信用卡处理

开始

接受信用卡和借记卡改善了客户体验，同时也提高了收款效率. 然而, 有了这种便利，就需要充分的准备和时刻保持警惕，以保持卡数据的安全. 本页概述了一个部门需要知道什么和做什么才能成为一个商人. 在任何情况下，部门都不应该与信用卡处理商签订合同，开始接受信用卡/借记卡. 各部门在得到财务司司长办公室的批准之前，不能接受信用卡/借记卡.

付款处理选项

可使用终端机、销售点或网上系统接受支付卡:

• 终端很小, 可以处理信用卡和借记卡交易并允许用户点击的桌面设备, 刷卡, 插入卡(芯片和密码), 或者手动输入信息.
• 销售点(POS)系统是专门用于处理部门特定业务需求的支付的计算机—通常是连接到中央服务器或托管环境的一台或多台pc. POS系统比终端更复杂，需要额外的安全性和维护. POS系统支持与终端相同的信用卡和借记卡支付卡以及输入方法. 
  • 请注意! 在购买任何POS机硬件或软件之前，请与财务长办公室联系. 我们将与您合作，确保您希望购买的POS系统与大学的信用卡处理器兼容，并满足任何或所有操作和安全要求.  采购也必须由采购部门管理.
• 网上(电子商务)newbb电子程序使各部门能够通过互联网接受信用卡和借记卡付款. 财务司司长办公室可以创建emmarket网站进行在线支付处理. 拥有自己的电子商务系统的部门可以使用Transact Payments Checkout网关来处理支付处理. 与Transact Payments Checkout网关集成需要一些编程，但消除了部门网站的任何卡数据安全要求. 
  • 请注意! 部门不允许通过PayPal接受付款, Venmo, Square或其他需要资金流入个人银行账户的方法. 请与财务司司长办公室联系，以便我们为您提供解决方案.

所有这些方法都可以处理Visa、MasterCard、American Express和Discover卡. 部门可以决定他们想要接受哪一张卡, 尽管大多数人接受这四个品牌. 在处理任何交易之前，任何付款处理选择都必须得到财务司司长办公室的批准.

第一步

1. 获得批准成为现金处理部门完成 部门现金收款申请 在我们的 现金处理 页面.
2. 回顾我们的  PCI信息安全 页，了解您的部门需要遵守所有卡数据安全标准.
3. 确保员工完成年度现金处理和信用卡安全意识培训. 所有处理支付卡数据的员工都需要接受这一培训.
   • 教职员工(非学生员工)
     • 从位于俄亥俄的newbb电子平台连接到黑板.edu.
     • 选择组织.
     • 选择专业发展途径.
     • 选择金融路径，核心学习.
     • 点击现金处理和信用卡安全意识培训
   • 学生员工
     • 提交清单至 bursar@俄亥俄州.edu 学生雇员的名字, 俄亥俄州id(电子邮件地址), PID数字, 以及他们的工作地点.
     • 学生员工将有机会参加学生开发的培训.
     • 一旦提供访问权限，访问说明将通过电子邮件发送给学生员工.

期待什么

一旦您开始接受付款的请求被批准, 我们将通知您的部门并与您一起设置您所选择的付款选项.

 

• 终端需要用大学的信用卡处理器建立一个新的商户ID. 这一过程最多需要四周的时间来完成. 
• 销售点系统的设置时间差别很大. 如果需要一个新的商家ID，需要六到十周的时间来完成这个过程.
• 在线商家设置时间取决于您可以多快地将您的网站与交易支付集成.
• eMarket设置取决于您的产品的复杂性.  回顾我们的 eMarket  浏览更多信息.

责任

财务司有责任及权力:

• 制定和发布处理商户卡和商户卡服务的操作政策和程序.
• 对商户卡业务进行一般监督.
• 开发和维护流程和系统.
• 强制遵守支付卡行业数据安全标准(PCI DSS)以保证信用卡/借记卡的安全性.
• 调查涉及持卡人信息的违规行为，并建议采取纪律处分.

 

OIT保安办公室有责任和权力:

• 制定和发布处理商户卡服务的操作政策和程序.
• 强制遵守支付卡行业数据安全标准(PCI DSS)以保证信用卡/借记卡的安全性.
• 调查涉及持卡人信息的违规行为，并建议采取纪律处分.

