有用的链接

在威廉希尔亚洲真人平台

与我们联系

财务长办公室
丘布堂010号
雅典,威廉希尔亚洲真人平台45701
方向
740.593.0767

PCI信息安全

介绍

支付卡行业(PCI)安全标准委员会是一个由主要信用卡公司组成的组织,它制定了数据安全标准,以确保信用卡交易的可靠性和安全性。选择接受信用卡交易作为一种支付方式的组织按照合同要求遵守PCI安全标准委员会制定的标准。不遵守法规可能导致更严格的法规要求、罚款和/或暂停信用卡处理服务。

创建的标准包括:

  • 处理和限制信用卡信息的控件
  • 电脑及互联网保安
  • 报告信用卡信息泄露

信用卡行业需要遵守这些标准,以便商家接受信用卡支付。校园内许多部门和商户在日常业务中都要办理信用卡交易。因此,俄亥俄大学(Ohio)的目的是通过此程序保护客户的隐私,并保持对支付卡行业数据安全标准(PCI DSS)的遵守。

本手册定义了遵守支付卡行业数据安全标准(PCI DSS)所需的所有政策和程序。这些政策适用于俄亥俄大学所有涉及信用卡处理的员工、系统和网络,包括信用卡号码的传输、存储和/或处理。

所有参与卡处理环境(CPE)的员工必须阅读、理解并同意遵守本手册中的所有政策。此处政策的任何变更必须由俄亥俄PCI DSS合规委员会批准和传播。威廉希尔亚洲真人平台PCI DSS合规委员会由财务长办公室和OIT安全办公室的雇员组成。

这些政策可以随时更新,并且必须每年审查一次。

本文件中列出的要求并非所有组成部分都直接适用于个别威廉希尔亚洲真人平台商人,而是要求威廉希尔亚洲真人平台作为一个整体达到。有关此程序的问题应直接向威廉希尔亚洲真人平台PCI DSS合规委员会提出。

俄亥俄PCI DSS -一般PCI DSS程序

介绍

以下程序适用于在俄亥俄大学(Ohio)接受信用卡作为支付方式的部门在进行公务时使用。威廉希尔亚洲真人平台接受信用卡支付,以方便其客户。已批准这样做的部门可以接受Visa,万事达卡,发现,美国运通卡,带有Visa或万事达卡标志的借记卡,以及pin-based借记卡。威廉希尔亚洲真人平台接受信用卡的部门必须遵循严格的程序来保护客户的信用卡数据。此外,这些指令提供了指导,以最大限度地遵守支付卡行业数据安全标准(PCI DSS),并确保与大学的财务和其他系统的适当集成。

要被批准接受信用卡,各部门必须联系财务司司长办公室讨论信用卡处理方案。财务司司长办公室必须在购买信用卡申请之前包括在内。根据确定的信用卡处理类型,可能需要建立商家ID。

根据俄亥俄大学的程序,只有获得批准的院系才可以接受用信用卡支付商品或服务。大学院系将承担因不遵守此程序而产生的所有处罚。

处理类型

类型 描述
销售点(POS)

定义:通过终端机或收银机进行信用卡交易的场所。

适用对象:由传统上通过POS(收银机)设备、银行自有桌面终端和/或计算机进行交易的高频业务决定。
电子商务

定义:在互联网上买卖产品或服务。

适用方:由传统上通过网络软件进行交易的中高频率业务决定。交易可以通过集中的大学提供商或分散的(特定部门)俄亥俄拥有的软件进行。大学的任何电子商务交易必须使用大学的首选供应商进行处理,除非财务处批准例外情况。
第三方

定义:通过俄亥俄的外部方处理的信用卡交易。软件可能属于或不属于俄亥俄。

适用方:由传统上通过POS(寄存器)设备和/或计算机进行交易的中高频率业务确定。
财务主管

定义:信用卡信息由威廉希尔亚洲真人平台各部门收集,并通过财务办公室进行处理。

适用方:由部门手工收集并由财务司办公室处理的业务的低频率确定。

 

年度评估

每个接受信用卡的部门必须完成一份年度自我评估问卷(SAQ)。SAQ将由威廉希尔亚洲真人平台PCI DSS合规委员会在需要的部门协助下完成。适用的处理类型将决定要完成的SAQ。

 

