有用的链接

在俄亥俄州

关于俄亥俄 入学 体育运动
学者 俄亥俄州的生活

与我们联系

Office of the 财务主管
丘布堂010号
雅典,俄亥俄州45701
方向
740.593.0767

PCI Information 安全

介绍

支付卡行业(PCI)安全标准委员会, 一个由主要信用卡公司组成的组织, 有否制订资料保安标准,以确保信用卡交易可靠及安全. 选择接受信用卡交易作为一种支付方式的组织按照合同要求遵守PCI安全标准委员会制定的标准. 不遵守法规会导致更严格的法规要求, 罚款, 及/或暂停信用卡处理服务.

The standards created include:

  • 处理和限制信用卡信息的控件
  • Computer and Internet security
  • 报告信用卡信息泄露

信用卡行业需要遵守这些标准,以便商家接受信用卡支付. 校园内许多部门和商户在日常业务中都要办理信用卡交易. 像这样, newbb电子平台(Ohio)旨在通过此程序保护客户的隐私,并保持对支付卡行业数据安全标准(PCI DSS)的遵守。.

本手册定义了遵守支付卡行业数据安全标准(PCI DSS)所需的所有政策和程序。. These policies apply to all employees, 与信用卡处理有关的系统和网络,包括传输, 存储和/或处理信用卡号码在newbb电子平台.

所有参与卡处理环境(CPE)的员工都必须阅读, 理解, 并同意遵守本手册中的所有政策. 此处政策的任何变更必须由俄亥俄PCI DSS合规委员会批准和传播.  俄亥俄州PCI DSS合规委员会由财务长办公室和OIT安全办公室的雇员组成.

这些政策可以随时更新,并且必须每年审查一次.

本文件中列出的要求并非所有组成部分都直接适用于个别俄亥俄州商人,而是要求俄亥俄州作为一个整体达到. 有关此程序的问题应直接向俄亥俄州PCI DSS合规委员会提出.

俄亥俄PCI DSS -一般PCI DSS程序

介绍

以下程序适用于newbb电子平台(Ohio)接受信用卡作为支付方式的部门在进行公务时使用。. 俄亥俄州接受信用卡支付,以方便其客户. 已获批准的部门可以接受Visa, 万事达卡, 发现, 美国运通, 有Visa或万事达卡标志的借记卡, 以及pin-based debit. 俄亥俄州接受信用卡的部门必须遵循严格的程序来保护客户的信用卡数据. 此外, 这些指令提供指导,以最大限度地遵守支付卡行业数据安全标准(PCI DSS),并确保与大学的财务和其他系统的适当整合.

To be approved to accept credit cards, 各部门必须与财务司司长办公室联系,讨论信用卡处理方案. 财务司司长办公室必须在购买信用卡申请之前包括在内. 根据确定的信用卡处理类型,可能需要建立商家ID.

根据newbb电子平台的程序,只有获得批准的院系才可以接受用信用卡支付商品或服务. 大学院系将承担因不遵守此程序而产生的所有处罚.

处理类型

类型 描述
销售点(POS)

定义:通过终端机或收银机进行信用卡交易的场所.

适用的方:由传统上通过POS(寄存器)设备进行交易的高频率决定, 银行拥有的桌面终端和/或计算机.
电子商务

定义:在互联网上买卖产品或服务.

适用的一部分s: 由传统上通过基于网络的软件进行交易的中高频业务决定. 交易可以通过集中的大学提供商或分散的(特定部门)俄亥俄拥有的软件进行. 大学的任何电子商务交易必须使用大学的首选供应商进行处理,除非财务处批准例外情况.
第三方

定义: 信用卡交易通过俄亥俄的外部方处理. 软件可能属于或不属于俄亥俄.

适用的方: 由传统上通过POS(寄存器)设备和/或计算机进行交易的中高频率业务决定.
财务主管

定义: 信用卡信息由俄亥俄州各部门收集,并通过财务办公室进行处理.

适用的方:由各部门手工收集并由财务司司长办公室处理的低频率业务决定.

 

年度评估

每个接受信用卡的部门必须完成一份年度自我评估问卷(SAQ). SAQ将由俄亥俄州PCI DSS合规委员会在需要的部门协助下完成. 适用的处理类型将决定要完成的SAQ.

 

SAQ类型

描述

A

无卡商家(电子商务或邮购/电话订购), 所有持卡人数据功能外包. 这绝对不适用于面对面的商家..

A-EP

将所有支付处理外包给PCI DSS认证第三方的电子商务商家, 他们的网站不直接接收持卡人的数据,但这可能会影响支付交易的安全性. No electronic 存储, 处理, 或在商家的系统或场所传输任何持卡人数据.  Applicable only to e-commerce channels.