获授权接受信用卡/借记卡付款的部门负责:

• 详细记录部门程序，包括:
  • 支付卡受理方式.
  • 逐步说明如何处理付款.
  • 所有部门PCI培训员工的完整名单.  现金处理和信用卡安全意识培训是满足这一要求的唯一途径.
• 参加实地考察，以便每年为您的商户位置完成自我评估问卷(SAQ).
  • 财务司办公室和OIT安全办公室将与部门经理协调访问，并代表部门完成SAQ.
• 每年完成一次付款处理设备库存审计，并经常检查设备. 检查必须记录在案.
• 审查和理解所包含的内容和要求 PCI信息安全 页面.
• 合理谨慎地审查收费交易，以减少信用卡滥用和资金损失.
• 确保所有员工每年完成所需的现金处理和信用卡安全意识培训.
• 协助财务处处理退款事宜.

 

办理信用卡的员工负责:

• 确保所有持卡人资料的安全.
• 审查和理解所包含的内容和要求 PCI信息安全 页面.
• 每年完成现金处理和信用卡安全意识培训.

定义

持卡人资料(CHD)
持卡人资料包括完整的主帐号(PAN), 持卡人的名字, 过期日期和服务代码.

退款
退款是对先前收到的信用卡付款的撤销.  如果部门无法证明客户授权了信用卡交易, 这笔交易的金额将从部门的账户中扣除.

商业部门
接受信用卡和/或借记卡付款的大学院系, 服务, 信息, 或礼物.

主帐号(PAN)
PAN是唯一的信用卡或借记卡号码，用于标识发卡银行和持卡人账户.

销售点(POS)
硬件和/或软件用于处理信用卡/借记卡交易的商户地点.

修订
在文档存储之前，将敏感或机密信息从文档中删除的过程.

SAQ
是“自我评估问卷”的缩写.报告工具，用于记录实体PCI DSS评估的自我评估结果.

 

接受信用卡付款

被授权接受信用卡或借记卡支付的部门必须合理谨慎地筛选交易，以减少信用卡/借记卡的滥用.

财务主管和业务经理必须熟悉本页上的信息 PCI信息安全 页面.  这些资料应作为向处理交易的工作人员提供的培训的一部分.    

过程

接受银行卡付款:

卡目前(在个人购买)-芯片卡

1. 要求客户将卡插入芯片设备，并在整个交易过程中将卡留在设备中. 另外, 如果终端上启用了刷卡功能，并且客户的卡允许这样做，则可以刷卡.
2. 芯片卡和终端将决定是否需要PIN或签名进行验证.
3. 如果需要PIN码，设备会提示客户输入. (当基于pin码的交易被批准时，客户从终端提取芯片卡. 你没有机会检查这张卡.)
4. 如果交易经过pin码验证，则不需要签名.
5. 如果客户不知道他们的密码，要求另一种付款方式.
6. 为客户打印、电子邮件或文本发送交易收据的副本.
7. 如果交易不是基于pin码的，收据可能有一个签名线供客户签名.

卡片不存在(邮件、电话或网络订单)

• 邮件或电话:  大多数针对无卡购物的保护措施都嵌入在软件或终端中. 当你处理交易时, 系统或终端会提示您输入信息, 例如客户的帐单地址和信用卡安全码, 这是为了减少欺诈.
• Web订单: 如果你的部门有一个电子商务网站, 不为客户输入信用卡信息或通过电子邮件接受付款信息, 闲谈，聊天。, 即时消息, 或者任何类似的消息传递技术, 因为这增加了安全风险. 引导客户到你的销售网站，让客户自己购买.

 

回应退款(争议交易)

持卡人有权对未经授权或错误收费的交易提出异议. 未解决的争议交易可能会对大学继续接受信用卡/借记卡的能力产生负面影响.

应对有争议的交易:

1. 当持卡人与他们的金融机构发生争执时, 我们联系了财务处.
2. 财务司司长办公室向商业部门的争议解决联系人提供交易细节. 他们要求部门提供有关交易的支持文件(副本请求).
3. 部门争议解决联系人有2个工作日的时间回复所要求的文件. 没有宽限期. 如果你错过了截止日期, 这笔交易的收入将从你们部门的账户中借记.
4. 财务办公室将文件(反驳)转发给大学的商业处理人员.  反驳意见被发送给客户的金融机构，由其审查并作出决定. 部门可能会被要求提供额外的信息.
5. 有争议的交易要么有利于商家部门，要么有利于客户. 财务司办公室公布部门账户的任何调整.

退款交易

当使用信用卡或借记卡购买商品或服务时，需要退款, 退款必须记入购买时使用的同一信用卡账户.

退还一笔交易:

• 通过与原始销售相同的技术处理退款(例如, 终端, 网络, 销售点(POS)系统.
• 一定要用在原始销售中使用的同一信用卡账户. 不开现金或支票.
• 不退款超过原销售金额. 不要在一个交易中合并多个退款，因为这会导致交易被标记为可能的欺诈.