SAQ类型

描述

一个

无卡(电子商务或邮购/电话订购)商户,所有持卡人数据功能外包。这绝对不适用于面对面的商家。

A-EP

将所有支付处理外包给经过PCI DSS验证的第三方的电子商务商家,他们的网站不直接接收持卡人数据,但这可能会影响支付交易的安全性。没有电子存储,处理,或在商家的系统或场所传输任何持卡人的数据。仅适用于电子商务渠道。

B

没有电子持卡人数据存储的仅印码商家,和/或没有电子持卡人数据存储的独立拨出终端商家。不适用于电子商务渠道。

b

独立的、经过pts认证的支付终端,通过IP连接到支付处理器,不需要电子持卡人数据存储。

不适用于电子商务渠道。

C-VT

商家只使用基于网络的虚拟终端,持卡人没有电子数据存储

C

商户的支付应用系统与互联网相连,无需电子持卡人数据存储

P2PE-HW

商家仅使用硬件支付终端,这些终端包含在经过验证的PCI ssc上市的P2PE解决方案中,并通过该解决方案进行管理,没有电子持卡人数据存储。

不适用于电子商务渠道。

D

上述A至C类SAQ描述中未包含的所有其他商家,以及支付品牌定义的有资格完成SAQ的所有服务提供商。

 

定义

商户ID -大学商业银行的一个账号,允许一个部门接受信用卡支付。商家ID允许公司接收和处理信用卡交易,并将资金从买方(客户)账户转移到卖方(大学)账户。

PCI DSS合规性——支付卡行业数据安全标准(PCI DSS)是一套被广泛接受的政策和程序,旨在优化信用卡、借记卡和现金卡交易的安全性,并保护持卡人的个人信息不被滥用。PCI DSS于2004年由四家主要信用卡公司联合创立:Visa、万事达、Discover和美国运通。俄亥俄大学有合同义务遵守PCI DSS。

自我评估问卷(SAQ)——一个帮助商家验证其PCI-DSS合规性的验证工具。

持卡人资料-全磁条或PAN加上以下任何一项:

  • 持卡人的名字
  • 截止日期
  • 服务代码

 

俄亥俄PCI DSS -用户认证和访问

目的

这概述了访问敏感卡数据时的身份验证和访问控制要求。

范围

这适用于威廉希尔亚洲真人平台(卡处理环境)CPE中的所有用户。

过程

  • 识别
    • 确保正确的用户识别和授权。
    • 用户帐户必须使用唯一标识符,不允许使用组或共享帐户
    • 在进行任何更改(包括添加、删除或修改)之前验证用户身份。
    • 用户必须每年确认了解帐户程序和程序。帐户必须符合以下参数。
    • 第一次使用的密码必须唯一,并在第一次使用时及时修改
    • 密码必须每90天修改一次
    • 不使用组密码或共享密码
    • 密码必须是强大的,并符合大学凭据程序#91.004
    • 密码不能与最近15个相同
    • 当失败尝试超过6次时,帐户必须使用至少30分钟的锁定。
    • 密码必须是不可读的,并在任何存储系统上使用强加密技术。
    • 系统访问必须记录日志。对所有系统数据的成功和失败访问必须记录并保留至少1年。日志必须在线保存90天。
    • 供应商帐户必须只在需要它们的时候才启用。
    • 15分钟不活动后自动断开访问技术会话。这因系统而异,但不应超过90分钟。
    • 根据威廉希尔亚洲真人平台的背景调查程序和当地法律,对有权访问系统、网络或持卡人数据的潜在员工进行适用的背景调查。如果员工一次只能访问一个卡号以促进交易,例如在监督环境中的商店收银员,则PCI DSS不需要背景调查。然而,威廉希尔亚洲真人平台关于员工背景调查的程序必须遵守。
  • 访问
    • 在“需要知道”的基础上限制对数据的访问。
    • 授权必须在由定义访问权限的管理层签名的表单上完成。
    • 必须安装自动门禁系统。
  • 删除
    • 必须存在一个进程,以便在通知某个帐户不再需要时立即禁用和删除该帐户。
    • 必须审查用户帐户;不活跃的账户应至少每90天退休一次。

执行

任何被发现违反这一规定的员工都可能受到其行政单位、部门或大学的纪律处分。

 

俄亥俄pci - DSS -它

介绍

俄亥俄大学提供信息技术资源,以支持其适当附属成员在机构优先级和财政能力范围内的学术、行政、教育、研究和服务任务。资讯科技资源为大学提供了一个自由和开放的论坛,让人们表达对大学核心价值的想法。为了保护信息技术资源的保密性、完整性和可用性,制定了以下程序。此程序的范围包括大学拥有的所有信息技术设备,任何连接到大学网络的设备,以及这些设备上的所有大学相关数据。