B

仅限商户印鉴,无需电子持卡人数据存储, 和/或独立的, 拨出终端商家无电子持卡人数据存储. Not applicable to e-commerce channels.

b

独立的, 通过pts认证的支付终端,与支付处理器有IP连接, 无电子持卡人数据存储.

Not applicable to e-commerce channels.

C-VT

商家只使用基于网络的虚拟终端,持卡人没有电子数据存储

C

商家的支付newbb电子系统连接到互联网, no electronic cardholder data 存储

P2PE-HW

商家只使用硬件支付终端,这些终端包含并通过一个验证过的, PCI SSC-listed P2PE solution, 无电子持卡人数据存储.

Not applicable to e-commerce channels.

D

所有其他未包括在上述SAQ类型A至C的描述中的商家, 以及由支付品牌定义为有资格完成SAQ的所有服务提供商.

 

定义

商人ID -大学商业银行的账号,该账号允许一个系接受信用卡支付. 商家ID允许公司接收和处理信用卡交易,并将资金从买方(客户)账户转移到卖方(大学)账户.

Pci DSS合规性 支付卡行业数据安全标准(PCI DSS)是一套被广泛接受的旨在优化信用安全的政策和程序, 借记卡和现金卡交易,保护持卡人的个人信息不被滥用. PCI DSS于2004年由四大信用卡公司联合创建:Visa, 万事达卡, 发现 and 美国运通. newbb电子平台有合同义务遵守PCI DSS.

SELF ASSESSMENT QUESTIONNAIRE (SAQ) -一个验证工具,帮助商家验证其符合PCI-DSS.

持卡人数据 -全磁条或PAN加上以下任何一项:

  • 持卡人的名字
  • 截止日期
  • 服务代码

 

俄亥俄PCI DSS -用户认证和访问

目的

这概述了访问敏感卡数据时的身份验证和访问控制要求.

范围

这适用于俄亥俄州(卡处理环境)CPE中的所有用户.

过程

  • 识别
    • 确保正确的用户识别和授权.
    • 用户帐户必须使用唯一标识符,不允许使用组或共享帐户
    • 在进行任何更改(包括添加、删除或修改)之前验证用户身份.
    • 用户必须每年确认了解帐户程序和程序. 帐户必须符合以下参数.
    • 第一次使用的密码必须唯一,并在第一次使用时及时修改
    • Passwords must change every 90 days
    • Do not use group or shared 密码
    • 密码必须是强大的,并符合大学凭据程序#91.004
    • 密码不能与最近15个相同
    • 当失败尝试超过6次时,帐户必须使用至少30分钟的锁定.
    • 密码必须是不可读的,并在任何存储系统上使用强加密技术.
    • System access must be logged. 对所有系统数据的成功和失败访问必须记录并保留至少1年. 日志必须在线保存90天.
    • 供应商帐户必须只在需要它们的时候才启用.
    • 15分钟不活动后自动断开访问技术会话. 这因系统而异,但不应超过90分钟. 
    • 对有权访问系统的潜在员工进行适当的背景调查, 网络, 或持卡人数据,按照俄亥俄州的程序进行背景调查和当地法律. 如果员工一次只能使用一个卡号,以方便交易, 比如有监督的商店收银员, PCI DSS不要求背景调查. 然而,俄亥俄州关于员工背景调查的程序必须遵守.
  • 访问
    • 在“需要知道”的基础上限制对数据的访问.
    • 授权必须在由定义访问权限的管理层签名的表单上完成.
    • 必须安装自动门禁系统.
  • 删除
    • 必须存在一个进程,以便在通知某个帐户不再需要时立即禁用和删除该帐户.   
    • 使用r Accounts must be 综述了; inactive accounts shall be retired at least every 90 days.

执行

任何员工被发现违反了这一规定,将受到其行政单位的纪律处分, 这个部门, 或者是大学.

 

俄亥俄pci - DSS -它

介绍

newbb电子平台提供信息技术资源支持学术, 行政, 教育, 研究, 并在机构优先事项和财政能力范围内为其适当附属成员提供服务. 为大学提供信息技术资源, 一个自由和开放的论坛渠道,表达思想,铭记大学的核心价值观. In order to protect the confidentiality, 完整性, 以及为预期目的提供的信息技术资源, 制定了以下程序. 此程序的范围包括大学拥有的所有信息技术设备, 任何连接到大学网络的设备, 以及这些设备上的所有大学相关数据.

