跳到主要内容跳过导航或跳到内容
beplay苹果app下载

COVID-19安全
beplay苹果app下载
beolay体育官网
> TRU回家 > 金融服务 > truu商务 > 政策与程序 >金融服务政策和程序
部分菜单

金融服务政策和程序

这些程序旨在确保汤普森河大学的所有银行卡交易都以最安全、保密和可靠的方式进行。beplay苹果app下载所有接受借记卡或信用卡支付的商家必须遵守这些保护持卡人数据的程序,以及所有与银行卡交易和数据安全有关的大学政策,以及最新版本的支付卡行业数据安全标准(PCI DSS)。

政策及程序

所有TRU商户必须遵守以下规定,以确保持卡人数据的安全,并保护大学免受声誉、财务和法律责任:

支付卡基本指引

我如何获得办理银行卡的批准?

金融服务部门必须批准大学的所有银行卡处理活动,包括通过外包第三方和销售点设备处理在线交易(电子商务)。

部门和单位只有在金融服务部门已建立并批准商户账户的情况下才能接受付款。商户帐户必须使用大学首选的支付卡处理提供商建立。禁止部门和单位与任何其他服务提供商(包括PayPal)订立其他支付安排。

TRU PCI指导委员会可能会根据具体情况批准使用替代支付提供商和/或支付网关。

接受银行卡支付的相关成本是什么?

所有与接受银行卡付款有关的费用将由财务部集中记入部门账户。这些费用包括(但不限于):

  • 安装费用;
  • 交易费用;
  • 商户折扣费;
  • 每月服务费;
  • 航站楼租金。

此外,商户将负责与实现和维护PCI DSS合规性相关的任何成本,其中可能包括安全扫描、审计和补救工作,以确保PCI合规性。商家还将承担因不遵守本政策和相关程序的要求而导致的任何安全漏洞的相关费用。

是否要求所有参与银行卡处理的员工进行强制性意识培训?

员工必须了解如何处理银行卡交易,必须了解持卡人数据的敏感性。特别是,信用卡号码、信用卡验证码、信用卡有效期和持卡人姓名等信息必须始终受到保护。员工必须明白,他们有责任在任何时候都对持卡人的数据保密,并且只有在必要的商业目的下才应该披露这些数据。

单位领导必须了解他们的银行卡流程,并了解他们的员工及其背景。招聘经理必须在招聘潜在候选人之前完成适当的背景调查,这些候选人将有权访问持卡人数据。必要的背景调查必须适合该职位持卡人数据的访问级别。背景调查可以包括以前的工作经历、犯罪检查、增强可靠性检查等。

必须为所有新员工提供银行卡处理培训,并至少每年为现有员工提供培训。

员工必须意识到TRU的违约协议并了解如何报告潜在的银行卡信息泄露。

所有员工必须参加一年一度的PCI意识培训资讯安全及私隐意识训练标准

truu如何接受银行卡付款?

允许以下方式接受借记卡和信用卡付款:

  • 销售点(POS)使用指定的支付处理器进行处理;
  • 电子商务解决方案,包括使用经批准的支付网关的eForms,该网关使用PCI兼容的服务提供商提供基于web的处理。这确保持卡人的数据不会输入到托管在TRU网络上的网页中。

TRU PCI指导委员会可根据具体情况批准使用替代方法。为进一步确保合规性,所有支付应用程序必须每年提供合规性认证(AOC)证书。此AOC必须转发给TRU PCI指导委员会。

电子存储和传输持卡人数据的规则是什么?

未经TRU PCI指导委员会批准,严禁在汤普森河大学电子存储持卡人数据。beplay苹果app下载这包括存储在计算机、数据库、服务器或硬拷贝。任何存储的持卡人数据必须在任何时候都使用强加密。持卡人数据必须在授权后立即安全擦除,或在业务流程完成后立即删除已存储数据。

电子媒体(电子邮件、短信等)不是发送或接收持卡人数据的安全方法,严禁将其作为接受持卡人数据的手段。商户必须告知客户,电子媒体不是接受支付信息的一种方式,并为客户提供符合PCI标准的选项来处理他们的支付。严禁商家使用通过电子媒体接收的持卡人数据处理支付。