过程

  • 信息技术资源的所有使用应与俄亥俄大学的所有其他相关政策保持一致。
  • 用户必须了解并遵守所有联邦、州、地方和其他适用的法律、合同、法规和许可证。
  • 除支援大学的学术、行政、教育、研究和服务任务,或为有限的社会目的外,禁止使用资讯科技获取资源。
  • 所有用户只能访问或尝试访问他们被授权使用的信息技术资源,并且只能以授权的方式和范围访问。被授权使用这些设备和技术的人员名单将被记录下来,并每年进行审查。
  • 禁止试图绕过信息技术安全系统。
  • 禁止破坏大学授权活动。
  • 禁止未经授权的人员使用信息技术进行侦察、脆弱性评估或类似活动。
  • 用户需要保护信息技术的机密性、完整性和可用性。
  • 禁止在信息技术资源上匿名使用、冒充或使用假名以逃避责任。
  • 禁止在威廉希尔亚洲真人平台拥有或占用的任何财产上使用任何未经许可的频谱空间,除非它是大学部署的无线服务的一部分。
  • PCI事件响应计划将遵循俄亥俄大学事件响应计划。事件响应和业务连续性计划必须每年记录、审查和测试。对结果的分析将形成文件。

责任

大学的责任

  • 提供和协调信息技术资源,以便在机构优先事项和财政能力的范围内完成指定的支持学术、行政、教育、研究和服务任务的职责。
  • 沟通、审查、更新和执行政策以保护信息技术资源。
  • 采取合理措施缓解安全威胁。

用户的责任

  • 阅读,同意,并遵守所有大学的政策和程序更新。
  • 在使用资讯科技资源时,实行安全计算。
  • 在发现指定的信息技术资源已被访问、试图被访问或易受未经授权用户访问时通知大学官员。
  • 用户对其分配的信息技术资源所产生的活动负责。

安全及私隐声明

威廉希尔亚洲真人平台尊重所有信息技术用户的隐私。大学不定期监控材料的内容,但确实保留访问和审查其信息技术基础设施的所有方面的权利,以调查性能或系统问题,搜索有害程序,或根据合理的原因,以确定用户是否违反了程序,州或联邦法律。威廉希尔亚洲真人平台监控、保存和审计信息技术使用的详细记录;为了排除故障、监视性能、安全、审计、从系统故障中恢复等目的,可能会定期记录跟踪;或回应投诉,以保护学校和他人的设备、软件和数据不受未经授权的使用或篡改。为应对技术问题或投诉,或违反法律、程序或规定,可以使用特殊的记录保存、痕迹和特殊技术,但必须经大学管理人员特别授权批准。除了在一般情况下尊重个人的私隐外,投诉人士的私隐亦会得到尊重,大学会在可行的情况下,限制特别纪录的保存。我们将依法发布相关信息。用户应注意,虽然大学实施了各种安全控制措施来保护信息技术资源,但不能保证保护数据不受未经授权的个人的侵害。

执法及制裁

违反俄亥俄信息技术程序的个人或实体将被提交适当的纪律当局进行审查。如果确定程序违规正在对信息技术资源的保密性、完整性或可用性造成当前或迫在眉睫的威胁,则可以暂停访问权限,而无需事先通知。

术语定义

资讯科技资源

与信息管理和处理有关的所有方面。这包括用于大学处理、传输、存储和通信的设施、技术和数据。这些资源的例子包括但不限于计算机、网络设备、电信设备、电子邮件、电子信息源、网络带宽、无线设备、视频通信、IP电话、大学分配帐户、语音邮件、密码、访问控制、存储介质、文档、个人数字助理。

安全计算

以符合其预期目的的安全方式使用信息技术。应采取的保安措施包括但不限于:使用不易被猜中、定期更改及保密的强密码;及时应用所有相关的保安修补程式;保持最新的病毒定义;重要/关键数据的备份和保护;密码的安全性;保护数据和文件。

物理安全程序

目的

本程序概述了保护CPE中的数据和设施所需的物理约束。

范围

本程序适用于俄亥俄大学的所有教职员工、学生、承包商、顾问、临时工和其他工人,包括与第三方有关的所有人员。本程序适用于威廉希尔亚洲真人平台CPE中涉及的所有数据和设施。

