体

代表大学行事的所有个人,部门,单位,实体,校园和其他第三方服务提供商,当前或正在寻求,处理,收集,维护,可以(直接或间接)访问或可能以其他方式影响安全性的人员的 持卡人数据环境(CDE)中的持卡人数据(CHD)和/或相关系统或应用程序。 

标准声明

在任何人,部门,单位,实体,校园或第三方服务提供者可以代表大学接受付款卡作为付款方式之前,必须先获得美国资金运营办公室(OTO)的批准。

在购买任何软件或硬件或与第三方服务提供商接触和/或订立任何可能有助于接受支付卡作为付款方式的合同之前,还需要获得OTO的批准。必要的商家帐户必须由OTO建立。只有能够证明符合支付卡行业数据安全标准(PCI DSS)和该标准的个人和实体,才会被授予商家帐户。 

大学已与一家独家战略合作伙伴进行合作,以提供安全的电子商务解决方案,以接受付款卡作为付款方式。在通过任何其他第三方服务提供商和/或解决方案参与之前,高级副总裁和助理财务主管必须通过OTO逐案审查和批准通过这种战略伙伴关系无法满足的,需要替代解决方案的付款接受需求。 。所有第三方服务提供商必须在与任何大学商人合作之前证明其PCI合规性,并且必须根据要求随时提供适当的文档。  获准接受支付卡的商户将接受年度合规性审查,因此必须执行安全的流程,遵守由PCI安全标准委员会发布和维护的所有适用的PCI DSS要求(有关标准的概述,请参阅附录A),以及保持与该标准相关的业务和IT程序中所述的最佳业务实践。

使用支付卡以违反此标准的方式进行交易的商家会受到各种经济处罚和制裁。其中可能包括终止商户帐户,与安全漏洞相关的财务罚款和费用,以及与将不符合要求的应用程序纳入范围相关的罚款和费用。  

任何确认的或怀疑的CDE破坏都必须通过电子邮件立即报告给IT Purdue系统安全和财政部办公室 [email protected]。此外, 事故报告表 必须完成。请参阅 支付卡数据事件的响应程序 有关其他信息。

责任

副校长

  • 确保符合此标准。

招商

  • 在寻求批准成为商家并接受付款卡作为付款方式之前,请仔细阅读以下要求: 成为商家,包括有关商家费用的信息, 确保可以履行所有商户责任,并了解所有费用和 费用 与接受付款卡相关联。
  • 实施此标准以及相关的业务和IT程序。
  • 确保对支付卡数据的访问仅限于那些需要履行其职务职责的员工。
  • 确保所有负有支付卡职责的员工在租用时以及以后每年进行一次完整的支付卡意识培训。
  • 完成年度自我评估问卷。
  • 参与年度合规调查。
  • 更改商户环境时,请遵循既定的业务程序(即,接受付款卡的新目的,新的Web应用程序等)。
  • 根据报告立即报告任何确认或怀疑的事件 支付卡数据事件的响应程序.

库务署

  • 审核要接受支付卡的部门/部门的批准请求。
  • 建立适用的商家帐户。
  • 保持相关的业务程序,并至少每年一次评估每个商户对程序的合规性。
  • 根据需要向采购银行/处理者提供合规报告。
  • 提供支付卡接受培训。
  • 与IT安全和策略合作,检查所有服务的合同协议,包括接受支付卡。
  • 评估并批准用于接受/处理支付卡的新销售点设备。
  • 向不符合PCI DSS要求的任何商家发出停止和停止使用支付卡收款的命令。
  • 响应已确认或怀疑的事件的报告 支付卡数据事件的响应程序.
  • 紧跟行业和PCI标准的变化。

IT Purdue系统安全

  • 建立相关的技术标准。
  • 进行合规性验证和评估服务。
  • 协调技术监督,以确保现有应用程序及其相关硬件的新实现和更改符合当前适用的PCI DSS要求。
  • 与库务署合作审查所有有助于接受支付卡的服务的合同协议。
  • 至少每季度或在环境变化时进行一次评估,以评估风险并确定系统范围的漏洞。
  • 响应报告的可疑或发现事件 支付卡数据事件的响应程序.
  • 紧跟行业和PCI标准的变化。

采购服务

  • 与财政部运营和Purdue系统安全办公室合作,确保第三方服务提供商的RFP / RFI和与之签订的合同包括必要的语言,以便通过支付卡接受付款。

定义

所有定义的术语在整个文档中均以大写字母表示。指中央 政策词汇 对于其他定义的术语。

收购银行/处理商
已订立合约安排以处理大学付款卡的金融机构也称为商户银行。

持卡人数据环境(CDE)
存储,处理和/或传输持卡人数据或敏感身份验证数据的人员,过程和技术。 CDE还包括直接连接,支持或可能以其他方式影响此环境安全性的任何组件。

