SW酒店PCICompliance课件

,PCI,PCI安全标准委员会由五大国际信用卡组织筹建。包括美国运通、Discover金融服务，日本JCB，万事达卡和Visa,喜达屋必须符合所有的PCI安全要求以保护信用卡数据。,Check-listTaskassignment,银行刷卡机EDC传真线路用户授权表人事部酒店安保前厅部信用卡数据政策文档通过Email接收信用卡信息F&B定金、销售保证金,Check-listTaskassignment,银行刷卡机EDCo准备所有银行刷卡机的列表o确认信用卡信息被隐去部分字符给客人联的包含信用卡信息的复印件必须隐去部分字符强烈推荐从任何终端打印的管理报表里面的信用卡信息是被隐去部分字符的，这些包含信用卡信息的单据必须和现金一样，一旦打印出来就存档锁起来。-提供文档：刷卡机列表、信用卡单样本（预授权，付款，情急报表）-实施部门：财务部/前厅部,Check-listTaskassignment,传真线路o依照信用卡传真线路政策o检查主要的房务预定和宴会预定的传真机，是否放置在一个安全的区域。o检查传真机是否有储存传真复印影像的功能；如果有，确保传真机在报损需要替换一个新的机器的时候，原传真机的缓存的信息是被安全的删除的。o每季度检查是否有一个使用传真机的用户列表存在。o确保当有一个不在传真机使用列表的用户使用传真机的时候的临时用户登记表。-提供文档：传真授权名单、传真使用登记表-实施部门：预订部/电脑房,Check-listTaskassignment,用户授权表o在包含信用卡信息的系统里（OPERA&INFRASYS）检查用户权限表（查看编辑信用卡权限）,查看有权限的用户是否都是有正常的商务需要o每季度审核进入授权的凭证-提供文档：系统权限表-实施部门：电脑房,Check-listTaskassignment,人事部oHR需要进行面试的背景调查（官方和参考意见都可）o和新员工介绍为什么PCI的要求很重要。新入职的管理人员或者一般的员工，只要接触信用卡系统的，都必须上网完成PCI的培训。o所有员工签署电脑及网络使用规章表，并放入其员工档案中。o一旦有员工离职，HR应该马上通知电脑房。o一旦有任何的员工职位调动，长时间休假或者新入职，HR都应及时的通知电脑房。oHR需要提供一份每月新入职员工和已经存在员工的清单给IT检查（LANDA系统里已经包含这份报表）oHR保留原始的用户授权申请表在每个员工档案里oHR保留一份IT的用户电脑使用授权允许表在员工档案中，每年更新一次oHR帮助日常的一些PCI沟通，比如在员工公告栏张贴PCI宣传画。-提供文档：入职培训政策文档和签到表、离职通知单、在职员工清单、离职员工清单、调动员工清单、张贴Poster的照片-实施部门：人事部/电脑房,Check-listTaskassignment,酒店安保o酒店来访证必须包含访客姓名和详细信息，并被记录来访证必须有有效期（比如每天用不同的颜色），并且酒店员工需要知道有效期（比如，每日DAILYPPT上有标明今天来访证是什么颜色）o电脑机房入口必须有摄像头监控。o监控录像保存时间至少90天以上。（如果系统无法保留，那么可以独立保存到其他介质，比如刻录到DVD上）o保安保留一份最新的可以进出电脑机房，信用卡数据保存点和安全传真区域的授权人员清单。（由相关部门提供，保安部留档，季度更新）-提供文档：来访人员政策文档、监控记录确认文档-实施部门：保安部/ENG,Check-listTaskassignment,前厅部o检查信用卡信息只保存在PMS-OPERA系统中，没被记录在别的地方（比如登记卡上）如果有记录信用卡信息的机器有存在的需要(比如取消信用卡预授权的传真机)，那么必须按一下要求来做，并遵照信用卡数据政策文档：记录这个商务需要记录如何保证数据的安全记录数据会保存多久，如何记得到时销毁这个数据，酒店如何销毁这些数据的（需要有销毁证明记录）-提供文档：信用卡数据销毁记录-实施部门：前厅部,Check-listTaskassignment,信用卡数据政策文档o季度更新的列表，可以显示所有储存信用卡的区域。