过程

  • 访问- CPE中涉及的所有设备必须在安全的环境中维护。只有与CPE相关的人员才允许访问数据中心。
  • 数据中心必须通过标记、锁定或其他管理批准的安全措施来限制访问。必须保存进出中心的日志(电子或纸质)。
  • 授权人员必须佩戴徽章或易于与公众区分。
  • 访客必须始终由具有访问数据中心权限的授权人员陪同。
  • 限制对物理网络插孔、无线接入点和路由器的访问。除非使用,否则交换机和路由器端口将被禁用。
  • 显示访问这些数据的系统和审计日志必须保留至少1年。90天必须保持在线和可用的90天。
  • 安全
    • 所有敏感和信用卡数据必须始终保持安全。授权使用陷阱、摄像机和电子控制装置来保护该设施。
    • 日志和摄像系统的审查应每月完成一次。
  • 商家/部门必须对包含持卡人数据的所有纸张和电子媒体进行物理保护。“工作文件”白天可以锁在柜子里,但在一天结束时必须放回安全或经批准的储存设施。请参阅俄亥俄PCI DSS -数据保留和处理部分以获取更多信息。
  • 商户/部门用于处理持卡人数据的传真机、POS设备和其他设备在不使用时必须放置在安全柜、区域或保险箱中。

执行

任何被发现违反此程序的员工都可能受到其行政单位、部门或大学的纪律处分。

 

俄亥俄PCI DSS卡处理环境硬件

目的

为俄亥俄拥有、运营或管理的所有支付卡处理环境(CPE)建立基线安全配置程序。所有cpe将继续符合PCI DSS。

范围

本程序适用于俄亥俄cpe中使用的所有网络、系统和设备/工作站。

过程

  • 文档
    • CPE中涉及的网络和系统的配置将被批准并形成文件。详细信息应包括名称、寻址、数据流以及与非cpe流量的分离。标准应解决所有已知的安全漏洞,并与公认的行业强化标准保持一致。
    • 网络组件逻辑管理的角色和职责应被识别并形成文件。角色包括但不限于:安全管理员、网络管理员、审批管理员等。
    • 所有允许的服务、协议和端口都必须记录业务使用需要,并且必须为使用不安全的协议(如FTP、TFTP、Telnet等)提供文档,包括为其使用提供的安全措施。
  • 一般配置原则:
    • 如果使用SNMP协议,团体字将从默认值更改。