过程

  • 信息技术资源的所有使用应与newbb电子平台的所有其他相关政策保持一致.
  • 用户必须了解并遵守所有联邦法规, 状态, 当地的, and other applicable laws, 合同, 规定, 和许可证.
  • 利用信息技术获取支持学术以外的资源, 行政, 教育, 禁止为大学的研究及服务任务或超过有限的社会目的.
  • 所有用户只能访问或尝试访问他们被授权使用的信息技术资源,并且只能以授权的方式和范围访问.   被授权使用这些设备和技术的人员名单将被记录下来,并每年进行审查.
  • 禁止试图绕过信息技术安全系统.
  • 禁止破坏大学授权活动.
  • 利用信息技术进行侦察, vulnerability assessments, 禁止未经授权的人员进行类似的活动.
  • 用户需要保护其机密性, 完整性, 以及信息技术的可用性.
  • 匿名使用, 模拟, 禁止在信息技术资源上使用假名逃避责任.
  • 禁止在俄亥俄州拥有或占用的任何财产上使用任何未经许可的频谱空间, 除非它是大学部署的无线服务的一部分.
  • PCI事件响应计划将遵循newbb电子平台事件响应计划.  必须记录事件响应和业务连续性计划, 综述了, 每年测试一次. 对结果的分析将形成文件.

责任

University 责任

  • 提供和协调信息技术资源,以完成指定的学术支持任务, 行政, 教育, 研究, and service missions, 在机构优先级和财政能力的范围内.
  • 沟通、审查、更新和执行政策以保护信息技术资源.
  • 采取合理措施缓解安全威胁.

使用r 责任

  • 阅读,同意,并遵守所有大学的政策和程序更新.
  • 在使用资讯科技资源时,实行安全计算.
  • 在发现指定的信息技术资源已被访问时通知大学官员, attempted to be accessed, 或容易被未经授权的用户访问.
  • 用户对其分配的信息技术资源所产生的活动负责.

安全 and 隐私声明

俄亥俄州尊重所有信息技术用户的隐私. 大学不定期监控材料的内容,但保留访问和审查其信息技术基础设施的所有方面,以调查性能或系统问题的权利, search for harmful programs, or upon reasonable cause, 确定用户是否违反了某个过程, 状态 or Federal law. 俄亥俄州的监控, 保持, and audits detailed records of information technology usage; traces may be recorded routinely for trouble shooting, performance monitoring, 安全目的, 审计, recovery from system failure, 等.; or in response to a complaint, 为了保护学校和他人的设备, 软件, 以及未经授权使用或篡改的数据. Extraordinary record keeping, 针对技术问题或投诉,可以使用跟踪和特殊技术, or for violation of law, procedure or 规定, 但只有经过大学管理者的批准,才有资格给予这样的批准. 除了在正常情况下尊重个人隐私之外, 投诉者的私隐将会得到尊重,大学将会限制特别记录的保存, 在可行的地方. 我们将依法发布相关信息. 用户应注意,虽然大学实施了各种安全控制措施,以保护信息技术资源, 不能保证数据不被未经授权的个人窃取.

执行 and Sanctions

违反俄亥俄信息技术程序的个人或实体将被提交适当的纪律当局进行审查. 如果确定违反程序正在对机密性造成当前或迫在眉睫的威胁,则可以暂停访问权限,而无需事先通知, 完整性, 或者信息技术资源的可用性.

定义 of Terms

Information Technology 资源

与信息管理和处理有关的所有方面. This includes facilities, 技术, and data used for university 处理, 转移, 存储, 和通信. Examples of these resources include, but are not limited to, 电脑, networking equipment, telecommunications equipment, 电子邮件, electronic information sources, 网络带宽, 无线设备, video communications, IP电话, University assigned accounts, 语音邮件, 密码, 访问控制, 存储介质, 文档, personal digital assistants.

安全计算

以符合其预期目的的安全方式使用信息技术. 要采取的安全措施的例子包括, but are not limited to, 使用不易被猜出的强密码, are changed regularly and are kept private; the application of all relevant security patches in a timely manner; maintenance of up-to-date virus definitions; backup and protection of important/critical data; security of 密码; protection of data and files.

物理安全程序

目的

本程序概述了保护CPE中的数据和设施所需的物理约束.

范围

This procedure applies to all faculty, 工作人员, 学生, 承包商, 咨询顾问, 临时, 以及俄亥俄州的其他工作人员,包括与第三方有关的所有人员. 本程序适用于俄亥俄州CPE中涉及的所有数据和设施.