如果通过电子邮件收到持卡人数据,则必须将其从所有文件夹中删除。垃圾文件夹也必须清除。如果您回复的电子邮件中包含持卡人数据,则必须删除此信息。

传真机只能在使用模拟电话线连接的情况下接收持卡人数据。如果传真机是通过网络连接的,它被认为是电子媒体,禁止作为接受持卡人数据的一种手段。

语音信箱也被认为是电子媒体。如果您通过语音邮件接收到持卡人数据,则必须立即删除该消息。严禁在语音信箱中存储持卡人数据。

访问持卡人数据

对持卡人数据的访问必须仅限于那些出于商业目的需要这些信息的人。这些特权的分配必须基于工作分类和职能。单位领导必须识别并记录需要访问持卡人数据的职位。权限和访问权限必须在角色终止或重新分配时立即撤销。

访客必须获得授权才能进入处理或存储持卡人数据的区域。访客必须在访客日志上签名,佩戴访客标识,进入高度敏感区域时必须有人陪同。这还不包括只有销售点设备的区域。

所有供应商提供的默认密码都必须更改。管理供应商默认值和其他安全参数的操作程序必须被记录、使用并为处理银行卡交易的人员所知。

持卡人资料的保留

持卡人数据只应存储在处理交易所需的最短时间内。持卡人的资料必须始终保存在安全的地方(即在上锁的柜子中,在上锁的房间内)。通过实施数据保留和处理政策,持卡人数据的存储必须保持在最低限度。

3位或4位数字的验证码只有在需要完成信用卡交易时才可以申请。此代码在授权付款后不能保留。

用于审计目的的交易记录必须保留7年。所有包含信用卡或借记卡信息的纸质记录都应保存在安全的地方,只有需要的员工才能访问。所有包含信用卡信息的纸质文件必须每年进行盘点。

持卡人数据的处理

每个商人必须遵守信息分类标准用于销毁持卡人数据。所有载有持卡人资料的文件,在完成业务需要后,应立即妥善处理。

不再需要的持卡人数据必须使用横切碎纸机或使用TRU批准的供应商销毁。

销售点设备

所有销售点(POS)设备必须始终受到安全保护。这包括在设备不使用时将设备锁在保险箱、现金抽屉和/或其他安全区域。您的POS设备必须每天检查,以检测任何篡改或更换设备的迹象。

所有操作POS设备的员工,以及监督这些员工的人,都必须接受适当的设备培训。这包括检测POS设备是否被篡改,以及如果怀疑被篡改该怎么办。事件响应计划必须清楚地传达给所有员工,并且易于获取(例如,在销售点设备附近打印一份副本)。

有POS机的商户请参考销售点设备完整性清单确保遵守适当程序以确保及检查POS机。在检查完每一项后,必须在清单中的所有方框上签名。如果发现任何篡改的证据,请与TRU信息安全办公室立即。

所有POS设备必须在TRU的PCI vlan中注册。商户必须向ITS确认已安装并添加到网络的联网POS设备。ITS将确保设备被放置到适当的PCI VLAN中。

处理银行卡交易

通过任何支付系统(包括销售点终端)处理银行卡交易的能力必须仅限于那些工作需要这种访问的个人。

商户必须确保所有交易都是在正常业务过程中合法销售商品或服务。所有银行卡交易的退款必须直接退回到购买的那张卡上。对于原本通过银行卡进行的交易,不提供现金退款。

商户不得歧视其已同意接受的付款方式。例如,如果商家通过销售点终端接受银行卡支付,那么商家必须提供芯片和密码技术。

商户必须核对每日收入,并每天向财务部记录所有收入和银行存款。

TRU的违约协议

所有处理或有权访问持卡人数据的商户领导和员工必须阅读并理解TRU的违约协议。在处理银行卡交易和存储持卡人数据的区域,必须向员工展示该计划。

如果商户知道或怀疑持卡人数据已被泄露,或销售点设备已被篡改,则必须按照TRU违约协议中列出的步骤报告该事件。

必须监控、分析安全警报和信息,并将其分发给适当的人员。该信息可由支付处理机构、经理信息安全、金融服务和/或TRU PCI指导委员会传达给商户。

可以找到TRU的违约协议在这里

更改您的银行卡处理环境

您的支付应用程序和/或银行卡流程中任何可能影响TRU PCI环境的更改都必须报告给TRUTRU PCI指导委员会批准。未经金融部门批准,不得更改您的银行卡处理环境。

搜索 最重要的
Baidu
map