    • 所有设备上的系统时钟必须同步到一个集中的时间源。

    • 所有远程控制台访问都应使用标准的强加密技术进行加密。

    • 配置更改必须提交给授权机构批准。任何改变必须;记录和日期,测试,并包括回滚程序。

    • 记录所有定义发现新安全漏洞的过程和程序,并相应地更新已定义的配置标准

  • 防火墙——CPE网络将在所有Internet连接上以及任何非CPE内部网络或DMZ之间安装一个基于硬件的状态包检查防火墙。防火墙将被配置为:
    • 拒绝所有传入流量,并根据CPE的特定业务需求设置例外
    • 拒绝所有出站流量,并根据CPE的特定业务需求设置例外。
    • 在网络上安装之前更改默认供应商密码
    • 禁止CPE与Internet之间的任何直接通信。
    • 只允许由IP地址指定的授权工作站进行管理访问。
    • 日志记录将被启用,并将记录所有传入和传出的连接。日志将保存在单独的日志设备上的单独位置。日志必须至少可用一年。
    • 所有CPE防火墙规则集将至少每两年审查一次。
    • 评审必须记录并注明日期。
    • 运行和启动配置必须同步。
  • 网络设备
    • 所有网络设备(交换机、路由器、IDS/IPS等)在安装到网络上之前都要更改默认的供应商密码。
    • 所有与CPE的连接都将被完整记录。
    • 任何时候都不会有未连接到CPE设备的活动端口。所有变更CPE的请求都必须记录并批准。
    • 所有设备都将启用日志记录。日志将保存在单独的日志设备上的单独位置。日志必须至少可用1年。
  • CPE服务器和工作站
    • 连接到CPE的服务器和工作站将根据安全最佳实践进行安装和配置。
    • 软件安装将限于CPE运行所需的经批准的软件。
    • 不需要的协议和服务将被卸载或失效。
    • 基于主机的防火墙将处于运行状态,默认情况下将拒绝所有传入流量,并且仅对关键业务功能有例外。
    • 必须在CPE内的所有关键系统上安装并正确设置文件完整性监视软件。
    • 本地管理员和来宾帐户将被禁用。
    • 空闲会话需要重新输入密码才能重新启用会话。
    • 在可用的情况下,将通过密码机制保护对系统BIOS的访问。
    • 防病毒软件将被安装、运行、更新,并能够在所有当前易受此类危害的CPE机器上随时提供审计日志。
    • 参与CPE的服务器将把其安全日志转发到CPE外部的服务器。
    • 操作系统补丁将在发布后1个月内安装。
  • 漏洞评估
    • 漏洞扫描将在CPE的所有系统上每季度完成一次。所有漏洞将立即解决。
    • 外部和内部渗透测试应每年进行一次,并在基础设施发生重大变化之后进行。
    • 变更请求程序
    • 配置更改的书面请求必须来自授权的个人。请求将包括描述、业务原因、开始和结束日期以及回滚过程。
    • IT管理员将审查变更并确定所涉及的工作范围。
    • 经理将审核变更,批准或拒绝全部或部分变更。
  • 设备/终端检查和盘点
    • 通过与卡直接物理交互来获取支付卡数据的设备必须定期检查,以检测篡改和替换。
    • 维护所有设备的最新列表,包括制造,型号,位置,序列号或其他唯一标识设备的方法。
    • 定期检查设备表面以检测篡改(例如,在设备上添加刷卡器)或替换(例如,通过检查序列号或其他设备特征来验证它没有与欺诈设备交换)。记录定期检查。
    • 对所有人员进行培训,使其了解试图篡改或更换设备的行为。

执行

任何被发现违反此程序的员工都可能受到(系或大学)的纪律处分。

 

软件开发程序

目的

本程序概述了支付应用软件或传输、处理或存储信用卡信息的基于Web的应用程序的任何开发的安全性和要求。

范围

本程序适用于俄亥俄大学的所有教职员工、学生、承包商、顾问、临时工和其他工人,包括与第三方有关的所有人员。此程序适用于俄亥俄CPE的所有网络和数据。

过程

  • 开发环境——任何软件开发都必须在单独的开发/测试基础设施上完成。严禁未经批准的《变更控制程序》在生产系统上开发或变更生产软件。

    • 生产数据不得用于任何开发,除非进行消毒,并删除所有识别敏感数据

    • 在系统投入生产之前,必须删除测试数据(id,帐户,数据等)。

    • 开发人员和生产人员必须保持严格的职责分离。

    • 应用程序中信用卡信息的显示必须根据PCI DSS进行屏蔽。只能显示前6位和后4位。

    • 在将软件放入生产环境之前,将由一个公正的小组或自动化软件进行单独的代码审查。

    • 在应用程序开发的所有方面都需要严格遵守行业“最佳实践”和安全编码实践。有关最佳实践的定义,请参阅http://owasp.org、http://csrc.nist.gov/

  • 开发生命周期
    • 所有基于Web的应用程序都将由第三方每年或在进行重大更改时扫描漏洞。
    • 当不再需要应用程序时,必须安全地删除它们,并销毁所有数据或使其不可读。系统和开发软件的备份也必须安全地删除/删除。
    • 必须实施并记录系统变更控制程序。
    • 在任何系统更改之前,必须记录和批准回滚程序。

执行

任何被发现违反此程序的员工都可能受到其行政单位、部门或大学的纪律处分。

俄亥俄PCI DSS -数据收集,保留,和处置

目的

本程序概述了当不再需要卡片处理要求时,所有机密或敏感数据的收集、存储和处置程序。数据必须使用本程序中记录的批准方法从俄亥俄系统中移除。该要求包括存储在系统、临时文件或存储介质和纸质文件中的所有CPE数据。

 

