安全与保证

足球比赛结果 信用卡受理和处理程序

简介

足球比赛结果接受信用卡支付多种商品和服务费用。信用 卡支付的处理必须符合支付卡行业数据安全标准 标准 (PCI DSS) 要求,旨在限制暴露和/或盗窃 个人持卡人信息。

足球比赛结果必须遵守这些标准,才能保持我们接受的能力 信用卡付款。部门不遵守批准的保护、储存、 处理,行政程序将失去处理信用的特权 卡片。此外,从事信用卡处理的各个部门可能会被 负责因内部控制不善或不充分而造成的任何财务损失,或 疏忽/疏忽遵守 PCI 标准。

目的

此程序的目的是建立和定义收集、 存储、处理和传输信用卡数据,以确保适当的控制和 数据完整性以及促进遵守 PCI DSS 要求。这些 标准旨在协助足球比赛结果保护持卡人信息, 这反过来又减少了安全漏洞、欺诈和潜在财务风险的可能性 损失。

范围

此程序适用于所有大学员工、教职员工、学生、承包商、 来宾、顾问、临时雇员以及任何其他接受捐赠的用户 或销售商品、服务或信息,并接受信用卡作为付款方式。

用于处理支付卡数据的所有计算机和电子设备均受到监管 通过 PCI DSS。这包括存储支付卡号的服务器、 用于输入支付卡信息以及计算机或信用卡刷卡设备 通过它可以传输支付卡信息。

定义

  • 支付卡行业数据安全标准 (PCIDSS)是支付卡行业制定的全球信息安全标准 安全标准委员会 (PCI SSC)。该标准的创建是为了帮助组织 处理卡支付通过加强控制来防止信用卡欺诈 数据及其面临的泄露风险。该标准适用于所有符合以下条件的组织 保存、处理或传递持卡人信息。
  • 持卡人数据是与持卡人相关的任何个人身份数据。例子包括 但不限于:帐号、有效期、卡类型、姓名、地址、 社会安全号码和卡验证码(例如三位数或四位数 印在支付卡正面或背面的数值(称为 CVV2 或 CVC2)。
  • 商户 ID (MID)是一个唯一的编号,用于标识每个部门以用于会计目的。
  • 销售点 (POS)是计算机或信用卡终端,可以作为独立系统运行,也可以 连接到大学或远程场外位置的服务器。
  • 电子商务当交易的授权和结算通过 通过互联网的计算机。通常情况下,该卡不存在并且客户在 相对于商家来说是异地的。

部门职责

各部门有责任了解并遵守 PCI DSS 和大学 保护信用卡和其他个人身份信息或敏感信息的政策。 各部门还必须遵循既定程序,确保持卡人信息 安全处理和存储。

这适用于所有交易,无论交易类型如何(电话、面对面、 邮件、网络等)。

建立支付卡服务

任何希望接受信用卡购买商品或服务的大学部门必须 首先联系它-信息技术(IT)将与各部门合作确定 最适合该部门信用卡处理需求的解决方案。

选择解决方案后,IT 部门将向会计部门请求 MID。为了 接受信用卡付款,部门必须首先拥有 MID。

所有涉及信用卡信息转移的交易都必须执行 经 IT 部门批准的系统,并将包括合规性和安全审查。批准 必须在签订任何合同或购买软件之前获得,并且 或与信用卡处理相关的设备。无论何种情况,此要求均适用 所用技术的过渡方法。

商家不得建立自己的银行关系来处理支付卡。 支付卡收入必须存入指定的大学银行账户。贝宝 帐户不是大学批准的银行帐户。

大学有多种接受信用卡的批准方法,包括电子商务、 亲自通过基于网络的虚拟终端或通过连接的销售点 (POS) 终端 到互联网。

电子商务交易

TouchNet 是大学的主要信用卡处理应用程序 尽可能用于所有信用卡交易。此类交易 当客户购买产品、注册参加活动或进行捐赠时开始, 通过支付应用网站等。在这种情况下,客户不 出售。

TouchNet 提供了多种经过配置以满足 PCI 数据 安全标准。 IT 将与各部门合作确定适当的解决方案。

销售点交易

某些部门可能拥有专门的软件或销售点 (POS) 系统 处理信用卡。付款可以在持卡人在场的情况下进行,或者 持卡人未按照部门业务通过邮件、电话或传真订单出席 运营需求。当客户购买商品时,信用卡交易流程就开始了 产品及其卡被刷卡或输入销售点系统。

纸质卡和信用卡终端交易

由于 符合 PCI DSS 要求所需的工作量。在可能的情况下,使用 实体信用卡终端也已被逐步淘汰。两个过程均已 取而代之的是虚拟收银站,这是一种基于网络的支付形式,使各部门能够 接受所有主要信用卡的电话、传真和邮件付款。功能性 与独立的信用卡处理终端相同,但安全性更高 已启用功能。

处理交易

有关处理和调节的具体细节取决于方法 信用卡接受情况和商户账户类型。详细说明将 商户账户建立时提供。仅授权个人 可以处理信用卡交易。

刷卡

如果存在信用卡,则可能会被刷卡。这种方法一般是最少的 价格昂贵,并且无需手动输入信用卡号。

手动按键输入

如果没有信用卡,则可以手动输入信用卡信息。 需要手动输入的信息是信用卡号、有效期 日期、收费金额、CVV 代码和帐单邮政编码。 CVV 和计费 邮政编码将确保较低的交易处理率。

每日结算

系统必须每天关闭并与日常活动保持一致,以确保所有 交易是正确的。每日批量结算报告是在以下情况下生成的: 系统每天关闭。银行对任何交易收取较高的手续费 不是每天都结算的。

持卡人信息的安全

持卡人信息可通过持卡人在场(信用卡 出示卡)或通过传输持卡人信息(电话、互联网等)。 所有有权接受信用卡付款的个人都必须安全地处理、存储 并处理信用卡数据以遵守支付卡行业 (PCI) 数据安全标准 (DSS)。

必须屏蔽信用卡号,以保护除 那些有合法业务需求的人。前六位或后四位数字是 允许显示的最大数量。

如果在执行交易时记下任何卡信息,该信息 交易完成后必须粉碎。如果信用卡信息 获取并记录以供将来使用(例如:部分付款的定期计费), 信息必须受到保护,未经授权的个人不得访问(安全、 上锁的文件柜等),以及其他 PCI 要求,例如日志记录和 对数据访问的审核。信息一旦使用,应妥善销毁。

不允许通过电子邮件、无线方式传输或获取信用卡信息 设备、PDA、即时消息、聊天应用程序或其他不安全的方法,除非 IT 部门另行批准的。如果收到包含持卡人数据的电子邮件,请立即 删除电子邮件并通知发件人大学不接受持卡人 通过电子邮件发送数据,且交易不会被处理。在响应中,给出 客户发送卡信息的替代方法列表(邮寄、 电话或安全传真)。如果您回复原始电子邮件,请确保删除任何内容 发送消息前先获取卡信息。另外,请务必删除该消息 您的电子邮件收件箱、发件箱和删除箱。

报告任何可疑的持卡人数据泄露(向未经授权的各方)或丢失 立即联系 IT。这包括丢失或被盗的信用卡号码、电子文件 数据丢失、数据库感染病毒以及任何其他损失或潜在损失。

如需更多参考,请参阅信用卡处理指南。

如果您有任何疑问,请致电 IT 帮助:487-1111 或发送电子邮件至-help@mtu.edu.

文档结束。

修订版 2016 年 9 月 20 日