1. 首页
  2. 部门
  3. 信息安全
  4. 政策
  5. II 4a PCI DSS技术标准

II-4a PCI-DSS技术标准

批准日期:2019年4月11日
生效日期:2019年4月11日
负责人:首席信息安全官
负责办公室:[U]科技信息安全办公室
修订历史:版本1.1; dated July 22, 2019
Related legislation 而且 University policies:

审查期限:5年 
最近覆检日期:2019年7月22日
相关人群:员工,在校商户

目的

技术控制是PCI- dss(称为PCI)遵从性框架的组成部分. 4008云顶网站登录-apple app store打算通过两种方式保持对PCI的遵从性. 第一个, 通过限制PCI数据可能驻留或传输的允许网络的范围, 和第二, 在允许的情况下,确保对所有支付过程进行充分的技术控制. 需要应用基于PCI的工作流程的大学业务部门应确保其产品或服务提供商在申请运营符合PCI标准的服务时解决这些技术控制.

大学财务主管对PCI处理的批准将取决于遵守这些标准中的一个或多个(如适用).

范围

本标准适用于大学校园内所有与4008云顶网站登录-apple app store相关的打算使用支付卡技术的商户活动.

标准

所需的技术控制根据付款方式和与大学的供应商关系分为四类.

卡片Present -大学商人

这个类别是针对大学办公室的, 部门, 或者是接受信用卡面对面交易的学校. 在以下任何情况下,卡片处理都符合本政策:

  • 卡被刷上, 插入, 或者点击与认证P2PE银行或提供商合作的认证点对点加密(P2PE)设备. 这种类型的设备可以连接到任何网络,包括校园有线或无线网络.
  • 卡被刷上, 插入, 或者在未经认证的加密设备上使用服务提供商,该服务提供商证明他们的解决方案符合PCI标准. 这种类型的设备只能与外部网络连接一起使用, 比如蜂窝数据连接, 一个物理上与4008云顶网站登录-apple app store网络不同的专用互联网连接, 或者位于路由器后面,路由器会创建一个加密的虚拟专用网(VPN)连接到校外服务.
  • 该卡是在连接到模拟电话线的传统设备上刷卡的.
  • 本部门P2PE设备已由司库办公室进行盘点和认证.

不遵守的例子:

  • 在校园网中使用非p2pe设备.
  • 大学员工或代表直接在网页上输入信用卡号码

的文档 当前的 设备和服务的证明必须提交给司库办公室. 过期后需要更新证书.

名片不带-大学商人

这个类别是针对大学办公室的, 部门, 或者接受电话或邮件卡支付的学校. 在以下任何情况下,卡片处理都符合本政策:

  • 卡号直接在与认证P2PE银行或提供商合作的认证P2PE设备上输入. 这种类型的设备可以连接到任何网络,包括校园有线或无线网络.
  • 卡号直接在未经认证的加密设备上输入,由服务提供商认证其解决方案符合PCI标准. 这种类型的设备只能与外部网络连接一起使用, 比如蜂窝数据连接, 一个物理上与4008云顶网站登录-apple app store网络不同的专用互联网连接, 或者是在路由器后面创建一个加密的VPN连接到校外服务.
  • 卡号直接在连接到模拟电话线的传统设备上输入.
  • 使用sred认证的受保护交易键盘将卡号输入安全网站.

不遵守的例子:

  • 在校园网中使用非p2pe设备.
  • 大学员工或代表直接在网页上输入信用卡号码.
  • 通过电子邮件接受信用卡信息.
  • 以任何方式存储3位或4位安全代码.

的文档 当前的 设备和服务的证明必须提交给司库办公室. 过期后需要更新证书.

网上-大学商人

这个类别是针对大学办公室的, 部门, 或者在非cwru网站上接受信用卡支付的学校,客户可以自己输入支付信息. 在以下任何情况下,卡片处理都符合本政策:

  • 该网站完全由外部服务提供商托管,该服务提供商认证他们的网站 而且 他们的处理器服务是PCI兼容的.
  • 整个支付过程由授权的第三方服务处理,4008云顶网站登录-apple app store已经为其记录了PCI合规性(i.e. quickpay、PayPal)和原始网站无法访问任何持卡人数据.

不遵守的例子:

  • 接受或处理任何非加密信用卡信息的非pci站点或服务.
  • 直接在位于校园网络或由大学办公室控制的服务器上接受任何信用卡信息, 系系或学校.

的文档 当前的 场地和服务的证明必须提交给司库办公室. 过期后需要更新证书.

合作伙伴的商人

确保采取所有可能的措施保护学生, 教师, 工作人员, 以及客户个人数据, 所有面对面和电子商务处理必须符合当前PCI数据安全标准. 4008云顶网站登录-apple app store建议供应商遵循与大学商家相同的指导方针. 供应商必须提供一份声明,承认他们符合当前的PCI标准,并应继续提供每年可能需要的任何PCI认证文件.

定义:

商户-通过信用卡收集资金的实体,与提供信用卡处理服务的银行或服务机构有直接关系

大学商人—大学办公室, 程序, 部门, 或者学校的名字出现在买家的信用卡账单上

合作商家-在校园或与大学在线密切合作的商家, 但这所大学的名字不会出现在信用卡对账单上

卡片礼物-面对面购买,在销售时使用实体卡片, 卡片就插进去了, 利用, 或者在终端上刷卡, 顾客或者收银员都可以

卡不在场-通过客户提供卡号间接进行的购买, 过期日期和安全码给商家代表, 通常是通过电话或邮件

在线-客户提供卡号后进行的购买, 截止日期, 并通过网页向商家或处理服务提供安全码

标准检讨周期

本标准至少每两年在修订日的周年纪念日进行一次评审. 根据风险暴露的变化,可以更频繁地审查该标准.

参考文献

II-4符合PCI-DSS标准