有用的链接

在威廉希尔亚洲真人平台

与我们联系

财务长办公室
丘布堂010号
雅典,威廉希尔亚洲真人平台45701
方向
740.593.0767

信用卡处理

开始

接受信用卡和借记卡改善了客户体验,同时也提高了收款效率。然而,要获得这种便利,就需要做好充分的准备和时刻保持警惕,以确保卡数据的安全。本页概述了一个部门需要知道什么和做什么才能成为一个商人。在任何情况下,部门都不应该与信用卡处理商签订合同,开始接受信用卡/借记卡。各部门在得到财务司司长办公室的批准之前,不能接受信用卡/借记卡。

付款处理选项

可使用终端机、销售点或网上系统接受支付卡:

  • 终端是小型的桌面设备,可以处理信用卡和借记卡交易,并允许用户点击、刷卡、插入卡(芯片和密码)或手动输入信息。
  • 销售点(POS)系统是专门用于处理部门特定业务需求的支付的计算机—通常是连接到中央服务器或托管环境的一台或多台pc。POS系统比终端更复杂,需要额外的安全性和维护。POS系统支持与终端相同的信用卡和借记卡支付卡以及输入方法。
    • 注意!在购买任何POS机硬件或软件之前,请与财务长办公室联系。我们将与您合作,确保您希望购买的POS系统与大学的信用卡处理器兼容,并满足任何或所有操作和安全要求。采购也必须由采购部门管理。
  • 网上(电子商务)应用程序使各部门能够通过互联网接受信用卡和借记卡付款。财务司司长办公室可以创建emmarket网站进行在线支付处理。拥有自己的电子商务系统的部门可以使用Transact Payments Checkout网关来处理支付处理。与Transact Payments Checkout网关集成需要一些编程,但消除了部门网站的任何卡数据安全要求。
    • 注意!各部门不得接受PayPal、Venmo、Square等需要资金汇入个人银行账户的支付方式。请与财务司司长办公室联系,以便我们为您提供解决方案。

所有这些方法都可以处理Visa、MasterCard、American Express和Discover卡。部门可以决定他们想要接受哪一种卡,尽管大多数都接受四种卡。在处理任何交易之前,任何付款处理选择都必须得到财务司司长办公室的批准。

第一步

  1. 通过填写现金处理页面上的部门现金收集申请,获得批准成为现金处理部门。
  2. 查看我们的PCI信息安全页面,了解您的部门需要遵守所有卡数据安全标准。
  3. 确保员工完成年度现金处理和信用卡安全意识培训。所有处理支付卡数据的员工都需要接受这一培训。
    • 教职员工(非学生员工)
      • 从俄亥俄。edu的快速链接连接到Blackboard。
      • 选择组织。
      • 选择专业发展途径。
      • 选择金融路径,核心学习。
      • 点击现金处理和信用卡安全意识培训
    • 学生员工
      • 向bursar@ohio.edu提交一份包含学生雇员姓名、威廉希尔亚洲真人平台id(电子邮件地址)、PID号码和受雇地点的列表。
      • 学生员工将有机会参加学生开发的培训。
      • 一旦提供访问权限,访问说明将通过电子邮件发送给学生员工。

期待什么

一旦您开始接受付款的请求被批准,我们将通知您的部门并与您一起设置您所选择的付款选项。

 

  • 终端需要用大学的信用卡处理器建立一个新的商户ID。这一过程最多需要四周的时间来完成。
  • 销售点系统的设置时间差别很大。如果需要一个新的商家ID,需要六到十周的时间来完成这个过程。
  • 在线商家设置时间取决于您可以多快地将您的网站与交易支付集成。
  • eMarket设置取决于您的产品的复杂性。查看我们的emmarket页面了解更多信息。

责任

财务司有责任及权力:

  • 制定和发布处理商户卡和商户卡服务的操作政策和程序。
  • 对商户卡业务进行一般监督。
  • 开发和维护流程和系统。
  • 强制遵守支付卡行业数据安全标准(PCI DSS)以保证信用卡/借记卡的安全性。
  • 调查涉及持卡人信息的违规行为,并建议采取纪律处分。

 

OIT保安办公室有责任和权力:

  • 制定和发布处理商户卡服务的操作政策和程序。
  • 强制遵守支付卡行业数据安全标准(PCI DSS)以保证信用卡/借记卡的安全性。
  • 调查涉及持卡人信息的违规行为,并建议采取纪律处分。

获授权接受信用卡/借记卡付款的部门负责:

