신용 카지노 처리
6115 장
2016 년 11 월 16 일 개정
목차
.010소개
.020신용 카지노 수락 및 처리
.030신용 카지노 결제 프로세서
.040기밀 정보 처리에 대한 교육
.050신용 카지노 정보 처리
.060신용 카지노 처리에 사용되는 기술
.070지불 카지노 산업 요구 사항
.080정착
.090Chargebacks
.100카지노 소지자 정보 공개 없음
.110질문
.120결제 카지노 산업 계약 언어 (PCI) 데이터 보호
.130관련 정책
.010소개
이 장은 캔자스 주립 대학의 수수료, 제품 및 서비스에 대한 지불로 신용 카지노 수락에 관한 지침을 제공합니다. 캔자스 법령에 따라 75-30,100 (a)에 주석을 달고, 수수료, 학비 또는 기타 요금을 부과하거나 징수하는 주정부 기관은 개인, 인증 또는 계산원의 수표 또는 우편환 형태로 지불을 수락해야합니다.
.020 신용 카지노 수락 및 처리
금융 서비스 부서는 신용 카지노 장비의 취득을 촉진하고 신용 카지노 처리 수수료를 부서에 평가할 것입니다. 부서는 필요한 경우 신용 카지노 터미널의 전화선을 설치해야합니다.
신용 카지노 처리와 관련된 모든 기술 구현은에 따라야합니다.지불 카지노 산업 데이터 보안 표준 (PCI DSS). 표준 준수를위한 장비 비용 또는 기타 관련 조치는 부서의 책임이 될 것입니다.
신용 카지노 처리 비용 (할인 수수료, 교환 수수료 등)은 부서별 자금으로 지불되며 지출 문서는 모든 캠퍼스 부서의 금융 서비스 부서에서 준비합니다. 이 대학은 신용 카지노 프로세서에 의해 중앙에서 인보를 받고 금융 서비스 부서는 서비스 요금의 부서 부분에 따라 부서에 비용을 분배합니다..
대학의 직원은 카지노 거래와 관련하여 카지노 소지자에게 현금을 발전시키지 않습니다. 신용 카지노 지불금은 캔자스 주립 대학교가 카지노 소지자에게 제공 한 상품 및/또는 서비스에 대한 지불 거래를 처리 할 목적으로만 사용됩니다.
.030 신용 카지노 지불 프로세서
부서는 Kansas State University와 계약중인 신용 카지노 결제 프로세서를 사용해야합니다. 이 계약은 Visa, MasterCard, Discover 및 American Express의 수락을 제공합니다.
차별없이 유효한 신용 카지노를 적절하게 입찰하지 않은 대학의 명예. 캔자스 주 계약에 따라, 어떤 단체도 유효한 카지노를 존중하는 것을 거부 할 수있는 위 또는 아래에 1 달러를 설정할 수 없습니다.
우편, 전화 또는 사전 승인 된 거래로 지불이 접수되는 경우, 실제로 카지노 소지자이거나 카지노의 승인 된 사용자 인 구매자에게 각 카지노 판매를 할 수 있도록 합리적인 절차를 수행하는 것은 대학의 책임입니다. 각 부서는 캔자스 주 계약에 따라 대학이없는 것처럼 지불 거래 기록을 보관할 책임이 있습니다. 카지노 소지자가 구매에 분쟁 할 경우.
다른 제 3 자
제한된 신청서에서 부서는 다른 제 3자를 사용하여 서비스 및 제품 판매를위한 신용 카지노 수락을 지원할 수 있습니다. 예를 들어, 제 3자는 부서 용 전자 상거래 웹 사이트를 호스팅하거나 Point-of-Sale 시스템과 같은 특수 목적 애플리케이션을 지원할 수 있습니다.
- 캔자스 주립 대학을 대신하여 신용 카지노 정보를 처리, 저장 또는 전송하기 위해 제 3 자와 계약을 체결하기 전에, 제 3자는 금융 서비스 부서와 IT 서비스의 정보 보안 및 준수 사무소에서 검토 한 PCI DSS 준수에 의해 승인되어야합니다.
- 계약은 아래 섹션 .120,“제 3 자의 계약 언어”에 언어를 포함해야합니다.
- 부서는 매년 제 3 자의 PCI DSS 준수 상태를 확인하고 규정 준수 문서를 금융 서비스 부서에 제출해야합니다. 부서는 또한 사본을 보관해야합니다.PCI 보안 표준 협의회의 검증 된 지불 신청 목록또는 PCI Security Standards Council에서 제 3자가받은 공식 통지 사본은 지불 신청서가 인증되었고 지불 신청서가 마지막으로 검증 된 날짜입니다.
