跳至主要内容 跳至网站实用程序导航 跳至主网站导航 跳至网站搜索 跳至页脚
登录
隐藏菜单
菜单

银河yh533388行业合规政策

参考号。没有。 执行赞助商 政策管家 审批权限 首次批准 上次审核 生效日期 下一条评论
62.31 大学服务和战略副总裁 首席财务官 执行委员会 十一月2016 年 22 日 2024 年 4 月 2024 年 5 月 9 日 2029
  1. 用途
    1. 本政策的目的是制定信用卡付款处理指南,以确保遵守银河yh533388行业数据安全标准 (PCI-DSS)。
    2. PCI-DSS 定义了传输、处理和存储信用卡信息的安全要求。遵守这些标准将合理保证 NSCC 在处理信用卡付款期间收到的敏感银河yh533388数据受到最大程度的保护。
  1. 范围
    1. 本政策适用于所有参与接受或处理信用卡付款的 NSCC 员工,并涉及 NSCC 处理的所有信用卡交易。
  1. 定义
术语 定义
银河yh533388数据 可能被泄露的信用卡信息,包括与以下任何一项一起使用的主帐号:到期日期、银河yh533388姓名或卡验证值代码。
银河yh533388数据环境 (CDE) 存储、处理或传输银河yh533388数据或敏感身份验证数据的人员、流程和技术。
卡验证值 (CVV) 通常位于信用卡背面的 3 或 4 位数代码。对于美国运通卡,该代码是打印在信用卡正面卡号上方的 4 位无凸纹数字。该代码用于协助验证信用卡的合法性。
商家服务提供商
提供销售点 (POS) 终端租赁和信用卡/借记卡处理服务,以促进银河yh533388交易的处理和结算。
银河yh533388行业 (PCI) 主要信用卡提供商成立的安全委员会
银河yh533388行业数据安全标准 (PCI-DSS) PCI 安全标准委员会制定的标准。这些标准管理信用卡信息的传输、处理和存储,以确保防止欺诈和未经授权的访问。
销售点 (POS) 终端 用于处理借记卡和贷记卡交易。
主帐号 (PAN) 位于信用卡正面的 14 或 16 位数字代码。该号码用于识别个人帐户持有人。
质量保证 (QA) 记录系统 任何使用音频或语音记录(通常在呼叫中心)作为评估所提供服务质量的手段的系统。
质量安全评估员 (QSA) 经 PCI 安全标准委员会认证,可以进行审核以确定组织对 PCI-DSS 的合规程度。
  1. 政策
    1. 付款渠道
      NSCC 可以通过电话、邮件、当面或在线方式接受信用卡付款。
      1. 当面付款、邮件和电话付款
        1. 通过邮件、电话或面对面交易手动记录的银河yh533388数据只能在商业目的所需的时间内保留。保留银河yh533388数据时,必须将其存储在锁定区域,只有有权处理信用卡交易的工作人员才能访问该区域。
        2. 不允许在面对面交易期间手动记录银河yh533388数据,除非提交付款时销售点终端不可用。只要有可能,当客户在场时,必须使用芯片卡(如果有)使用销售点终端完成信用卡付款。
      2. 在线付款
        所有在线付款都必须使用经金融服务总监批准的符合 PCI 规定的第三方服务提供商进行处理。
      3. 不可接受的付款渠道
        1. 电子邮件付款
          如果通过电子邮件收到付款信息,NSCC 必须:
          1. 通知发件人,只有通过可接受的付款渠道提交付款后,才会处理付款。在发送电子邮件回复之前,必须删除所有银河yh533388数据。
          2. 根据银河yh533388行业合规程序中概述的准则删除电子邮件。
        2. 传真付款
          如果通过传真收到信息,NSCC 必须通知发件人,在通过可接受的付款渠道提交之前,不会处理付款。
    2. 存储限制和保留限制
      1. 任何手动记录的银河yh533388数据(包含银河yh533388的信用卡号、有效期和 CVV 代码)必须在信用卡付款处理完毕后立即销毁或放入指定的保密销毁容器中。处理银河yh533388数据时,仅编辑银河yh533388数据是不够的。
      2. 银河yh533388数据不会以任何格式以电子方式存储在本地计算机、服务器、平板电脑、智能手机或任何可移动存储设备(例如 USB 密钥、CD 或 DVD)上。这包括 Excel 和 Word 文件。
      3. 交易授权后,在任何情况下都不得存储 CVV 代码。已记录 CVV 代码的纸质文件必须在付款处理后立即粉碎或放入指定的机密粉碎容器中。
      4. 多功能机必须由供应商设置,以确保传真信息不会随时保留在内存中。供应商必须提供一封信函,证明已在所有 NSCC 多功能机上完成此设置。
      5. 语音邮件中不得包含银河yh533388数据。
      6. 使用 QA 记录系统时不得记录银河yh533388数据。如果正在使用 QA 记录系统,则每当讨论银河yh533388数据时都必须暂停记录。
    3. 银河yh533388数据的分发和传输
      1. 包含信用卡信息的文件不得通过跨部门邮件在校园之间或同一地点的部门之间发送。
      2. 通过邮件、当面或电话收到的信用卡付款必须由接收付款信息的校园和/或中心办公室部门处理。任何需要发送到不同校区或部门的相关文件不得包含任何信用卡信息。
      3. 发送至 Central Finance 的退款请求不得包含任何银河yh533388数据。
        1. 退款请求应发送至 Central Finance,并注明退款将退至信用卡。
        2. 中央财务将通过电话联系发起校园或中央办公室部门,获取处理退款所需的信用卡信息。
      4. 不得使用复印机或多功能设备复印或扫描信用卡信息。
    4. 培训和意识计划
      工作职责包括接受、存储、传输和/或处理信用卡交易的员工必须每年完成在线 PCI DSS 培训。  将保留培训记录以供审计之用。
    5. PCI 认证
      NSCC 将接受合格安全评估员 (QSA) 的审核,以便根据首席财务官和首席信息官确定的要求获得所需的 PCI-DSS 合规性认证。 
    6. 政策审核
      该政策将每年进行一次审核,以确保其在满足 PCI-DSS 要求方面持续有效。将根据需要进行更新,以反映 PCI 标准的所有更改或银河yh533388数据环境 (CDE) 的更改。
  1. 政策支持

银河yh533388行业合规程序(需要登录)

顶部