过程

  • 访问- CPE中涉及的所有设备必须在安全的环境中维护. 只有与CPE相关的人员才允许访问数据中心.
  • 数据中心必须通过标记、锁定或其他管理批准的安全措施来限制访问. 必须保存进出中心的日志(电子或纸质).
  • 授权人员必须佩戴徽章或易于与公众区分.
  • 访客必须始终由具有访问数据中心权限的授权人员陪同. 
  • 限制对物理网络插孔、无线接入点和路由器的访问. 除非使用,否则交换机和路由器端口将被禁用.
  • 显示访问这些数据的系统和审计日志必须保留至少1年. 90天必须保持在线和可用的90天.
  • 安全
    • 所有敏感和信用卡数据必须始终保持安全. 授权使用陷阱、摄像机和电子控制装置来保护该设施.
    • 日志和摄像系统的审查应每月完成一次.
  • 商家/部门必须对包含持卡人数据的所有纸张和电子媒体进行物理保护. “工作文件”白天可以锁在柜子里,但在一天结束时必须放回安全或经批准的储存设施.  请参阅俄亥俄PCI DSS -数据保留和处理部分以获取更多信息.
  • 传真机, POS设备, 商户/部门用于处理持卡人数据的其他设备必须放在安全柜中, area, or safe when not in use.

执行

任何被发现违反本程序的员工都可能受到其行政单位的纪律处分, 这个部门, 或者是大学.

 

俄亥俄PCI DSS卡处理环境硬件

目的

为所有拥有的支付卡处理环境(CPE)建立基线安全配置程序, 操作, 或由俄亥俄州管理. 所有cpe将继续符合PCI DSS.

范围

本程序适用于俄亥俄cpe中使用的所有网络、系统和设备/工作站.

过程

  • 文档
    • CPE中涉及的网络和系统的配置将被批准并形成文件. 详细信息应包括名称、寻址、数据流以及与非cpe流量的分离. 标准应解决所有已知的安全漏洞,并与公认的行业强化标准保持一致.
    • 网络组件逻辑管理的角色和职责应被识别并形成文件. 角色包括但不限于:安全管理员、网络管理员、审批管理员等.
    • 所有的服务, 允许的协议和端口必须与业务使用需要一起记录, 并且必须提供使用不安全协议(如FTP)的文档, TFTP, 远程登录, 等. 包括为其使用提供的安全措施.
  • General Configuration rules:
    • 如果使用SNMP协议,团体字将从默认值更改.

    • 所有设备上的系统时钟必须同步到一个集中的时间源.

    • 所有远程控制台访问都应使用标准的强加密技术进行加密.

    • 配置更改必须提交给授权机构批准. Any changes must; be documented and dated, tested, and include rollback procedure.

    • 记录定义发现新安全漏洞的所有过程和过程,并相应地更新已定义的配置标准.=

  • 防火墙——CPE网络将在所有Internet连接上以及任何非CPE内部网络或DMZ之间安装一个基于硬件的状态包检查防火墙. Firewalls will be configured:
    • 拒绝所有传入流量,并根据CPE的特定业务需求设置例外
    • 拒绝所有出站流量,并根据CPE的特定业务需求设置例外.
    • 在网络上安装之前更改默认供应商密码
    • 禁止CPE与Internet之间的任何直接通信.
    • 只允许由IP地址指定的授权工作站进行管理访问.
    • 日志记录将被启用,并将记录所有传入和传出的连接. 日志将保存在单独的日志设备上的单独位置. 日志必须至少可用一年.
    • 所有CPE防火墙规则集将至少每两年审查一次.
    • Reviews must be documented and dated.
    • 运行和启动配置必须同步.
  • 网络设备
    • 所有网络设备(交换机、路由器、IDS/IPS等).)将有默认的供应商密码更改之前安装在网络上.
    • 所有与CPE的连接都将被完整记录.
    • 任何时候都不会有未连接到CPE设备的活动端口.所有变更CPE的请求都必须记录并批准.
    • All devices will have logging enabled. 日志将保存在单独的日志设备上的单独位置. 日志必须至少可用1年.
  • CPE Servers and Workstations
    • 连接到CPE的服务器和工作站将根据安全最佳实践进行安装和配置.
    • 软件安装将限于CPE运行所需的经批准的软件.
    • 不需要的协议和服务将被卸载或失效.
    • 基于主机的防火墙将处于运行状态,默认情况下将拒绝所有传入流量,并且仅对关键业务功能有例外.
    • 必须在CPE内的所有关键系统上安装并正确设置文件完整性监视软件.
    • 本地管理员和来宾帐户将被禁用.
    • 空闲会话需要重新输入密码才能重新启用会话.
    • 在可用的情况下,将通过密码机制保护对系统BIOS的访问.
    • Antivirus 软件 will be installed, 运行, 当前的,并且能够随时在当前易受此类危害的所有CPE计算机上提供审计日志.
    • 参与CPE的服务器将把其安全日志转发到CPE外部的服务器.
    • 操作系统补丁将在发布后1个月内安装.
  • Vulnerability Assessments
    • 漏洞扫描将在CPE的所有系统上每季度完成一次. 所有漏洞将立即解决. 
    • 外部和内部渗透测试应每年进行一次,并在基础设施发生重大变化之后进行.
    • Change Request 过程
    • 配置更改的书面请求必须来自授权的个人. The request will include a description, 商业原因, a start and end date, and a rollback procedure.
    • IT管理员将审查变更并确定所涉及的工作范围.
    • 经理将审核变更,批准或拒绝全部或部分变更.
  • 设备/终端检查和盘点
    • 通过与卡直接物理交互来获取支付卡数据的设备必须定期检查,以检测篡改和替换.
    • 维护包括make在内的所有设备的最新清单, 模型, 位置, 序列号或其他唯一标识设备的方法.
    • 定期检查设备表面是否有篡改(例如, addition of card skimmers to devices), or substitution (例如, 通过检查序列号或其他设备特征来验证它没有与欺诈设备交换). Document the regular inspections.
    • 对所有人员进行培训,使其了解试图篡改或更换设备的行为.

