简介
足球比赛结果接受信用卡,以提供便捷的业务处理方式 会议注册、购买课程材料等交易,或 在校园餐饮设施购买餐食。必须处理信用卡 符合支付卡行业数据安全标准 (PCI DSS) 要求。 本文件的目的是建立接受、处理、 存储或传输持卡人数据以确保 PCI DSS 合规性。
指南
- 持卡人数据的用户权限分配应基于个人工作 分类和功能。履行工作职责所需的最少访问权限 是被授予的。
- 任何需要访问存储的持卡人数据的职位都会被考虑 安全敏感。各部门将对潜在的潜在客户进行适用的背景调查 有权访问系统、网络或持卡人数据的员工。
- 参与信用卡处理、传输或存储的人员必须参加 每年进行卡安全培训。
- 任何处理信用卡信息的人都必须同意不披露或获取 有关持卡人信用卡账户的任何信息,但不包含持卡人的信息 同意。员工必须签名并确认他们已阅读并理解大学 以及部门支付卡数据安全政策和程序。
- 敏感持卡人数据(完整帐号、卡类型、有效期、PIN 码和卡验证 代码(印在卡正面或背面的三位数或四位数值)是 不以任何方式存储。
- 信用卡号绝不应存储在个人计算机上。
- 电子邮件、不安全的传真或校园邮件不得用于传输信用卡 数字。
- 包含持卡人数据的所有记录,包括纸张和纸张的物理安全性 电子媒体(包括计算机、可移动电子媒体、收据、报告、 传真等)应处于安全的环境中。安全环境包括锁定 抽屉和保险箱,只有正在处理的个人才能有限地进入 信用卡交易。各部门必须对媒体进行清查 维护所有纸质和电子媒体的库存日志和审计跟踪。
- 任何纸质格式的持卡人信息(记录、写下或存储持卡人 信息)应保持在最低限度。尽快进行处理 信用卡号码的最后四位数字立即被涂黑。在 此外,任何敏感的持卡人数据都应被屏蔽。
- 存储的信用卡信息和商户收据将根据 各自的校园数据保留政策(不超过 18 个月),只要 有商业、法律和/或监管目的。
- 各部门将就影响交易的任何技术变化通知 IT 部门 处理。
- 网络漏洞扫描应在涉及的计算机上执行 至少每季度以及在任何重大事件发生后处理信用卡/借记卡 网络发生变化。
信用卡处理程序
在 IT 的帮助下,处理、存储或传输持卡人的各个部门 数据,必须完成年度自我评估调查问卷,以确保 PCI DSS 合规性。 具体要求请访问。如果您有任何疑问,请致电 487-1111 或发送电子邮件联系 IT 帮助it-help@mtu.edu.
文档结束。
修订版 2016 年 9 月 20 日