范围

本程序适用于俄亥俄大学的所有教职员工、学生、承包商、顾问、临时工和其他工人,包括与第三方有关的所有人员。此过程适用于俄亥俄网络中的所有CPE数据。

过程

  • 集合
    • 信用卡信息可以通过个人、电话、邮件或通过安全的大学批准的互联网申请收集。
    • 信用卡信息不能通过电子邮件或短信收集。
  • 存储
    • 只要有业务需要,就允许存储以下信用卡信息。必须提供书面证明,说明保留的业务需求。(参考PCI DSS“适用性信息”中的图表)所有数据必须按照PCI DSS的所有章节所述进行保护。
      • 主帐号(PAN)
      • 持卡人的名字
      • 服务代码
      • 截止日期
    • 不允许存储的数据包括以下内容:(在“预授权”中有例外,见1.3
      • 全磁条(磁道1或磁道2数据)
      • CVV2, CVC2, CID, CAV2
      • PIN / PIN块
    • 预授权数据,包括轨道,CVV2和PIN信息,将被保留,直到交易授权完成。禁止在授权后存储持卡人授权数据。
    • 显示访问这些数据的系统和审计日志必须保留至少13个月。日志必须在线保存90天。
    • 对于通过远程访问技术访问持卡人数据的人员,禁止将持卡人数据复制、移动和存储到本地硬盘驱动器和可移动电子媒体上,除非因明确的业务需要得到明确授权。如果有授权的业务需要,则使用策略必须要求根据所有适用的PCI DSS要求保护和记录数据。
    • 当存储包含信用卡号码的纸质记录时,除最后四位数字外的所有数字都要在处理交易时立即修改。在处理交易时,通过横切粉碎来编辑完整的卡号,同时保留支持销售的文件的任何部分。纸质记录必须存放在上锁的房间或柜子里,只有授权的员工才能进入。在此实例中,被授权的员工被允许处理信用卡数据。
  • 处理
    • 当法律、合同或业务需要不再需要时,必须销毁所有敏感数据和信用卡数据。对于交易记录,交易收据保存日期为处理日期后的13个月。
    • 处理媒体数据的技术如下:
    • 硬盘:必须通过国家安全局批准的方法覆盖,粉碎,粉碎或以其他方式销毁。
    • 软盘:必须粉碎。
    • 光学媒体(CD、DVD、蓝光等)必须粉碎。
    • 其他磁性介质(USB驱动器,存储卡等)必须用批准的方法覆盖,否则将被销毁。
    • 纸张:必须横切切碎。如果使用第三方服务销毁记录,请获取销毁记录的文件证明。

执行

任何被发现违反此程序的员工都可能受到其行政单位、部门或大学的纪律处分。

记录控制程序

目的

此过程概述了记录CPE中发生的所有操作的过程。日志记录的类型和规模、适当的存储、加密和日志处理都必须遵守PCI DSS。

范围

本程序适用于俄亥俄大学的所有教职员工、学生、承包商、顾问、临时工和其他工人,包括与第三方有关的所有人员。本程序适用于俄亥俄网络中的所有CPE数据和系统。

过程

要进行详细级别的日志记录,以帮助重建CPE中发生的任何事件。因此,需要为日志获取和存储准备一个安全的环境。

  • 要记录的事件。
    • 应记录以下事件。
      • 用户访问任何持卡人的数据
      • 日期和时间
      • 事件类型
      • 发放
      • 受影响的数据、系统或资源的标识。
      • 对包含持卡人数据的任何系统的管理访问和对数据的特定访问。
      • 所有身份验证尝试(通过或失败)
      • 创建或删除系统级对象
      • 配置更改
      • 访问和更改根或内核系统文件
      • 访问和更改日志文件
  • 存储
    • 所有日志必须保存。
      • 日志不应该存储在事件发生的同一个系统上(例如,域控制器上的用户身份验证)。日志应该被写入一个独立的健壮的系统,该系统在内部LAN上有自己特定的安全参数。
      • 限制授权人员访问日志。
      • 日志应按日标明日期。
      • 应安装文件完整性监控软件,监控对日志文件的所有访问和更改。
      • 日志应保留至少1年。
      • 必须进行审核以验证日志的可行性。
      • 日志必须每天检查。允许为此目的合并软件。必须设置并定期测试适当的触发器和警报。