  • 详细记录部门程序,包括:
    • 支付卡受理方式。
    • 逐步说明如何处理付款。
    • 所有部门PCI培训员工的完整名单。现金处理和信用卡安全意识培训是满足这一要求的唯一途径。
  • 参加实地考察,以便每年为您的商户位置完成自我评估问卷(SAQ)。
    • 财务司办公室和OIT安全办公室将与部门经理协调访问,并代表部门完成SAQ。
  • 每年完成一次付款处理设备库存审计,并经常检查设备。检查必须记录在案。
  • 审查和理解PCI信息安全页上包含的内容和要求。
  • 合理谨慎地审查收费交易,以减少信用卡滥用和资金损失。
  • 确保所有员工每年完成所需的现金处理和信用卡安全意识培训。
  • 协助财务处处理退款事宜。

 

办理信用卡的员工负责:

  • 确保所有持卡人资料的安全。
  • 审查和理解PCI信息安全页上包含的内容和要求。
  • 每年完成现金处理和信用卡安全意识培训。

定义

持卡人资料(CHD)持卡人资料包括完整的主帐号(PAN)、持卡人姓名、有效日期和服务代码。

退款退款是对先前收到的信用卡付款的撤销。如果一个部门不能证明客户授权了一笔信用卡交易,这笔交易的金额将从该部门的账户中扣除。

商业系接受信用卡和/或借记卡作为支付商品、服务、信息或礼物的方式的大学系。

主帐号(PAN) PAN是唯一的信用卡或借记卡号码,用于标识发卡银行和持卡人的帐户。

销售点(POS)硬件和/或软件,用于在商户地点处理信用卡/借记卡交易。

在文档存储之前将敏感或机密信息从文档中删除的过程。

SAQ是“自我评估问卷”的缩写。报告工具,用于记录实体PCI DSS评估的自我评估结果。

 

接受信用卡付款

被授权接受信用卡或借记卡支付的部门必须合理谨慎地筛选交易,以减少信用卡/借记卡的滥用。

财务官员和运营经理必须熟悉本页和PCI信息安全页上的信息。这些资料应作为向处理交易的工作人员提供的培训的一部分。

过程

接受银行卡付款:

卡目前(在个人购买)-芯片卡

  1. 要求客户将卡插入芯片设备,并在整个交易过程中将卡留在设备中。或者,如果在终端上启用了抽头,并且客户的卡允许这样做,则可以抽头。
  2. 芯片卡和终端将决定是否需要PIN或签名进行验证。
  3. 如果需要PIN码,设备会提示客户输入。(当基于pin码的交易被批准时,客户从终端提取芯片卡。你没有机会检查卡片。)
  4. 如果交易经过pin码验证,则不需要签名。
  5. 如果客户不知道他们的密码,要求另一种付款方式。
  6. 为客户打印、电子邮件或文本发送交易收据的副本。
  7. 如果交易不是基于pin码的,收据可能有一个签名线供客户签名。

卡片不存在(邮件、电话或网络订单)

  • 邮件或电话:大多数针对非现卡购买的安全措施都嵌入在软件或终端中。当您处理交易时,系统或终端会提示您输入信息,例如客户的账单地址和卡的安全码,这是为了减少欺诈。
  • 网络订单:如果你的部门有一个电子商务网站,不要为客户输入信用卡信息或通过电子邮件、聊天、即时消息或任何类似的消息传递技术接受付款信息,因为这会增加安全风险。引导客户到你的销售网站,让客户自己购买。

 

回应退款(争议交易)

持卡人有权对未经授权或错误收费的交易提出异议。未解决的争议交易可能会对大学继续接受信用卡/借记卡的能力产生负面影响。

应对有争议的交易:

  1. 当持卡人与他们的金融机构有争议时,财务司办公室会被联系。
  2. 财务司司长办公室向商业部门的争议解决联系人提供交易细节。他们要求部门提供有关交易的支持文件(副本请求)。
  3. 部门争议解决联系人有2个工作日的时间回复所要求的文件。没有宽限期。如果你错过了这个截止日期,这笔交易的收入将从你所在部门的账户中扣除。
  4. 财务办公室将文件(反驳)转发给大学的商业处理人员。反驳意见被发送给客户的金融机构,由其审查并作出决定。部门可能会被要求提供额外的信息。
  5. 有争议的交易要么有利于商家部门,要么有利于客户。财务司办公室公布部门账户的任何调整。

退款交易

当使用信用卡或借记卡购买商品或服务并且需要退款时,退款必须记入购买时使用的同一张卡帐户。

退还一笔交易:

  • 通过与原始销售相同的技术处理退款(例如,终端,网络,销售点(POS)系统)。
  • 一定要用在原始销售中使用的同一信用卡账户。不要开现金或支票。
  • 退款金额不得超过原销售金额。不要在一个交易中合并多个退款,因为这可能导致交易被标记为可能的欺诈。

 