商户
代表大学行事的所有个人,部门,单位,实体校园和第三方服务提供商,都接受带有PCI SSC五个成员(美国运通,Discover,JCB,MasterCard或Visa)五个成员中的任何一个的徽标的支付卡。商品和/或服务的付款方式。 

商家帐户
与收单行/处理方建立的唯一帐户,使部门或部门能够处理和结算有关商品,服务或捐赠的支付卡交易。

支付卡
带有卡协会品牌徽标的信用卡,借记卡和某些礼品/储值卡,包括但不限于Visa,MasterCard,Discover或American Express。

支付卡数据
付款卡数据也称为持卡人数据(CHD),是指客户的付款卡中包含的任何信息。数据打印在卡的任一侧,也可以数字格式包含在卡背面的磁条中。一些支付卡将数据存储在正面嵌入的芯片中。支付卡数据至少包括主帐号(PAN),持卡人姓名,有效期和/或服务代码。

PCI DSS(支付卡行业数据安全标准)
由主要发卡机构共同制定的安全标准,所有接受支付卡的商家都必须采用该安全标准。由支付卡行业安全标准委员会更新的标准旨在保护持卡人信息免遭欺诈。 将CDE或付款业务外包给第三方服务提供商的组织有责任确保帐户数据受适用的PCI DSS要求的第三方保护。

第三方服务提供商
非支付品牌的业务实体,但代表另一个实体直接参与处理,存储或传输支付卡数据。这也包括提供控制或可能影响支付卡数据和/或CDE安全性的服务的公司。

相关文件,表格和工具

本标准的发布是为了支持有关 信息安全与隐私(VII.B.8)信息技术资源和信息资产的可接受使用(VII.A.4),经修改或取代。

其他相关信息:

历史与更新

2020年9月18日:收紧了《政策声明》中的语言,以阐明批准要求和监督。将IT Purdue系统安全部门执行的风险评估更改为季度而非年度。添加了针对持卡人数据环境(CDE)和第三方服务提供商的定义。更新了商家,支付卡数据和PCI DSS的定义。

2019年12月10日:更新了``联系人''部分,并在整个过程中提供了指向事件响应程序的超链接。

2019年9月30日:对标准进行了审查和验证。 

2018年12月1日:审查并验证标准。在整个过程中,更改了负责人员并更新了事件报告表的超链接。对标准和责任声明部分中的措词进行了较小的更新。 

2017年12月1日:审查并验证了标准。相关文档,表格和工具部分已更新。 IT安全和策略职责已更新。 

2016年11月16日:对标准进行了审核和验证。 负责人变更为高级副总裁兼助理财务主管。

2015年9月29日:更新了“联系人”部分,更新了标准声明中的报告要求和对新程序的引用,更新了与新程序一致的职责,更新了相关文档,工具和表格部分,并更新了附录A以符合PCI DSS标准。

2014年4月21日:其他联系人已添加到“联系人”部分。该标准取代了其同名的临时版本。

2013年12月13日:这是解决此问题的第一个此类标准。

附录A

PCI DSS标准分为以下涵盖12个要求的大类:

建立和维护安全的网络和系统

  1. 安装并维护防火墙配置以保护持卡人数据
  2. 不要将供应商提供的默认值用于系统密码和其他安全参数

保护持卡人数据

  1. 保护存储的持卡人数据
  2. 加密持卡人数据在开放的公共网络中的传输

维护漏洞管理程序

  1. 保护所有系统免受恶意软件的侵害,并定期更新防病毒软件或程序
  2. 开发和维护安全的系统和应用程序

实施强有力的访问控制措施

  1. 根据业务需要限制对持卡人数据的访问
  2. 识别并验证对系统组件的访问
  3. 限制对持卡人数据的物理访问

定期监视和测试网络

  1. 跟踪和监视对网络资源和持卡人数据的所有访问
  2. 定期测试安全系统和流程

维护信息安全政策

  1. 维护一项针对所有人员的信息安全性的政策

普渡大学(Purdue University),普渡购物中心(Purdue Mall)610,西拉斐特,印第安纳州47907,(765)494-4600

©2017普渡大学 | 机会均等/机会均等的大学 | 版权投诉 | 由大学政策室维护

此页面有问题吗?残疾相关 可及性 问题?请通过以下方式与大学政策办公室联系 政策@ purdue.edu.