执行

任何被发现违反此程序的员工都可能受到其行政单位、部门或大学的纪律处分。

备份控制程序

目的

本程序概述了CPE中涉及的所有备份子系统及其数据的控制。存储、识别、传输、隔离、加密和处理备份系统中使用的介质。

范围

本程序适用于俄亥俄网络中包含CPE的所有系统、数据和附属第三方。

过程

  • 存储
    • 备份子系统必须被标识为CPE的一部分。子系统上的持卡人数据必须呈现为不可读且无法通过未经批准的方式重建。必须定期完成敏感数据的备份。数据应定期检查恢复适用性。
    • 预授权数据,包括轨道,CVV2和PIN信息,将被保留,直到交易授权完成。禁止在授权后存储持卡人授权数据。
    • 显示访问这些数据的系统和审计日志必须保留至少1年。90天必须保持在线和可用的90天。
  • 控制
    • 所有含有敏感数据的媒体都必须被标记为机密,并且必须对媒体的存储和可访问性进行严格控制。
    • 媒体必须存放在管理层批准的安全地点。此位置的可访问性必须受到限制,只有那些需要访问的才能访问。所有进入该地点的人都必须被记录。设施的安全必须每年检查一次。
    • 所有媒体信使和运输机制必须由财务处认证。
    • 任何传送到资讯科技设施控制之外的媒体,必须积极登入及登出。所有储存和使用的介质及其下落必须保持记录。
  • 处理
    • 所有不再需要或已达到使用期限的媒体必须销毁或使其不可读,以便不能提取任何数据。关于可接受的销毁技术的信息在俄亥俄PCI DSS -数据保留和处理程序中有详细说明。

执行

任何被发现违反此程序的员工都可能受到其行政单位、部门或大学的纪律处分。

俄亥俄PCI DSS -共享数据-服务提供者程序

目的

本程序概述了与第三方共享所有机密或敏感数据的操作和合同程序。

范围

本程序适用于俄亥俄大学的所有教职员工、学生、承包商、顾问、临时工和其他工人,包括与第三方有关的所有人员。此过程适用于俄亥俄网络中的所有CPE数据。

过程

根据合同要求,与之共享持卡人数据的第三方必须遵守PCI DSS要求,并承认他们对其处理的持卡人数据的安全性负责。只有完成交易所需的最小数据量才会与第三方共享。所有的交互必须被记录和记录。

执行

任何被发现违反此程序的员工都可能受到其行政单位、部门或大学的纪律处分。

俄亥俄PCI DSS -无线使用程序

目的

本程序概述了使用无线通信传输敏感信用卡信息的要求。这些要求在PCI DSS要求4中进行了概述。

范围

本程序适用于俄亥俄大学的所有教职员工、学生、承包商、顾问、临时工和其他工人,包括与第三方有关的所有人员。此过程适用于俄亥俄网络中的所有CPE数据。这适用于所有用于传输数据的无线技术,包括但不限于:IEEE 802.11无线、GSM和GPRS。

过程

  • 用法
    • 通信必须利用行业标准最佳实践来实现身份验证和传输的强加密。
      • WPA2是标准加密,也是唯一经过授权的标准。
      • 不允许使用WEP和WPA。
  • 加密
    • 无线通信必须使用强加密密钥。加密必须遵循与加密过程中描述的相同的过程。
  • 无线会计
    • 必须每季度进行一次扫描,以核实中心内没有安装未经授权的无线网络。如果扫描不可行,可以使用无线入侵检测/保护系统。

执行

任何被发现违反此程序的员工都可能受到其行政单位、部门或大学的纪律处分。

俄亥俄PCI DSS -远程访问程序

目的

本程序解释了俄亥俄大学关于组织如何限制对持卡人数据环境(CDE)的远程访问的官方立场。

范围

本程序适用于涉及访问和/或管理对持卡人数据环境(CDE)的远程访问的人员、流程和技术。

过程

所有便携式计算设备的使用,如远程计算机、笔记本电脑、工作站或移动设备,无论它们是员工拥有的还是公司拥有的,都禁止在任何时候远程直接连接到持卡人数据环境(CDE)。对持卡人数据环境(CDE)的任何远程访问都必须通过一个经过批准的网关,该网关具有满足或超过PCI DSS要求的特定标准。

需求

用户必须是PCI VPN组的成员

用户必须使用双因素身份验证来访问远程服务。

远程服务必须以符合所有PCI数据安全标准要求的方式进行配置和管理,并且必须在使用之前获得OIT Security的明确批准。

执行

任何被发现违反此程序的员工都可能受到其行政单位、部门或大学的纪律处分。

俄亥俄PCI DSS -风险评估

目的

此过程有助于组织识别和了解持卡人数据环境的潜在风险。通过了解这些风险,组织可以优先考虑风险缓解工作,首先处理最关键的风险。组织还可以更有效地实现减少威胁的控制,例如,通过选择最好地处理已识别风险的技术或解决方案。

范围

此过程适用于所有持卡人数据环境。

过程

风险评估必须每年执行一次,或者如果环境发生重大变化,例如新系统组件安装、网络拓扑变化、防火墙规则修改或产品升级。评估必须由信息安全办公室记录和审查。

 