协调信用卡/借记卡交易

财务会计办公室在每个工作日向Oracle发送收据交易。各部门必须定期将其内部销售记录与提交给Oracle的金额进行核对。各部门还必须进行月度对账,以确保其销售日志与发布到Oracle总账上的金额相匹配。核对所有帐目,确保所有收入在Oracle中正确入账。如果有差异,请尽快通过cashier@ohio.edu与财务长办公室联系。

 

保存商户咭记录

记录是官方的、可信赖的文件,用于问责制和透明度。保留记录的要求是由联邦和州法律法规强制规定的。商户卡记录由订单文档、销售收据、结算报告、支付卡行业(PCI)自我评估问卷(saq)和相关文档组成。

您的部门必须以pci兼容的方式保留销售收据和订单。保留本会计年度和前4个会计年度的这些记录。方便时销毁这些过期的记录,但至少每月销毁一次。在处理一笔交易后,必须立即修改卡号。如果交易有争议,保留交易记录,直到争议解决。

如需协助,请咨询财务长办公室。

 

将持卡人数据安全地存储在纸上

因为将持卡人数据存储在纸上增加了安全漏洞的风险,除非您有强烈的业务需求,否则请避免这样做。

将持卡人资料安全地储存在纸上:

  1. 如果您认为您有业务需要存储持卡人数据,请咨询财务司办公室以确认您的业务需求并确定最佳存储方法。未经财务司司长批准,不得储存持卡人资料。
  2. 对于任何包含卡片信息的纸张,请遵循以下最低PCI标准:
    • 将包含持卡人信息的所有材料存放在受限/安全区域的上锁文件柜、保险柜或其他安全存储机制中。
    • 切勿在销售处理后存储敏感的身份验证数据,如CVC2/CVV2/CID或PIN。
    • 在需要知道的基础上,限制员工访问销售草案、报告或其他持卡人数据来源。
    • 确保所有的识别信息都是根据本页上提供的信息被删除或编校的。
    • 在打印的收据上只显示信用卡/借记卡帐号的最后四位数字。
    • 定期盘点存储的纸质表格,以说明所有贷/借交易文件。当销毁包含持卡人信息的纸质表格时,使用十字形碎纸机使其无法读取。
    • 不要在任何电子系统中存储卡片信息,包括客户数据库或电子表格。

修订

编校是在文档存储之前从文档中删除敏感或机密信息的过程。

编辑:从纸质文件中编辑信息:

 

  1. 扫描文档前(请使用以下方法之一):
    • 用物理方式剪掉所有要编辑的文本,并通过横切碎纸机或使用官方批准的文件销毁服务(如Shred-It)处理剪报。
    • 用不透明的胶带或纸完全盖住要修改的部分。
  2. 在完全剪切或覆盖待编辑的文本后,复制或扫描文档,确保没有未编辑的敏感个人信息可见;使用生成的副本或图像。
  3. 横切撕碎纸质文件。

编校方法不足

使用以下方法从文件中编辑信息,因为它们是不充分的:

 

  • 更改文本颜色:更改编校文本的字体颜色以匹配文档的背景颜色,使任何使用鼠标单击并拖动该区域的人都可以轻松发现编校文本。
  • 覆盖或突出显示文本:用图像或注释覆盖编辑过的文本,或用匹配的颜色突出显示文本,使编辑过的文本可被发现。
  • 只删除可见数据:数字文件保留了包含修订历史和其他信息的嵌入和隐藏元数据。元数据可以在任何时候显示文件中包含的任何内容,甚至是以前删除或更改的文本,甚至文件被重新保存。元数据对于跟踪修订可能很有用,但如果没有从文档中清除,任何人都可以查看已删除的信息,即使文档已转换为PDF格式。
  • 空白或更正带:可以从暴露敏感数据的文件中删除空白或更正带。
  • 黑色记号笔:用黑色记号笔编辑的文件的硬拷贝仍然可以提供足够的图像细节,使某人能够看到假定隐藏的内容;如果相同的数据在文档中重复多次,这种方法尤其危险。

支付卡受理要求

必须将卡插入(芯片)或在卡处理终端或密码板上轻敲。按照终端或PIN pad给出的提示操作。交易完成后,请勿保留任何信用卡资料。

卡和账户信息可输入到卡处理终端。按照终端给出的提示操作。如果在进入交易时写下了任何卡片信息,那么一旦交易完成,这些信息必须被切碎。

大多数基于个人电脑的传真软件不提供一个安全的存储库来存储传入的传真,因此接受卡信息的最佳方法是在受控位置的一台独立的传真机。像对待现金一样对待这些传真。

卡片信息可以输入到卡片处理终端。按照终端给出的提示操作。一旦交易完成,传真上的卡信息必须修改。如果必须保留完整的传真,最好将卡片信息从文件中删除。

卡片信息可以输入到卡片处理终端。按照终端给出的提示操作。一旦交易完成,邮寄表格中包含卡片信息的部分必须以批准的方式进行编辑。

电子邮件卡信息绝不能在电子邮件中被接受。如果客户通过电子邮件发送卡片信息,删除该电子邮件,也从已删除项目或垃圾文件夹中删除。通过电子邮件向客户发送不接受卡信息的响应。在回复中,向客户提供发送卡片信息的备选方法列表(传真、邮件、电话等)。当您回复原始电子邮件时,请删除发送邮件前提供的任何卡片信息。