 

协调信用卡/借记卡交易

财务会计办公室在每个工作日向Oracle发送收据交易. 各部门必须定期将其内部销售记录与提交给Oracle的金额进行核对. 各部门还必须进行月度对账，以确保其销售日志与发布到Oracle总账上的金额相匹配. 核对所有帐目，确保所有收入在Oracle中正确入账. 如有不符之处，请尽快与财务司司长办公室联络 cashier@俄亥俄州.edu.           

 

保存商户咭记录

记录是官方的、可信赖的文件，用于问责制和透明度. 保留记录的要求是由联邦和州法律法规强制规定的. 商户卡记录由订单文件组成, 销售收入, 结算报告, 支付卡行业(PCI)自我评估问卷及相关文件.

您的部门必须以pci兼容的方式保留销售收据和订单. 保留本会计年度和前4个会计年度的这些记录. 方便时销毁这些过期的记录，但至少每月销毁一次. 在处理一笔交易后，必须立即修改卡号. 如果交易有争议，保留交易记录，直到争议解决.

如需协助，请咨询财务长办公室.

 

将持卡人数据安全地存储在纸上

因为将持卡人的数据存储在纸上增加了安全漏洞的风险, 避免这样做，除非你有强烈的业务需求.

将持卡人资料安全地储存在纸上:

1. 如果您认为您有业务需要存储持卡人数据, 咨询财务司办公室，以确认您的业务需求，并确定最佳的存储方法. 未经财政司批准，是否会储存持卡人资料.
2. 对于任何包含卡片信息的纸张，请遵循以下最低PCI标准:
   • 将包含持卡人信息的所有材料存放在上锁的文件柜中, 安全, 或在受限/安全区域内的其他安全存储机制.
   • 切勿在销售处理后存储敏感的身份验证数据，如CVC2/CVV2/CID或PIN.
   • 限制访问销售草稿, 报告, 或其他持卡人数据的来源.
   • 确保所有的识别信息都是根据本页上提供的信息被删除或编校的.
   • 在打印的收据上只显示信用卡/借记卡帐号的最后四位数字.
   • 定期盘点存储的纸质表格，以说明所有贷/借交易文件. 销毁包含持卡人信息的纸质表格, 使用横切碎纸机使其无法读取.
   • 不将卡片信息存储在任何电子系统中，包括客户数据库或电子表格.

修订

编校是在文档存储之前从文档中删除敏感或机密信息的过程.

编辑:从纸质文件中编辑信息:

 

1. 扫描文档前(请使用以下方法之一):
   • 物理剪掉所有要编辑的文本，并通过横切碎纸机或使用官方批准的文件销毁服务处理剪报, 比如撕碎它.
   • 用不透明的胶带或纸完全盖住要修改的部分.
2. 在完全剪掉或盖住要编辑的文本之后, 复制或扫描文档, making sure no un-redacted sensitive personal 信息 is visible; use the resulting copy or image.
3. 横切撕碎纸质文件.

编校方法不足

不 使用以下方法从文件中编辑信息，因为它们是不充分的:

 

• 更改文本颜色:更改编校文本的字体颜色以匹配文档的背景颜色，使任何使用鼠标单击并拖动该区域的人都可以轻松发现编校文本.
• 覆盖或突出显示文本:用图像或评论覆盖编辑过的文本, 或者用匹配的颜色突出显示文本, 使编辑后的文本可被发现.
• 只删除可见数据:数字文件保留了包含修订历史和其他信息的嵌入和隐藏元数据. 元数据可以在任何时候显示文件中包含的任何内容, 甚至是之前被删除或更改的文本, 即使文件被重新保存. 元数据可以用于跟踪修订, 但如果没有从文档中清除, 任何人都可以查看已删除的信息, 即使文档已转换为PDF格式.
• 空白或更正带:可以从暴露敏感数据的文件中删除空白或更正带.
• Black marker: A hard copy of a document redacted with black marker may still provide enough image detail to enable someone to see what was assumed hidden; this method is especially risky if that same data repeats multiple times across a document.

支付卡受理要求

在人
卡必须插入(芯片)或轻敲卡处理终端或密码垫. 按照终端或PIN pad给出的提示操作. 交易完成后是否不保留任何信用卡资料.

电话
卡和账户信息可以输入到卡处理终端. 按照终端给出的提示操作. 在进入交易时是否有任何卡信息被记录下来, 一旦交易完成，这些信息必须被分割.

传真
大多数基于pc的传真软件不提供一个安全的存储库来存储传入的传真, 因此，接收卡片信息的最佳方法是在受控地点使用一台独立的传真机. 像对待现金一样对待这些传真.

卡片信息可以输入到卡片处理终端. 按照终端给出的提示操作. 一旦交易完成，传真上的卡信息必须修改. 如果必须保留完整的传真，最好将卡片信息从文件中删除.