执行

任何被发现违反此程序的员工都可能受到(系或大学)的纪律处分。.

 

软件开发程序

目的

本程序概述了任何开发支付newbb电子软件或基于Web的传输newbb电子程序的安全性和要求, 处理或存储信用卡信息.

范围

This procedure applies to all faculty, 工作人员, 学生, 承包商, 咨询顾问, 临时, and other workers at 俄亥俄州, 包括所有与第三方有关的人员. 此程序适用于俄亥俄CPE的所有网络和数据.

过程

  • 开发环境——任何软件开发都必须在单独的开发/测试基础设施上完成. 严禁在未按照批准的《newbb电子平台》开发或变更生产系统上的生产软件。.

    • 生产数据不得用于任何开发,除非进行消毒,并删除所有识别敏感数据

    • 在系统投入生产之前,必须删除测试数据(id,帐户,数据等).

    • 开发人员和生产人员必须保持严格的职责分离.

    • newbb电子程序中信用卡信息的显示必须根据PCI DSS进行屏蔽. 只能显示前6位和后4位.

    • 在将软件放入生产环境之前,将由一个公正的小组或自动化软件进行单独的代码审查.

    • newbb电子程序开发的所有方面都需要严格遵守行业“最佳实践”和安全编码实践. 有关最佳实践的定义,请参见 http://owasp.orghttp://csrc.nist.gov/

  • Development Lifecycle
    • 所有基于Web的newbb电子程序都将由第三方每年或在进行重大更改时扫描漏洞.
    • When applications are no longer needed, they must be securely removed, 所有数据被销毁或无法读取. 系统和开发软件的备份也必须安全地删除/删除.
    • 必须实施并记录系统变更控制程序.
    • 在任何系统更改之前,必须记录和批准回滚程序.

执行

任何被发现违反本程序的员工都可能受到其行政单位的纪律处分, 这个部门, 或者是大学.

俄亥俄PCI DSS -数据收集,保留,和处置

目的

This procedure outlines the collection, 所有机密或敏感资料的储存及处理程序, 当不再需要卡片处理要求时. 数据必须使用本程序中记录的批准方法从俄亥俄系统中移除. 此要求包括存储在系统中的所有CPE数据, 临时文件或包含在存储介质和纸质文件.

 

范围

This procedure applies to all faculty, 工作人员, 学生, 承包商, 咨询顾问, 临时, and other workers at 俄亥俄州, 包括所有与第三方有关的人员. 此过程适用于俄亥俄网络中的所有CPE数据.

过程

  • 集合
    • 信用卡信息可以亲自收集, 通过电话, 通过邮件, 或通过安全的大学批准的互联网申请.
    • 信用卡信息不能通过电子邮件或短信收集.
  • 存储
    • 只要有业务需要,就允许存储以下信用卡信息. 必须提供书面证明,说明保留的业务需求. (参考PCI DSS“适用性信息”中的图表).)所有数据必须按照PCI DSS所有章节的描述进行保护.
      • Primary Account Number (PAN)
      • 持卡人的名字
      • 服务代码
      • 截止日期
    • 不允许存储的数据包括以下内容:(在“预授权”中有例外,见1.3
      • 全磁条(磁道1或磁道2数据)
      • CVV2, CVC2, CID, CAV2
      • PIN / PIN块
    • Pre-authorization Data including track, CVV2, 和密码信息, 是否会保留至交易授权完成为止. 禁止在授权后存储持卡人授权数据.
    • 显示访问这些数据的系统和审计日志必须保留至少13个月. 日志必须在线保存90天.
    • 用于通过远程访问技术访问持卡人数据的人员, prohibit the copying, 移动, 以及将持卡人数据存储到本地硬盘和可移动电子媒体上, 除非明确授权已定义的业务需要. 哪里有认可的业务需要, 使用策略必须要求根据所有适用的PCI DSS要求保护和记录数据.
    • 当存储包含信用卡号码的纸质记录时, 在处理交易时,除最后四位数字外,其余数字都要立即修改.  在处理交易时,通过横切切碎来编辑完整的卡号, 同时保留文档中支持销售的任何部分. 纸质记录必须存放在上锁的房间或柜子里,只有授权的员工才能进入. 在此实例中,被授权的员工被允许处理信用卡数据.
  • 处理
    • 当法律不再要求时,必须销毁所有敏感数据和信用卡数据, 合同, 或者商业需求. For transaction records, 交易收据保留日期为处理日期后的13个月.
    • 处理媒体数据的技术如下:
    • 硬盘:必须通过NSA批准的方式覆盖, 打碎了, 粉, or otherwise destroyed.
    • Floppy disks: must be shredded.
    • 光学媒体(CD、DVD、蓝光等.)必须切碎.
    • 其他磁性介质,(USB驱动器,存储卡等.)必须被批准的方法覆盖,否则将被销毁.
    • Paper: must be cross-cut shredded. 使用第三方服务销毁记录的, 取得销毁文件的证明.

执行

任何被发现违反本程序的员工都可能受到其行政单位的纪律处分, 这个部门, 或者是大学.

记录控制程序

目的

此过程概述了记录CPE中发生的所有操作的过程.  类型 and scale of logging, 适当的存储, 加密, 日志的处理必须遵守PCI DSS.

范围

This procedure applies to all faculty, 工作人员, 学生, 承包商, 咨询顾问, 临时, 以及俄亥俄州的其他工作人员,包括与第三方有关的所有人员. 本程序适用于俄亥俄网络中的所有CPE数据和系统.

过程

要进行详细级别的日志记录,以帮助重建CPE中发生的任何事件. 因此,需要为日志获取和存储准备一个安全的环境.

  • 要记录的事件.
    • The following events shall be logged.
      • 使用r access to any cardholder data
      • 日期 & Time
      • 事件类型
      • 发放
      • 受影响的数据、系统或资源的标识.
      • 对包含持卡人数据的任何系统的管理访问和对数据的特定访问.
      • 所有身份验证尝试(通过或失败)
      • 创建或删除系统级对象
      • Configuration changes
      • 访问和更改根或内核系统文件
      • 访问 and changes to log files
  • 存储
    • All logs must be stored.
      • 日志不应该存储在事件发生的同一个系统上, (例如,对域控制器上的用户进行身份验证). 日志应该被写入一个独立的健壮的系统,该系统在内部LAN上有自己特定的安全参数.
      • 限制授权人员访问日志.
      • Logs shall be dated on a daily basis.
      • 应安装文件完整性监控软件,监控对日志文件的所有访问和更改.
      • 日志应保留至少1年.
      • 必须进行审核以验证日志的可行性.
      • Logs must be 综述了 daily. 允许为此目的合并软件. 必须设置并定期测试适当的触发器和警报.

执行

任何被发现违反本程序的员工都可能受到其行政单位的纪律处分, 这个部门, 或者是大学.

俄亥俄州 PCI DSS - Backup 控制 过程

目的

本程序概述了CPE中涉及的所有备份子系统及其数据的控制. 存储, 识别, 运输, 隔离, 对备份系统中使用的介质进行加密和处理.

范围

This procedure applies to all systems, 数据和附属的第三方,包括俄亥俄网络中的CPE.