短信卡信息绝不能在测试短信或任何其他类型的即时短信系统中被接受。如果客户以这种方式发送卡片信息,则删除该消息并发送响应,表示不以这种方式接受卡片信息。在回复中,向客户提供发送卡片信息的备选方法列表(传真、邮件、电话等)。当您回复时,请确保在提交之前已删除任何卡片信息。

表单设计技巧当设计一个表单时,要有一个区域来输入卡片信息,把这个区域放在表单的底部。付款处理完毕后,可以将表格底部切割或撕破,然后交叉切割切碎。在扫描或成像表格或准备其他长期存储之前删除卡片信息。卡片上的信息在处理时一定要被交叉切碎。

处理延迟提示:最好只接受可以立即处理的信用卡信息。如果需要延迟,并且必须存储卡片信息,则不要以电子格式存储,而应将包含卡片信息的纸张视为现金。

 

安全

保护客户的支付卡信息不仅仅是一个好主意——它是一种要求。两套标准适用于商户卡处理单位:

  • 支付卡行业数据安全标准(PCI DSS)是PCI安全标准委员会为保护持卡人数据而制定的技术和操作要求。PCI DSS适用于存储、处理或传输持卡人数据的所有业务实体。该委员会负责管理这些安全标准,并由创始成员委员会(American Express、Discover Financial Services、Visa和MasterCard)强制执行。
  • PCI信息安全页提供了与PCI DSS相关的附加内容。

每个商业部门都有责任遵守PCI DSS中的所有政策和程序,以及俄亥俄大学制定的政策和程序。不遵守这些政策和程序的商家可能会失去接受信用卡支付的能力。

财务长办公室和信息技术安全办公室负责确保所有接受支付卡(用于销售商品或服务)的大学部门符合所有适用的数据安全标准。定期检讨各部门的处理环境,以确保所有的政策和程序都得到遵守。一如既往,任何商业运作都要接受审计、风险和合规办公室的正式审查。

 

符合PCI标准

所有部门负责人必须确保他们的部门遵循支付卡行业数据安全标准(PCI DSS),以保持支付卡数据的安全。所有部门必须达到这一标准,否则将不允许接受信用卡/借记卡。

达到这个标准可以保护你的部门和大学。数据泄露可能会导致罚款、处罚、信用卡/借记卡处理机构的特权丧失,并损害大学的声誉。这个标准也保护你的客户。数据泄露可能导致身份盗窃,并可能导致诉讼。此外,顾客不愿意在有数据泄露历史的地方购物。

 

过程

要符合PCI标准,请咨询财务主管办公室和信息技术安全办公室。他们将帮助您确定您在以下方面的合规性:

  • 建立和维护一个安全的网络
  • 保护持卡人资料
  • 维护防毒软件
  • 实施强有力的访问控制措施
  • 定期监控和测试网络
  • 维护信息安全策略

每年验证PCI合规性

所有接受信用卡/借记卡的部门必须遵循支付卡行业数据安全标准(PCI DSS)来保证信用卡/借记卡的安全性。各部门必须每年验证其PCI DSS的合规性。

在更改处理信用卡/借记卡付款的方式之前,请与财务司司长办公室联系,以确保您遵守规定。您可能需要在下一个计划的年度验证之前重新验证遵从性。

每年验证PCI合规性:

  1. 财务司司长办公室将与部门经理或指定联系人联系,安排物理或虚拟现场访问。
  2. 参与实地考察,协助完成自我评估问卷。
  3. 确认所有员工每年都参加现金处理和信用卡安全意识培训。

支付卡行业标准

所有接受支付卡的大学院系必须遵守支付卡行业数据安全标准v4.0和PCI信息安全页面的所有要求。

遵循PCI DSS的最基本文件如下:

  • PCI DSS v4.0 (PDF)是完整的需求列表。
  • PCI DSS变更摘要v3.2到v4.0 (PDF)仅注意到从版本3.2到4.0的更改(2022年12月)。
  • PCI DSS v4.0快速参考指南(PDF)提供了标准的快照,并为新手提供了补充信息。