o季度检查用户权限表。o有一份信用卡数据的政策文档（可以保留信用卡信息资料和复印件）指导这些信用卡数据的销毁工作。o任何物理储存信用卡资料的地方必须贴有“私密”的标签，并且必须是安全的，只有有授权的用户才可以进入。o有一个记录表明信用卡数据何时何地，如何被销毁-提供文档：信用卡数据政策文档、信用卡数据销毁记录-实施部门：财务部,Check-listTaskassignment,通过Email接收信用卡信息o使用邮件来接收信用卡信息资料是没有必要的。o如果有一份邮件里面包含有信用卡信息，用于支付保证金的，那么：一个标准的提醒必须给到提供邮件的一方，通知他们我们的信用卡政策；马上将信用卡资料输入PMS系统；如果邮件要因为保存证据而保留，那么必须打印出来交给财务部安全保存起来；这份邮件必须被删除，并从已删除邮件里清空；如果邮件要因为保存证据而保留，那么必须打印出来交给财务部安全保存起来。o以上必须被写成政策程序保存起来。(遵循信用卡数据政策文档)o确认员工知道这个政策，并会执行。(遵循入职培训政策文档)-提供文档：ITMonthlyChecklist-实施部门：全体员工/电脑房,Check-listTaskassignment,F&Bo检查是否有信用卡资料输入到POS-INFRASYS系统里（遵循信用卡数据政策文档）如果是，检查是否有商务上的需要，并且试着清除如果不是，检查是否每次信用卡交易都需要刷卡o餐厅收银员操作流程遵循行用卡数据标准文档。-提供文档：-实施部门：餐饮部/电脑房,Check-listTaskassignment,定金/销售保证金o所有关于保证金的付款的信用卡资料必须马上被输入PMS系统o信用卡资料的文件必须递交给财务部并且要按信用卡保存政策安全的保存起来。-提供文档：定金/销售保证金政策文档-实施部门：财务部/预订部/宴会销售部/F&B,PCI数据安全标准,数据处理的要求(限于与当前培训直接相关的内容)保护持卡人数据3:保护储存的持卡人数据4:在开放式的公网环境下，加密传输持卡人数据实施强有力的访问控制措施7:仅限有必要了解的人员访问持卡人数据8:针对每个人指定一个唯一的计算机访问ID9:限制对持卡人资料进行物理访问,其他PCI相关的IT要求构建并维护网络安全1:安装并维护有效的防火墙设置2:请不要使用供应商提供的默认系统密码和其他默认安全参数维护漏洞管理程序5:使用并定期更新的防病毒软件6:开发并维护安全系统及应用程序定期自行网络监控与测试10:对网络资源和持卡人资料的各种访问进行追踪和监控11:定期测试安全系统和处理程序维护信息安全政策12:维护信息安全处理政策,需要注意如下几：,1.收发email时，一定不要包含信用卡相关信息。2.从不将敏感信息至于不恰当的区域（如地址栏、注释栏等）。3.你所在的酒店需要保护指定的传真机及其传真文件。4.你和你所在的酒店必须安全的存储和处理纸质文件数据。5.从不记录信用卡的安全码。6.你需要在特定的环境下恰当的处理这些信息，例如发送快递时。,电子邮件与信用卡号码,制度（GISP3.2.1）：GISP和喜达屋电邮信用卡制度明确规定，禁止使用email收发获取信用卡相关信息。否则，将危及顾客卡信息安全并违反GISP3.2.1的规定。具体内容如下:从不在书面和电子沟通过程中涉及信用卡号码，这并不限于email，即时通讯工具，交谈，扫描，工票系统等等。若必须用到信用卡信息，交流方式首选电话交谈方式。不要回复任何包含信用卡数据的电子邮件，除非你已删除邮件中所有跟信用卡相关的信息。用信用卡预定StarFRIEND或StarHOT时，不可用电子邮件传输信用卡号码。,信用卡及其未保护区域,制度：信用卡信息不可以输入任何未设计数据保护的系统或区域。具体内容如下:只能在系统的指定的区域输入信用卡号码。PMS系统中，指定的信用卡区域包括客户押金，第二次付款帐户或付款等区域。从不在非信用卡输入区域输入信用卡号码，如注释，备注，记录，地址栏等。