لماذا تعتبر شهادة PCI مهمة لأدوات اتصالات عملك

يبدو أننا في مرحلة أصبح فيها أمن البيانات فكرة متأخرة لعدد كبير من المؤسسات. لقد أصبح خبرًا شبه روتيني أن تسمع عن خرق جديد للبيانات ، وستفاجئك حقًا ببعض الأسماء المتأثرة. فقط في عام 2018 وحده ، أبلغت المنظمات بما في ذلك Macy's و Adidas و Delta و Panera Bread وحتى Amazon عن انتهاك بيانات العملاء.

بغض النظر عن حجم عملك ، أو الصناعة التي تخدمها ، فإن الأمان أمر لا بد منه في المناخ الرقمي الحالي. لسوء الحظ ، هناك جهات ضارة تعمل باستمرار على تطوير طرق جديدة لالتقاط بيانات العملاء وبيعها.

هذا ، بالطبع ، يؤدي إلى تداعيات هائلة لهؤلاء العملاء ، وكذلك المنظمات المخترقة. عدم الثقة والعواقب المالية المحتملة ليست بالضرورة خيارًا أفضل من الاستثمار في تأمين بيانات مؤسستك بشكل صحيح.

عندما يتعلق الأمر بمراكز الاتصال ، أو أي شركة تتعامل مع الدفع عبر الهاتف أو VoIP للأعمال ، يجب على المؤسسات التأكد تمامًا من أن عملياتها وتطبيقاتها وبياناتها وبرامجها متوافقة مع معايير أمان PCI العالمية.

ما هو التوافق مع معايير أمان PCI؟

في حين أن معايير أمان PCI ليست ثابتة من خلال أي قوانين أو لوائح رسمية ، فقد ظهر مجلس معايير أمان PCI (PCI SSC) كـ "منتدى عالمي" لتسهيل تطوير وتعزيز ونشر معايير الأمان المتفق عليها للدفع أمان الحساب - تأسست في الأصل بواسطة American Express و Discover Financial Services و JCB International و MasterCard و Visa Inc.

PCI SSC هو مجلس أمن عالمي واسع النطاق. الفكرة هي أن الصناعة يمكن أن تتحد في هذا المجلس لتطوير وإنشاء مجموعة من اللوائح ومعايير الأمان من أجل حماية معلومات حساب الدفع - أشياء مثل معلومات بطاقة الائتمان وبيانات العملاء الحساسة مثل أرقام الضمان الاجتماعي.

وضعت PCI SSC معايير الامتثال الأمني ​​لـ PCI لضمان التزام المؤسسات بمجموعة متفق عليها من اللوائح لحماية معلومات الدفع ببطاقات ائتمان العملاء والمعلومات الحساسة.

يجب أن تفي الشركات المتوافقة مع معايير PCI بمتطلبات الأمان المتفق عليها ، وتخضع للتقييمات السنوية لضمان استمرار الامتثال. في نهاية اليوم ، إذا كانت مؤسستك تتعامل مع أي شكل من أشكال معلومات الدفع ، فإن الامتثال PCI يكاد يكون ضرورة.

نظرًا لعدم وجود قانون يفرض الامتثال لـ PCI ، فلن تواجه المنظمات التي لا تفي بالمتطلبات أي شكل من أشكال التبعات القانونية. ومع ذلك ، في حالة حدوث خرق للبيانات ، فمن المحتمل أن تخضع المنظمة لعواقب مالية من كل من PCI SSC ، وكذلك العملاء والعملاء المتأثرين بهذا الانتهاك.

ما هي نقطة شهادة PCI؟

في نهاية اليوم ، من خلال ضمان الامتثال لـ PCI داخل المؤسسة ، فإن هذا العمل لا يحمي بيانات العملاء والمستخدمين فحسب ، ولكن المنظمة محمية من التداعيات والعواقب المالية الخطيرة المحتملة أيضًا.