.040 기밀 정보 처리에 대한 교육
에 따른PPM 제 3415 장, 신용 카지노 정보는 정보 보안 계획에 따라 보호되고 고려됩니다. 모든 신용 카지노 정보는 기밀 데이터로 취급되며 적절하게 처리됩니다.
신용 카지노 거래를 수락하는 모든 부서는 신용 카지노 정보에 액세스하거나 신용 카지노 지불을 처리하는 데 사용되는 장비, 소프트웨어 및 절차에 액세스 할 수있는 모든 직원 목록을 유지하는 PCI 관리자를 식별합니다. 신용 카지노 장비는 변조의 증거를 정기적으로 검사합니다. 금융 서비스 부서 및 정보 보안 및 준수 국은 신용 카지노 거래를 수행하는 모든 직원을위한 교육 세션을 수행 할 책임이 있습니다.
.050 신용 카지노 정보 처리
모든 신용 카지노 정보는 최소한으로 유지됩니다. 신용 카지노 정보의 저장 및 유지는 데이터 보존 정책에 문서화 된대로 비즈니스, 법률 및/또는 규제 목적으로 필요한 것으로 제한되어야합니다.PCI DSS.
신용 카지노 터미널 또는 다른 프린터로 인쇄 된 영수증은 기본 계정 번호 (PAN)의 첫 6 개 및 마지막 4 자리를 제외하고 신용 카지노 번호의 모든 숫자를 잘라내는 것입니다. 만료 날짜는 고객의 사본에 표시되지 않습니다.
신용 카지노 정보에 대한 액세스는 액세스 할 사업 이유가있는 사람들에게 엄격히 제한되어야합니다. 이러한 개인의 경우, 직무 분류 및 기능에 따라 직무 책임을 수행하는 데 필요한 최소한의 특권으로 접근이 제한되어야합니다.
- 직원 이름
- 위치 제목
- 신용 카지노 정보와의 상호 작용에 대한 설명 (즉, 부여 된 액세스 권한)
- 사용할 신용 카지노 기술 (예 : 카지노 스 와이프 터미널, Point of Sale Register, 웹을 통한 Cashnet 등)
- 액세스 권한을 승인하는 사람의 이름
- 액세스 권한을 승인하는 사람의 위치 제목
- 액세스 허가 날짜
신용 카지노 정보에 액세스 할 수있는 사용자 계정은 적절한 보안 및 액세스 제어가 시행되도록 관리해야합니다. 여기에는 인증, 계정 생성 및 삭제 관리, 역할 변경으로 권한을 할당하고 제거하는 것이 포함됩니다.K-State 's EID정보 기술 서비스의 책임입니다. CashNet의 계정은 금융 서비스 부서에서 관리합니다.
전화 또는 우편을 통해 신용 카지노 번호가 제공되는 경우 승인 및 훈련 된 직원만이 정보에 액세스 할 수 있어야합니다. 거래가 신용 카지노 터미널에 입력 되 자마자 신용 카지노 정보가 포함 된 양식은 크로스 컷 파쇄기에 파쇄되어야합니다.
신용 카지노 정보를 포함하는 문서를 유지 해야하는 경우, 문서는 승인 및 교육을받은 직원에게만 액세스 할 수 있어야합니다. 이 문서는 항상 "기밀"으로 표시되어 있으며 승인 및 훈련 된 직원에게만 액세스 할 수있는 잠긴 지역 또는 캐비닛에 저장해야합니다.
신용 카지노 정보가 다른 부서에 종이에 제공되어야하는 경우, 신용 카지노 정보가 포함 된 논문은 봉인 된 봉투로 둘러싸여 "기밀"으로 표시되고 개인 택배로 운송되어야합니다. 문서는 보내는 부서에서 체크 아웃하고 수신 부서에서 체크인하여 문서의 교환 방법에 대한 종이 트레일을 제공해야합니다.
신용 카지노 정보는 이메일을 통해 보내지 말아야합니다. 또한 신용 번호는 최종 사용자 메시징 기술 (예 : 인스턴트 메시징, 채팅 등)에서 보내지 않아야합니다.
대부분의 신용 카지노 터미널은 매일 신용 카지노 터미널에서 예금 보고서와 자세한 거래 보고서를 제공합니다. 이 보고서는 신용 카지노 번호의 마지막 4 자리, 거래 수 및 수신 된 자금을 기록하고 입금하는 데 필요한 거래 금액을 최대로 제공 할 수 있도록 터미널을 프로그래밍해야합니다.
신용 카지노를 사용하여 고객으로부터 지불을받은 경우 원래 사용한 동일한 신용 카지노에 대한 환불이 이루어집니다. 현금 또는 환불 수표는 카지노 소지자가 판매자에게 청구 회수를 요청하면 상인 은행의 환불 증거로 허용되지 않기 때문에 신용 카지노 판매에 대한 상환 방법이 허용되지 않습니다..
