政策

这项政策适用于所有人, 教师, 以及赌博正规的十大网站的员工，他们处理和管理与持卡人数据处理相关的技术，或监督有权访问与持卡人信息相关的认证数据的员工. 这意味着该机构的PCI范围将包括校园内接收的任何部门或团体, 流程, 商店, 或传输持卡人数据，或由第三方实体代表其收集和处理持卡人数据. 这些用户有责任阅读、理解并遵守本政策.

如果部门期望与大学政策所描述的共同方法之间存在差异, 学院将依靠校园社区, 志愿者和校董会支持大学政策的精神和目标.

目的

支付卡行业数据安全标准是由信用卡行业为应对身份盗窃和信用卡欺诈的增加而制定的.  PCI - DSS是一套旨在确保所有公司流程的要求, 存储或传输信用卡信息，维护安全的环境.  作为一个处理信用卡数据的商人, 赌博正规的十大网站负责保护信用卡信息，并遵守PCI - DSS建立的标准.  这包括建立有关处理信用卡数据的策略和设置控制, 计算机和互联网安全相关的信用卡处理和每年完成一份自我评估问卷.

本政策的目的是定义在学院业务过程中接受和处理支付卡的要求，以保护客户的信用卡数据, 维护学院的声誉，并尽量减少与信用卡信息泄露相关的财务成本风险.  赌博正规的十大网站要求所有院系处理, 存储或传输信用卡数据始终遵守支付卡行业数据安全标准. 

如果不遵守安全要求或未能纠正安全问题，商业银行可能会处以50美元起的罚款,000和/或对商户账户的限制. 不遵守规定的后果是严重的. 因此，赌博正规的十大网站要求所有部门和员工都必须遵守.

1. 赌博正规的十大网站接受支付卡的每个部门都受支付卡行业数据安全标准(PCI DSS)的约束。.

2. 资讯科技服务 (ITS)负责建立和维护一个安全的网络, 包括安装和维护防火墙配置以保护数据，并确保在网络上安装系统之前更改供应商提供的密码. 信息技术服务将确保所有路由器, 开关, 无线接入点和防火墙配置已得到适当保护.  

3. 资讯科技服务 是否确保有强大的加密和安全协议来传输持卡人的数据, 公共网络. 通过终端传输持卡人数据需要P2P加密. 通过终端用户技术(如电子邮件)传输持卡人数据, 即时通讯或聊天)是禁止的.

4. 资讯科技服务 负责维护一个漏洞管理程序，包括使用和定期更新反病毒软件/程序，开发/维护安全的系统和应用程序.

5. 信息技术 服务 负责安全系统和流程的定期测试. 这包括每季度运行一次内部漏洞扫描.  外部扫描由 网络爬行

6. 财务办公室 是否会为所有部门提供培训，以确保他们能够按照赌博正规的十大网站的政策接受和处理信用卡付款.

7. 外包, 或者使用第三方提供商, 在签订任何协议之前，必须事先得到财务办公室的书面批准. 所有第三方提供商必须符合支付卡行业数据安全标准(PCI DSS)规定的标准并获得认证.  该认证必须在与供应商签订合同之前获得，并且必须每年重新确认一次.

8. 财务办公室 是否每年验证第三方支付应用程序是否符合要求, 如果适用的话, 付款应用最佳实践(PABP)列表.

9. 对持卡人数据的访问仅限于负责处理或传输这些数据的工作人员. 以物理/电子方式访问持卡人数据的工作人员必须得到各部门主管和财务办公室的批准. 被批准访问和处理这些数据的工作人员将被要求完成PCI合规性培训和测试，并在培训完成后被授予使用这些功能的权限, 只使用他们唯一的密码.

10. 禁止各部门以电子方式储存持卡人资料. 所有的纸质存储应该只包含账户号码，以显示账户的最后4位数字.  任何部门都不应存储卡片验证码, 到期日期, 销的, 或者是卡片磁条上的全部数据.

11. 禁止员工使用远程访问技术, 无线技术, 以及在任何类型的可移动电子媒体上存储信用卡数据, 笔记本电脑, 个人资料/数码助理或电子邮件传送或处理信用卡资料.

12. 信用卡资料的纸质副本, 保留作对账之用, 必须存放在安全的地方. 禁止各部门以传真方式传送信用卡资料, e检测邮件, 学院有线/无线网络(未正确配置), 或者用未密封的信封寄给学校, 因为这些都不是安全的传输方法.  持卡人资料只可透过电话查询, 邮件, 或者亲自去，不要通过电子邮件或电子表格发送.  最好的做法是不要把信用卡数据写在纸上, 但在紧急情况下, 如果需要记录这些信息，在信用卡公司批准交易后立即销毁.  如果有必要在处理过程中暂时保留这些文件, 它必须存放在一个安全且上锁的区域.

13. 赌博正规的十大网站目前接受美国运通卡、Discover卡、万事达卡和VISA卡. 各部门被授权只接受经财务办公室批准的信用卡.  财务办公室必须首先批准任何商家账户的增加或对现有商家账户的更改.  采购, selling or discarding a terminal; purchasing software with any kind of credit card processing capabilities; or selecting/changing a service provider that has credit card processing capabilities must first be approved by the 财务办公室.

14. 一旦收到可能/怀疑的违规通知、财务处及资讯科技署 将负责向所有相关利益相关者报告事件并维护网络安全. 这将包括通知信用卡公司.

15. 资讯科技服务 是否每年审查他们的网络安全政策. 所有商家id将使用自我评估问卷(SAQ)每年进行合规性审查。. 任何更新将与财务办公室共享.

政策评估

ITS安全和财务办公室将每年或在认为必要时审查本安全政策, 鉴于一个特定的事件或学院环境的变化.

程序

定义

持卡人资料代表持卡人的任何个人资料.  这可能是一个帐号, 截止日期, 名字。, address, 电话号码, 社会保险号, 卡号(CVC), 或任何其他识别持卡人的信息.

支付卡行业委员会制定的标准，包括对敏感消费者信息的安全处理控制，以确保消费者的信用卡品牌是可靠和安全的.  

一个组织, 部门, 接受信用卡作为商品支付方式的机构或单位, 服务, 信息, 或礼物.

银行为一个单位建立的账户，用于赊账销售金额和借记处理费. 

由信用卡行业(Visa)组成的组织, 万事达卡, 发现和美国运通)建立数据安全标准(DSS)的行业.  http://www.pcisecuritystandards.org/ 

PCTA是一种验证工具，主要由商家使用，以启用PCI DSS合规性.

高级干系人包括但不限于: