PCI DSS, 一套加强支付卡数据安全的综合要求, 是由PCI安全标准委员会的创始支付品牌于2004年开发的, 包括美国运通, 发现金融服务, 杰西博国际, 万事达卡全球公司和维萨公司. 国际. 其目的是促进在全球范围内广泛采用一致的数据安全措施.
2008年10月1日,版本1.2的发布没有改变需求, 而是提高清晰度, 提高了灵活性, 应对不断演变的风险和威胁. 当时人们认识到,由于大学收集信用卡信息并处理信用卡支付, 他们有合同义务遵守PCI DSS, 以及信用卡协会, 规章制度.
所有负责管理大学信用卡交易的官员或行政人员以及受委托处理信用卡交易的员工, 传输, 或以物理或电子格式处理持卡人信息必须参加PCI DSS计划. 除了, 所有涉及处理支付卡数据的计算机和电子设备都由PCI DSS管理. 通过遵守这些标准,大学的责任是有限的,信用卡的处理可以继续.
PCI DSS的核心是一组原则和伴随的需求, 发展支助事务的具体要素是围绕这些要素组织的:
需求1:安装并维护防火墙配置以保护持卡人数据.
需求2:不要使用供应商提供的默认系统密码和其他安全参数.
要求3:保护存储的持卡人数据.
要求4:通过开放的公共网络对持卡人数据进行加密传输
要求五:使用并定期更新杀毒软件.
需求6:开发和维护安全的系统和应用程序.
要求7:根据业务需要限制对持卡人数据的访问.
需求8:为每个有计算机访问权限的人分配一个唯一的ID.
要求9:限制对持卡人数据的物理访问.
需求10:跟踪和监控对网络资源和持卡人数据的所有访问.
需求11:定期测试安全系统和流程.
需求12:维护处理信息安全的策略.
CSULA创建了一套校园特定标准,以满足上述每项要求. 除了满足标准外,校园PCI DSS计划还要求:
- 在签约任何信用卡处理设备之前,由财务总监进行审查和批准, 软件或服务.
- 所有设备的年度现场安全评估, 系统, 以及处理信用卡会员信息的网络(及其组件), 存储, 或传播.
- 每季度进行一次网络安全扫描,远程测试连接互联网的计算机网络和Web服务器是否存在潜在的弱点和漏洞.
- 一份合规证明,证明大学已准确完成年度自我评估,并符合自我评估的适用处理限制.