원격 액세스
CCNET의 카지노 소지자 데이터 환경 (즉, CCNET)의 캠퍼스의 모든 시스템에 대한 캠퍼스에서 캠퍼스에 대한 액세스는 원격 지원을 제공하는 시스템 관리자 또는 공급 업체와 같은 원격 액세스가 필요한 비즈니스가 필요한 사람들에게 제한되어야합니다. 기타 요구 사항은 다음과 같습니다.
- 2 요인 인증은 신원을 확인하기 위해 사용해야합니다.
- 원격 액세스 세션은 15 분 동안 비 활동 후 자동으로 분리해야합니다.
- 공급 업체 또는 기타 비즈니스 파트너의 원격 액세스는 필요할 때만 가능하고 작업이 완료 되 자마자 비활성화해야합니다.
- 정의 된 비즈니스 요구에 대해 명시 적으로 승인하지 않는 한 원격 액세스 세션 중에 로컬 드라이브 또는 탈착식 전자 미디어 (USB 플래시 드라이브와 같은)에 카지노 소지자 데이터를 복사, 이동 또는 저장하는 것이 금지됩니다.
.060 신용 카지노 처리에 사용되는 기술
모든 신용 카지노 처리는 온라인 주문을 수락하는 웹 서버, 전화선 또는 캠퍼스 데이터 네트워크에 연결된 카지노 스 와이프 터미널 또는 수동으로 전화 또는 메일 인 주문을 입력하는 데 사용되는 사무실 워크 스테이션 등 기술과 관련이 있습니다. 신용 카지노 처리와 관련된 모든 기술은 지불 카지노 산업 데이터 보안 표준 (PCI DSS)의 요구 사항에 따라 안전해야하며 모든 K-State 정책 및 절차에 따라 사용됩니다.
- 신용 카지노 처리에 사용되는 모든 기술은 금융 서비스 부서의 승인을 받아야하며 자격을 갖춘 기술자가 설치해야합니다.
- 서버, 키오스크, 카지노 스 와이프 결제 스테이션, Sale 레지스터 등을 포함하여 K-State의 데이터 네트워크를 사용하는 모든 기술은 보안 신용 카지노 네트워크 (CCNET)에 연결하고 사용해야합니다..
- 그러한 모든 기술은 신용 카지노 지불이 수락되는 비즈니스 기능과 관련된 목적으로 만 사용될 수 있습니다. 예를 들어, 신용 카지노 정보를 지불 응용 프로그램에 입력하는 데 사용되는 사무실 워크 스테이션에서 일반 이메일 및 웹 브라우징을 수행 할 수 없습니다.
- CCNET (Secure Credit Card Network)의 모든 장치에는 최신 바이러스 백신 소프트웨어가 설치, 실행 및 현재 바이러스 백신 서명을 수신해야합니다..
- 금융 서비스 부서 및 정보 보안 및 규정 준수 사무소는 신용 카지노 처리에 사용되는 모든 기술의 재고를 유지합니다. 이 재고에는 장치에 대한 연락처 정보, 목적 및 책임 부서가 포함됩니다.
- K-State의 인수 은행, Bank of America에서 승인하거나 제공 한 카지노 스 와이프 터미널 및 모바일 결제 솔루션 만 사용될 수 있습니다. 예외는 금융 서비스 부서의 승인을 받아야하고 PCI에 의해 승인 된 핀 트랜잭션 보안 장치로 인증되어야합니다.
- 부서는 사기 장치의 변조 또는 대체를 감지하기 위해 신용 카지노 장비 (카지노 스 와이프 터미널 등)를 주기적으로 검사해야합니다. 의심스러운 징후는 즉시 금융 서비스 부서에보고되어야합니다.
- 신용 카지노를 처리하는 데 사용되는 지불 신청서는 PCI의 지불 응용 프로그램 데이터 보안 표준 (PA-DS)을 준수하도록 인증해야합니다. 여기에는 제 3자가 캠퍼스에서 주최하는 지불 신청서와 캠퍼스에서 호스팅 된 신청이 포함됩니다.
- K-State의 비밀번호 요구 사항을 충족하는 고유 한 사용자 이름과 강력한 비밀번호가있는 인증 인증을 지원하는 모든 기술에 사용해야합니다.
- 다음 유형의 계정에 대한 비밀번호는 90 일마다 변경되어야합니다. 신용 카지노 정보의 처리, 저장 또는 전송과 관련된 시스템에 대한 관리 권한이있는 계정 (예 : CCNET의 워크 스테이션 및 서버의 시스템 관리자 또는 신청서에 대한 신청서에 대한 신청서에 액세스 할 수 있도록 할 수 있습니다. 한 번에 단일 신용 카지노는이 요구 사항에 적용되지 않습니다.)