邮件
卡片信息可以输入到卡片处理终端中. 按照终端给出的提示操作. 事务完成后, 邮寄表格中包含卡片信息的部分必须以批准的方式编辑.

电子邮件
卡片信息绝不能在电子邮件中被接受. 如果客户通过电子邮件发送卡片信息, 删除那封邮件, 也从已删除的项目或垃圾文件夹中删除.  通过电子邮件向客户发送不接受卡信息的响应. 在回应中, 给客户一份发送信用卡信息(传真)的备选方法清单, 邮件, 电话, 等.). 当你回复原始邮件时, 删除发送消息之前提供的任何卡片信息.

短信
卡片信息绝不能在测试消息或任何其他类型的即时消息系统中被接受. 如果客户以这种方式发送卡片信息, 删除该消息并发送一个回复，即卡片信息不以这种方式被接受.  在回应中, 给客户一份发送信用卡信息(传真)的备选方法清单, 邮件, 电话, 等.). 当您回复时，请确保在提交之前已删除任何卡片信息.

表单设计技巧
当设计一个表单，将有一个区域输入卡片信息, 把这部分放在表格的底部. 在付款被处理之后, 底部的形式可以切割或撕裂，然后横切切碎. 在扫描或成像表格或准备其他长期存储之前删除卡片信息. 卡片上的信息在处理时一定要被交叉切碎.

处理延迟提示
最好只接受可以立即处理的信用卡信息. 如果需要延迟，卡信息必须存储, 不以电子格式储存, 并且把包含卡片信息的纸张当作现金来对待.

 

安全

保护客户的支付卡信息不仅仅是一个好主意——它是一种要求. 两套标准适用于商户卡处理单位:

• 的 支付卡行业数据安全标准 (PCI DSS)是PCI安全标准委员会为保护持卡人数据而制定的技术和操作要求. PCI DSS适用于存储、处理或传输持卡人数据的所有业务实体. 委员会负责管理这些安全标准, 而合规则由创始成员委员会美国运通(American Express)执行, 发现金融服务, Visa和万事达卡.
• 的 PCI信息安全 页提供了与PCI DSS相关的附加内容.

每个商家部门都有责任遵守PCI DSS中的所有政策和程序, 以及newbb电子平台实施的研究. 不遵守这些政策和程序的商家可能会失去接受信用卡支付的能力.

财务长办公室和信息技术安全办公室负责确保所有接受支付卡(用于销售商品或服务)的大学部门符合所有适用的数据安全标准. 定期检讨各部门的处理环境，以确保所有的政策和程序都得到遵守. 一如既往地, 任何商业运作都要接受审计署的正式审查, 风险, 和遵从性.

 

符合PCI标准

所有部门负责人必须确保他们的部门遵循支付卡行业数据安全标准(PCI DSS)，以保持支付卡数据的安全. 所有部门必须达到这一标准，否则将不允许接受信用卡/借记卡.

达到这个标准可以保护你的部门和大学. 数据泄露可能导致罚款, 处罚, 失去信用卡/借记卡处理器的特权, 也损害了大学的声誉. 这个标准也保护你的客户. 数据泄露可能导致身份盗窃，并可能导致诉讼. 此外，顾客不愿意在有数据泄露历史的地方购物.

 

过程

要符合PCI标准, 咨询财务主管办公室和信息技术安全办公室. 他们将帮助您确定您在以下方面的合规性:

• 建立和维护一个安全的网络
• 保护持卡人资料
• 维护防毒软件
• 实施强有力的访问控制措施
• 定期监控和测试网络
• 维护信息安全策略

每年验证PCI合规性

所有接受信用卡/借记卡的部门必须遵循支付卡行业数据安全标准(PCI DSS)来保证信用卡/借记卡的安全性. 各部门必须每年验证其PCI DSS的合规性.

在更改处理信用卡/借记卡的方式之前, 请与财务司司长办公室联系，以确保您继续遵守规定. 您可能需要在下一个计划的年度验证之前重新验证遵从性.

每年验证PCI合规性:

1. 财务司司长办公室将与部门经理或指定联系人联系，安排物理或虚拟现场访问. 
2. 参与实地考察，协助完成自我评估问卷.
3. 确认所有员工每年都参加现金处理和信用卡安全意识培训.

支付卡行业标准

所有接受支付卡的大学院系必须遵守支付卡行业数据安全标准v4的所有要求.0和 PCI信息安全 页面.

遵循PCI DSS的最基本文件如下:

• PCI DSS v4.0 (PDF)是完整的要求清单.
• PCI DSS变更摘要v3.2到v4.0 (PDF)只说明了版本3的变化.2 to 4.0(2022年12月).
• PCI DSS v4.0快速参考指南 (PDF)提供了该标准的简要介绍，并为新手提供了补充信息.