过程

  • 存储
    • 备份子系统必须被标识为CPE的一部分. 子系统上的持卡人数据必须呈现为不可读且无法通过未经批准的方式重建. 必须定期完成敏感数据的备份. 数据应定期检查恢复适用性.
    • Pre-authorization Data including track, CVV2, 和密码信息, 是否会保留至交易授权完成为止. 禁止在授权后存储持卡人授权数据.
    • 显示访问这些数据的系统和审计日志必须保留至少1年. 90天必须保持在线和可用的90天.
  • 控制
    • 所有含有敏感数据的媒体都必须被标记为机密,并且必须对媒体的存储和可访问性进行严格控制.
    • 媒体必须存放在管理层批准的安全地点. 此位置的可访问性必须受到限制,只有那些需要访问的才能访问. 所有进入该地点的人都必须被记录. 设施的安全必须每年检查一次.
    • 所有媒体信使和运输机制必须由财务处认证.
    • 任何传送到资讯科技设施控制之外的媒体,必须积极登入及登出. 所有储存和使用的介质及其下落必须保持记录.
  • 处理
    • 所有不再需要或已达到使用期限的媒体必须销毁或使其不可读,以便不能提取任何数据. 关于可接受的销毁技术的信息在俄亥俄PCI DSS -数据保留和处理程序中有详细说明.

执行

任何被发现违反本程序的员工都可能受到其行政单位的纪律处分, 这个部门, 或者是大学.

俄亥俄PCI DSS -共享数据-服务提供者程序

目的

本程序概述了与第三方共享所有机密或敏感数据的操作和合同程序.

范围

This procedure applies to all faculty, 工作人员, 学生, 承包商, 咨询顾问, 临时, 以及俄亥俄州的其他工作人员,包括与第三方有关的所有人员. 此过程适用于俄亥俄网络中的所有CPE数据.

过程

第三方, with whom cardholder data is shared, 合同是否要求遵守PCI DSS要求,并承认他们对其处理的持卡人数据的安全负责. 只有完成交易所需的最小数据量才会与第三方共享. 所有的交互必须被记录和记录.

执行

任何被发现违反本程序的员工都可能受到其行政单位的纪律处分, 这个部门, 或者是大学.

俄亥俄州 PCI DSS - Wireless 使用 过程

目的

本程序概述了使用无线通信传输敏感信用卡信息的要求. 这些要求在PCI DSS要求4中进行了概述.

范围

This procedure applies to all faculty, 工作人员, 学生, 承包商, 咨询顾问, 临时, 以及俄亥俄州的其他工作人员,包括与第三方有关的所有人员. 此过程适用于俄亥俄网络中的所有CPE数据. 这适用于所有用于传输数据的无线技术,包括但不限于:IEEE 802.11 wireless, GSM and GPRS.

过程

  • 使用
    • 通信必须利用行业标准最佳实践来实现身份验证和传输的强加密.
      • WPA2是标准加密,也是唯一经过授权的标准.
      • WEP and WPA shall not be permitted.
  • 加密
    • 无线通信必须使用强加密密钥. 加密必须遵循与加密过程中描述的相同的过程.
  • 无线会计
    • 必须每季度进行一次扫描,以核实中心内没有安装未经授权的无线网络. 如果扫描不可行,可以使用无线入侵检测/保护系统.

执行

任何被发现违反本程序的员工都可能受到其行政单位的纪律处分, 这个部门, 或者是大学.

俄亥俄州 PCI DSS – Remote 访问 过程

目的

本程序解释了newbb电子平台关于组织如何限制对持卡人数据环境(CDE)的远程访问的官方立场。.

范围

This procedure applies to the people, 过程, 以及与访问和/或管理远程访问持卡人数据环境(CDE)有关的技术. 

过程

All use of portable computing devices, such as remote 电脑, 笔记本电脑, 工作站, 或者移动设备, 无论是员工所有还是公司所有,都禁止在任何时候远程直接连接到持卡人数据环境(CDE).  对持卡人数据环境(CDE)的任何远程访问都必须通过一个经过批准的网关,该网关具有满足或超过PCI DSS要求的特定标准.

需求

使用r must be a part of the PCI VPN Group

用户必须使用双因素身份验证来访问远程服务.

远程服务必须以符合所有PCI数据安全标准要求的方式进行配置和管理,并且必须在使用之前获得OIT 安全的明确批准.

执行

任何被发现违反本程序的员工都可能受到其行政单位的纪律处分, 这个部门, 或者是大学.

俄亥俄州 PCI DSS - Risk Assessment

目的

此过程有助于组织识别和了解持卡人数据环境的潜在风险. By 理解ing these risks, 组织可以优先考虑风险缓解工作,以首先解决最关键的风险. 组织还可以更有效地实现降低威胁的控制, 例如, 通过选择最好地处理已识别风险的技术或解决方案.

范围

此过程适用于所有持卡人数据环境.

过程

风险评估工作必须每年进行一次,或者在环境发生重大变化时进行, 例如新的系统组件安装, changes in network topology, firewall rule modifications, 或者产品升级. 评估必须由信息安全办公室记录和审查.    