- K-State의 신용 카지노 정책에는 추가 요구 사항이 포함되어 있습니다. 섹션 참조.050 신용 카지노 정책PPM 6110의 자세한 내용은
.070 지불 카지노 산업 요구 사항
대학이 수락하는 모든 신용 카지노 회사는 결제 카지노 산업 요구 사항을 준수하여 모든 판매자 및 신용 카지노 프로세서가 상점, 전송 또는 처리 신용 카지노 소지자 정보를 필요로합니다. PCI DSS는 12 가지 요구 사항으로 구성됩니다.
안전한 네트워크 구축 및 유지 관리
- 카지노 소지자 데이터를 보호하기 위해 방화벽 구성을 설치하고 유지 관리합니다.
- 시스템 비밀번호 및 기타 보안 매개 변수에 공급 업체가 제공하는 기본값을 사용하지 마십시오.
카지노 소지자 데이터 보호
- 저장된 카지노 소지자 데이터 보호.
- 공개 공개 네트워크에서 카지노 소지자 데이터의 암호화를 암호화합니다.
취약성 관리 프로그램 유지 관리
- 안티 바이러스 소프트웨어 및 프로그램을 사용하고 정기적으로 업데이트하십시오.
- 안전한 시스템 및 응용 프로그램 개발 및 유지 관리.
강력한 액세스 제어 조치 구현
- 비즈니스에 의해 카지노 소지자 데이터에 대한 액세스 제한이 알아야합니다.
- 컴퓨터 액세스 권한이있는 각 사람에게 고유 ID를 할당합니다.
- 카지노 소지자 데이터에 대한 물리적 액세스 제한.
정기적으로 네트워크를 모니터링하고 테스트
- 네트워크 리소스 및 카지노 소지자 데이터에 대한 모든 액세스를 추적하고 모니터링합니다.
- 정기적으로 보안 시스템 및 프로세스를 테스트합니다.
정보 보안 정책 유지 관리
- 모든 직원의 정보 보안을 다루는 정책 유지.
부서에서 신용 카지노를 수락하기 전에이 12 가지 요구 사항이 마련해야합니다. 이러한 표준을 준수하지 않으면 대학에 상당한 벌금이 부과 될 수 있습니다.
PCI DSS를 준수하기 위해 신용 카지노 지불을 수락하는 부서는 연간 PCI 자체 평가 설문지를 완료해야합니다. K-State는 보안 신용 카지노 네트워크 (CCNET)에 위협과 취약점을 식별하기 위해 매년 공식적인 위험 평가를 수행해야합니다.
.080 정착
물리적 신용 카지노 터미널이있는 각 부서가 하루 종일 배치를 닫으면 신용 카지노 프로세서로 데이터 파일이 생성됩니다. 이 데이터 파일은 전자적으로 캔자스 주립 대학의 금융 서비스 부서로 전송되며 해당 배치의 자금은 각 부서의 기본 프로젝트 계정에 직접 입금됩니다.이 정착 과정에 대한 교육금융 서비스 웹 사이트에서 계산원/훈련에 따라 찾을 수 있습니다.
.090 Chargebacks
대학은 카지노 소지자 또는 카지노 발급자로부터 청구를받을 수 있습니다.
.100 카지노 소지자 정보 공개 없음
직원은 대학이 카지노 거래를 완료하는 데 도움이되는 공인 법인 이외의 신용 카지노 정보 공개를 방지하기 위해 합리적인주의를 기울여야합니다. 대학과 신용 카지노 프로세서는 알아야 할 필요가있는 직원에게 제한된 영역에 카지노 번호가 포함 된 모든 미디어를 저장하며 신용 카지노 정보가 포함 된 자료는 1 차 계정 번호를 읽을 수없는 방식으로 파괴됩니다.사고 보안 관리 계획.
.110 질문
신용 카지노 처리에 관한 질문은 금융 서비스 부서 (785) 532-6210.에 참조 할 수 있습니다.
.120 결제 카지노 산업 (PCI) 데이터 보호.
다음 언어는 캔자스 주립 대학을 대신하여 신용 카지노 정보를 처리하는 제 3 자와의 모든 계약에 포함되어야합니다.
Kansas State University는 신용 카지노 결제를 포함하는 거래를 수행하는 판매자이며<벤더는 Kansas State University를 대신하여 호스팅 된 애플리케이션을 제공하는 서비스 제공 업체이며, 양 당사자는 지불 카드 데이터 보안에 포함 된 모든 시스템 구성 요소를 보호해야합니다 (PCI DS).
- "카지노 소지자 데이터"는 카지노 소지자의 계정 번호, 만료 날짜, 이름 또는 주소를 포함하여 카지노 소지자와 관련된 개인 식별 가능한 데이터를 의미합니다.
- "시스템 구성 요소"네트워크 구성 요소, 서버, 보안 서비스 및 응용 프로그램 포함.
.130 관련 정책
