SW酒店PCI_Compliance.pptxVIP

PCI?PCI安全标准委员会由五大国际信用卡组织筹建。包括美国运通、Discover金融服务，日本JCB，万事达卡和Visa国际。?喜达屋必须符合所有的PCI安全要求以保护信用卡数据。Check-list Task assignment银行刷卡机 – EDC传真线路用户授权表人事部酒店安保前厅部信用卡数据政策文档通过Email接收信用卡信息FB定金、销售保证金Check-list Task assignment银行刷卡机 – EDCo 准备所有银行刷卡机的列表o 确认信用卡信息被隐去部分字符 给客人联的包含信用卡信息的复印件必须隐去部分字符? 强烈推荐从任何终端打印的管理报表里面的信用卡信息是被隐去部分字符的 ，这些包含信用卡信息的单据必须和现金一样，一旦打印出来就存档锁起来。- 提供文档：刷卡机列表、信用卡单样本（预授权，付款，情急报表）- 实施部门：财务部 / 前厅部Check-list Task assignment传真线路o 依照信用卡传真线路政策o 检查主要的房务预定和宴会预定的传真机，是否放置在一个安全的区域。o 检查传真机是否有储存传真复印影像的功能；如果有，确保传真机在报损需要替换一个新的机器的时候，原传真机的缓存的信息是被安全的删除的。o 每季度检查是否有一个使用传真机的用户列表存在。o 确保当有一个不在传真机使用列表的用户使用传真机的时候的临时用户登记表。- 提供文档：传真授权名单、传真使用登记表- 实施部门：预订部 / 电脑房Check-list Task assignment用户授权表o 在包含信用卡信息的系统里（OPERAINFRASYS）检查用户权限表（查看编辑信用卡权限）,查看有权限的用户是否都是有正常的商务需要o 每季度审核进入授权的凭证- 提供文档：系统权限表- 实施部门：电脑房Check-list Task assignment人事部o HR需要进行面试的背景调查（官方和参考意见都可）o 和新员工介绍为什么PCI的要求很重要。新入职的管理人员或者一般的员工，只要接触信用卡系统的，都必须上网完成PCI的培训。o 所有员工签署电脑及网络使用规章表，并放入其员工档案中。o 一旦有员工离职，HR应该马上通知电脑房。o 一旦有任何的员工职位调动，长时间休假或者新入职，HR都应及时的通知电脑房。o HR需要提供一份每月新入职员工和已经存在员工的清单给IT检查（LANDA系统里已经包含这份报表）o HR保留原始的用户授权申请表在每个员工档案里o HR保留一份IT的用户电脑使用授权允许表在员工档案中，每年更新一次o HR 帮助日常的一些PCI沟通，比如在员工公告栏张贴PCI宣传画。- 提供文档：入职培训政策文档和签到表、离职通知单、在职员工清单、离职员工清单、调动员工清单、张贴Poster的照片- 实施部门：人事部 / 电脑房Check-list Task assignment酒店安保o 酒店来访证必须包含访客姓名和详细信息，并被记录来访证必须有有效期（比如每天用不同的颜色），并且酒店员工需要知道有效期（比如，每日DAILY PPT上有标明今天来访证是什么颜色）o 电脑机房入口必须有摄像头监控。o 监控录像保存时间至少90天以上。（如果系统无法保留，那么可以独立保存到其他介质，比如刻录到DVD上）o 保安保留一份必威体育精装版的可以进出电脑机房，信用卡数据保存点和安全传真区域的授权人员清单。（由相关部门提供，保安部留档，季度更新）- 提供文档：来访人员政策文档、监控记录确认文档- 实施部门：保安部 / ENGCheck-list Task assignment前厅部o 检查信用卡信息只保存在PMS-OPERA系统中，没被记录在别的地方（比如登记卡上） ? 如果有记录信用卡信息的机器有存在的需要(比如取消信用卡预授权的传真机)，那么必须按一下要求来做，并遵照信用卡数据政策文档：? 记录这个商务需要? 记录如何保证数据的安全? 记录数据会保存多久，如何记得到时销毁这个数据，酒店如何销毁这些数据的（需要有销毁证明记录）- 提供文档：信用卡数据销毁记录- 实施部门：前厅部Check-list Task assignment信用卡数据政策文档o 季度更新的列表，可以显示所有储存信用卡的区域。o 季度检查用户权限表。o 有一份信用卡数据的政策文档（可以保留信用卡信息资料和复印件）指导这些信用卡数据的销毁工作。o 任何物理储存信用卡资料的地方必须贴有“私密”的标签，并且必须是安全的，只有有授权的用户才可以进入。o 有一个记录表明信用卡数据何时何地，如何被销毁- 提供文档：信用卡数据政策文档、信用卡数据销毁记录- 实施部门：财务部Check-list Task assignment通过Email接收信用卡信息o 使用邮件来接收信用