الهدف الرئيسي من امتثال PCI هو وضع معيار عالمي للمؤسسات للموافقة عليه والالتزام به ، من أجل مواجهة العدد الكبير من انتهاكات البيانات في السنوات الأخيرة. وفقًا لـ PCI SSC:

• "يؤثر خرق بيانات حامل البطاقة أو سرقتها على النظام البيئي لبطاقة الدفع بالكامل ، من العميل إلى مؤسسة الدفع ، إلى المؤسسة التي تتلقى الدفع".
• عندما يتم تسريب بيانات العملاء ، فإنهم يفقدون الثقة بسرعة مع هؤلاء التجار والمؤسسات المالية
• إذا تم استخدام معلوماتهم بشكل ضار ، فقد يواجه العملاء أيضًا تداعيات مالية. يمكن أن يتأثر الائتمان سلبًا ، وقد يكون من الصعب استعادة السيطرة الكاملة على البيانات بمجرد انتهاكها
• عندما يفقد التجار والمؤسسات المالية مصداقيتهم ، سيخسرون الأعمال في نهاية المطاف. سيأخذ العملاء أعمالهم ببساطة إلى مكان آخر إذا لم يثقوا في أن معلوماتهم ستكون آمنة ومحمية.

إذا واجهت مؤسستك خرقًا للبيانات ، ولم تتخذ الخطوات المناسبة لمنع الهجمات أو وضع خطة استرداد ، فقد يكون هناك بعض ردود الفعل والعواقب الرئيسية ، على الرغم من عدم وجود لوائح قانونية.

ستفقد المؤسسات بالطبع ثقة العملاء ويختارون القيام بأعمال تجارية في مكان آخر مما يؤدي إلى انخفاض المبيعات والإيرادات ، وقد تضطر الشركات إلى دفع تكلفة إعادة إصدار بطاقات الدفع الجديدة أو خسائر الاحتيال ، وستصبح الأمور أكثر صعوبة في المستقبل.

بعد خرق البيانات ، ستواجه المؤسسات تكلفة لاحقة أعلى للامتثال ، وتكاليف وتسويات قانونية محتملة ، وغرامات وعقوبات وإنهاء القدرة على قبول بطاقات الدفع. في نهاية اليوم ، يمكن أن يؤدي خرق البيانات في النهاية إلى اضطرار الشركة إلى إغلاق أبوابها للأبد.

الحاجة إلى الأمن في العصر الرقمي

نظرًا لأن المؤسسات تحول اتصالاتها وعملياتها إلى السحابة ، بما في ذلك تخزين البيانات (تحديدًا بيانات العملاء مثل معلومات CRM) ، يصبح الأمان مصدر قلق أكبر.

تعتبر مجموعات البيانات الضخمة بشكل عام مربحة جدًا للجهات الفاعلة الخبيثة التي تسعى إلى الاستفادة من هذه المعلومات. ومع ذلك ، عندما يتم أرشفة البيانات واستخدامها داخليًا وفي الموقع فقط ، سيكون من الصعب جدًا على المهاجم الوصول إلى هذه المعلومات. ومع ذلك ، نظرًا لأننا بدأنا في تحويل عمليات تخزين البيانات والأعمال الرئيسية لدينا إلى السحابة ، فقد بدأنا في تقديم ضرورة جديدة للأمان.

نظرًا لأن البيانات لا يتم تخزينها الآن في الموقع ، بل في السحابة ، يجب حماية هذه البيانات على جبهات متعددة. يجب أن تضمن مؤسستك أن البيانات في أيدٍ أمينة ، وأن مزود أي أداة تستخدمها (VoIP للأعمال أو CRM أو أنظمة Cloud Contact Center الأساسية) يضمن أن البيانات الموجودة على خوادمهم محمية وآمنة.

علاوة على عدم وجود البيانات بين يديك ، يتم بعد ذلك نقل البيانات عبر الإنترنت ومشاركتها على أجهزة مؤسستك. يجب تشفير البيانات أثناء الإرسال ، بالإضافة إلى حمايتها على نقاط النهاية الفردية هذه أيضًا. نظرًا لأن البرامج السحابية قد مكنتنا من أن نكون أكثر قدرة على الحركة ، فهناك المزيد من نقاط النهاية والأجهزة المتصلة بشبكة ومنصة أكثر من أي وقت مضى - وكل واحد من هذه الأجهزة يمثل نقطة ضعف محتملة للهجوم.