 

俄亥俄PCI DSS -加密

目的

OHIO CPE内的所有机密或敏感电子数据必须通过批准的加密技术加以保护。本程序适用于加密密钥的管理及其使用。

范围

本程序适用于俄亥俄大学的所有教职员工、学生、承包商、顾问、临时工和其他工人,包括与第三方有关的所有人员。此过程适用于俄亥俄网络中的所有CPE数据。

过程

  • 加密密钥
    • 只有强加密才能保护敏感数据。这些方法由PCI DSS定义;
      • 3 des
      • AES
      • 专有供应商加密,只要它在PA-DSS中得到批准
      • SSL
      • IPSEC
    • 加密密钥必须按照以下方式进行保护:
      • 以最少的保管人实行双重监管。
      • 钥匙的明文图像必须以防篡改的方式锁在尽可能少的位置和形式。
    • 显示访问这些数据的系统和审计日志必须保留至少1年。90天必须保持在线和可用的90天。
  • 文档
    • 所有生成、使用和销毁密码密钥的过程和程序必须有完整的文件记录。
    • 通过使用正式签名,要求密钥保管人承认并接受其角色的责任。
  • 使用
    • 所有受保护的数据,无论是静态的还是在线的,都必须变为不可读的。诸如加密、截断、单向散列、标记化等技术
    • 如果将磁盘加密用作表或文件加密,则必须使用上面列出的技术保护保存敏感信息的数据库中的表。
    • 系统和第三方之间交换的所有数据都必须使用这些强大的加密技术。
    • 密钥必须至少每隔1年轮换一次
  • 破坏
    • 旧密钥在不再使用时必须销毁,否则对密钥完整性的信心可能会受到损害。

执行

任何被发现违反此程序的员工都可能受到其行政单位、部门或大学的纪律处分。

俄亥俄PCI DSS -意识程序

目的

实施正式的安全意识计划,使所有员工意识到持卡人数据安全的重要性。

范围

任何与持卡人环境交互或支持安全支付卡基础设施的员工或承包商都需要接受培训。员工的角色和职责定义如下:

首席信息官和信息安全经理

首席信息官负责协调和监督俄亥俄大学关于其信息资产的保密性,完整性和安全性的合规性。信息安全经理与首席信息官和其他俄亥俄大学管理人员密切合作,参与确保大学信息资产的安全,以执行既定政策,确定关注的领域,并根据需要实施适当的更改。

石油基础设施小组

OIT基础设施团队与部门系统经理、管理员和用户一起制定安全政策、标准和程序,以帮助保护俄亥俄大学的资产。

人力资源人力资源部应部门要求,对所有可能接触到包含信用卡信息的系统、网络或数据的潜在员工进行背景调查,包括就业前、犯罪和信用记录。

 

大学院系 

  • 各部门负责确保对所有雇用的机密、行政和专业雇员进行背景调查。
  • 必要时,各部门将要求人力资源部对所有可能接触到包含信用卡信息的系统、网络或数据的潜在员工进行背景调查,包括就业前、犯罪和信用记录。
  • 部门在解雇分类、行政和专业员工时将通知人力资源部门。这将导致员工对所有需要俄亥俄id和密码的大学系统的访问被终止。各部门负责终止对本部门管理的任何支付系统的访问。
  • 各部门负责确保负责处理信用卡付款的员工在入职时完成现金处理和信用卡安全意识培训,至少每年一次。

采购和合同服务采购和合同服务将确保与之共享持卡人数据的第三方按照合同要求遵守PCI-DSS要求,并承认他们对其处理的持卡人数据的安全性负责。

财务司司长办公室财务司司长办公室将与各部门核实,所有负责处理信用卡付款的员工在受雇时至少每年完成现金处理和信用卡安全意识培训。如果培训没有完成,那么该部门的商户号将被停用。

 

俄亥俄大学计算和信息资源的每个用户都必须认识到信息资源的根本重要性,并认识到他们对保护这些资源的责任。以下是所有俄亥俄大学信息系统用户的具体责任:

  • 了解他们的行为在计算安全实践方面的后果,并采取相应的行动。秉承“安全是每个人的责任”的理念,协助俄亥俄大学实现其业务目标。
  • 保持对信息安全策略内容的认识。

 

过程

安全培训是一项合规要求,必须每年进行一次。