该规则可能导致当前流程的变更。已输入系统的信用卡数据需要重新评估其是否需要删除。及时将不合适的信用卡数据输入报告经理。从不在非付款系统中输入信用卡信息，如GoConcierge，Delphi或餐饮系统等,基于业务必需原则的访问授权,制度：任何格式下的信用卡信息只能向必须该信息才能完成其工作职责的员工授权访问。访问这些信息需要与工作职责相关的正当理由。具体内容如下:酒店必须对需要信用卡相关敏感信息完成工作的员工进行适当的授权限制访问。敏感数据包括信用卡号码，个人信息，交易密码，签名信息以及其他个人相关信息。授权访问管理员应当熟悉熟悉系统中已建立的标准模板以控制访问。从不泄漏注册信息及密码。每个员工的登陆用户名必须时唯一的。可访问信息包括电子的或打印的材料。若授权范围超出职责一般授权，必须妥善分析并记录。,传真,制度：传真机接收的如信用卡号码等敏感数据必须确保安全。一个安全的传真机存放地点须保证只有授权的酒店管理层才可进入。具体内容如下:指定的传真机和传真文件必须保存一个安全上锁的环境下。进入该区域的人员必须有明确的工作需要。应该尽量在收到传真当日便将相关信息输入PMS或POS系统中。传真文件使用后必须用碎纸机粉碎或保存于一个安全上锁的地点。尽量避免使用纸质的传真文件保存信用卡信息。不要传真含有信用卡或者驾驶执照图像的文件。注：仅在信息安全已经获得确认的情况才可以使用电子传真。,其他传真信用卡信息的提醒：,酒店必须立即停止索取信用卡或驾驶执照的正反面复印件。这种做法已经被禁止使用。注：无论是喜达屋的要求还是内部审计程序都不需要酒店获取信用卡正反面复印件。为提升PCI遵循程度以及避免传真方式的信用卡授权方式，SixSigma和NAD财务部已设定一个新的程序，命名为“信用卡电子授权表免传真的流程”。该流程包括如下2个解决方案：PMS方案(暂时只针对Galaxy用户,Opera方案在开发过程中，):员工可以用信用卡抛帐的方式作为第三方付款或客房预定押金不再需要传真件。ResConnect:允许会议组织者通过安全的网站提交信用卡信息亦不再需要传真件。,纸质保存的数据,制度：任何打印、书面或者复印的包含有敏感信息或者持卡人数据的信息必须被安全地保存在授权的人员才能进入的区域。打印、书面或者复印的包含有持卡人数据的资料，例如身份证、收据、信用卡单据或者报告，必须采取有效保护措施。敏感数据包括信用卡号码，客户个人信息，业务机密，合同，员工个人信息等。具体内容如下:仅在纸质文件必须时方能打印。打印的报告和文档必须被妥善地保管。这些区域仅限于工作职责需要员工才能进入。(例如：房务部和行李员不应该有客户预定时记录的信用卡数据的访问权限)酒店必须制定一个流程来保存文档，包括适当的文件粉碎规则和文件备份的期间。相关内容的保存期限在Simplifi政策中已明确定义。,信用卡号码屏蔽,制度：在系统中显示的或者在纸质文件中打印的信用卡信息必须有效屏蔽，最多只显示前6位和后4位的号码。具体内容如下:只有因为工作职责必须的员工才能获取该信息。员工的注册登陆是基于工作职责需要而授予的权限，不能和其他人共享。若任何系统依旧在显示界面中展示信用卡的所有号码或者到期日信息，请向你的经理或者IT经理报告。,发货和信用卡数据,制度：包含有信用卡信息的发货标签必须被保存在一个限制进入的安全区域。有信用卡数据的包裹必须被有效监管直至被运送或快递。具体内容如下:发货标签(若需保存)必须保存在一个上锁的安全区域。只有因为工作职责需要的员工才能进入这些区域。绝不能将含有该类标签的包裹放在送货平台或者在前台等待提取而无人看管。酒店应该将该类包裹保存在一个限制进入的安全区域直至被提取。,要点汇总,不能将信用卡的安全码写在任何纸质文件上。(安全码又叫CVV或者CNP).每个酒店需要有一套在保存期满之后对于纸质或者电子信息的清理程序。在系统当机的情况下，如果需要使用信用卡手工单，手工单必须妥善保存。不能要求客人传真他们的信用卡或者驾驶执照的影印件。不能以任何理由，即使前台