 

 

俄亥俄州 PCI DSS - 加密

目的

俄亥俄州 CPE内的所有机密或敏感电子数据必须通过批准的加密技术加以保护. 本程序适用于加密密钥的管理及其使用.

范围

This procedure applies to all faculty, 工作人员, 学生, 承包商, 咨询顾问, 临时, 以及俄亥俄州的其他工作人员,包括与第三方有关的所有人员. 此过程适用于俄亥俄网络中的所有CPE数据.

过程

  • 加密密钥
    • 只有强加密才能保护敏感数据. 这些方法由PCI DSS定义;
      • 3 des
      • AES
      • 专有供应商加密,只要它在PA-DSS中得到批准
      • SSL
      • IPSEC
    • 加密密钥必须按照以下方式进行保护:
      • 以最少的保管人进行双重托管.
      • 钥匙的明文图像必须以防篡改的方式锁在尽可能少的位置和形式.
    • 显示访问这些数据的系统和审计日志必须保留至少1年. 90天必须保持在线和可用的90天.
  • 文档
    • 所有工艺和程序的生成, 加密密钥的使用和销毁必须有完整的文件记录.
    • 通过使用正式签名,要求密钥保管人承认并接受其角色的责任.
  • 使用
    • 所有受保护的数据,无论是静态的还是在线的,都必须变为不可读的. 诸如加密、截断、单向散列、标记化等技术
    • 如果使用磁盘加密作为相对于表或文件加密, 保存敏感信息的数据库中的表必须使用上面列出的技术加以保护.
    • 系统和第三方之间交换的所有数据都必须使用这些强大的加密技术.
    • 密钥必须至少每隔1年轮换一次
  • 破坏 
    • 不再使用的旧钥匙必须销毁, 或者对密钥完整性的信心可能会受到损害.

执行

任何被发现违反本程序的员工都可能受到其行政单位的纪律处分, 这个部门, 或者是大学.

俄亥俄州 PCI DSS - Awareness Program

目的

实施正式的安全意识计划,使所有员工意识到持卡人数据安全的重要性.

范围

任何与持卡人环境交互或支持安全支付卡基础设施的员工或承包商都需要接受培训.  员工的角色和职责定义如下.

首席信息官和信息安全经理

首席信息官负责协调和监督newbb电子平台关于保密性的遵守情况, 完整性, and security of its information assets. 信息安全经理与首席信息官和其他newbb电子平台管理人员密切合作,参与保护大学的信息资产,以执行既定政策, identify areas of concern, 并根据需要实现适当的更改.

OIT Infrastructure Team 

OIT基础设施团队与部门系统经理一起工作, 管理员和用户制定安全策略, 标准和程序来帮助保护newbb电子平台的资产.

人力资源
The 人力资源 Department will, when requested by 这个部门, 进行背景调查,包括入职前, 刑事, 以及所有可能进入系统的员工的信用记录, 网络, 或者包含信用卡信息的数据. 

 

University Departments 

  • 各部门负责确保对所有机密文件进行背景调查, 行政, and professional employees hired.
  • 在必要的时候, 各部门将要求人力资源部门进行背景调查,包括就业前的背景调查, 刑事, 以及所有可能进入系统的员工的信用记录, 网络, 或者包含信用卡信息的数据.
  • 分类后各部门将通知人力资源部门, 行政, 专业员工被解雇.  这将导致员工对所有需要俄亥俄id和密码的大学系统的访问被终止.  各部门负责终止对本部门管理的任何支付系统的访问. 
  • 各部门负责确保负责处理信用卡付款的员工在入职时完成现金处理和信用卡安全意识培训,至少每年一次.

Procurement and Contract Services 
采购和合同服务将确保第三方, with whom cardholder data is shared, 合约上是否要求遵守PCI-DSS的规定,并承认他们对所处理的持卡人资料的安全负责.

 

Office of the 财务主管
财务司司长办公室将与各部门核实所有负责处理信用卡付款的员工在入职时至少每年完成现金处理和信用卡安全意识培训.  如果培训没有完成,那么该部门的商户号将被停用.

 

计算和信息资源的使用者
newbb电子平台计算和信息资源的每个用户都必须认识到信息资源的根本重要性,并认识到他们对保护这些资源的责任. 以下是所有newbb电子平台信息系统用户的具体责任:

  • 了解他们的行为在计算安全实践方面的后果,并采取相应的行动.  秉承“安全是每个人的责任”的理念,协助newbb电子平台实现其业务目标. 
  • 保持对信息安全策略内容的认识.

 

过程

安全培训是一项合规要求,必须每年进行一次.