نظرًا لأن البيانات يتم نقلها ومشاركتها وتخزينها وتحريرها وأرشفتها ونقلها باستمرار ، فقد ظهرت العديد من نقاط الضعف في العملية حيث يمكن سرقة هذه المعلومات - وبالتالي في عصر الحلول السحابية والتجارة الرقمية ، فإن الحاجة إلى الأمان في مستوى جديد.

التوافق مع PCI في مراكز الاتصال

في حين أن أي مؤسسة تتعامل مع معلومات الدفع الخاصة بالعميل يجب أن تحاول فرض الامتثال لـ PCI ، يجب أن تكون مراكز الاتصال ومراكز الاتصال حذرة على وجه الخصوص. نظرًا لأن أعمالهم تدور بالكامل تقريبًا حول جمع معلومات حساب الدفع من العملاء والعملاء ، فإن مراكز الاتصال تواجه خطرًا كبيرًا يتمثل في استهدافها بهجوم ضار.

تتعامل مراكز الاتصال باستمرار مع العملاء والعملاء عبر الهاتف ، ومؤخراً من خلال الدردشات عبر الإنترنت أو حتى الرسائل النصية القصيرة. في كل مرة يرسل فيها عميل أو عميل أي شكل من أشكال الدفع أو معلومات تعريفية إلى وكيل ، يجب تأمين تلك المعلومات.

نظرًا لأن مراكز الاتصال على وجه الخصوص تستخدم أيضًا عددًا أكبر من الأنظمة الأساسية السحابية التي تخزن هذه البيانات وتصل إليها ، من حلول CRM إلى برامج مركز الاتصال إلى أدوات VoIP للأعمال ، وفي بعض الأحيان تذهب إلى أبعد من ذلك في الذكاء الاصطناعي وتحسين القوى العاملة ، فهناك الكثير من السائبة. النهايات التي يجب ربطها معًا.

اثنين من الاهتمامات الأساسية التي يجب على مراكز الاتصال التركيز عليها تشمل:

• تأمين البيانات من الوصول غير المصرح به . واضحة إلى حد ما. أولئك الذين لا يُسمح لهم بالوصول إلى البيانات يجب ألا يكونوا قادرين على ذلك ، فهذه ستكون الخطوة الأولى لضمان حتى أبسط مستوى من أمان البيانات. يبدأ هذا بالطبع بممارسات أمان بسيطة ، مثل توفير كلمات مرور للمسؤولين فقط ، وتغيير كلمات المرور بشكل روتيني ، واستخدام أساليب المصادقة المادية ، وتأمين جميع الأجهزة ونقاط الوصول.
• ثقة العملاء . يتمثل أحد الجوانب الرئيسية لأي منظمة في رابطة الثقة بين العميل والعمل. يزن العميل بشكل كبير تجربته مع إحدى المؤسسات ، وسيختار القيام بأعمال تجارية مع أولئك الذين يقدمون أفضل تجربة. عند التعامل مع أي مبلغ من رأس المال أو حتى مجرد بيانات حساسة (أعتقد HIPAA) ، يريد العملاء معرفة أن معلوماتهم محمية ولن يتعرضوا للأذى بسبب التعامل مع مؤسستك.

هذان الشاغلان بالطبع يسيران جنبًا إلى جنب. عندما تكون بيانات العميل غير مؤمنة ويتم اختراقها ، فسوف يفقد الثقة في عملك في النهاية. لضمان تأمين البيانات هو ضمان استمرار ثقة العميل في عملك.

في نهاية اليوم ، منع أي شكل من أشكال الانتهاكات والتأكد لعملائك من أن بياناتهم آمنة يمكن أن يقطع شوطًا طويلاً في إنشاء رابطة الثقة هذه. يجب أن تكون مراكز الاتصال ، بمجموعاتها الضخمة من البيانات والعدد الكبير من التفاعلات اليومية ، حذرة للغاية على وجه الخصوص ، ويجب أن تضمن امتثال PCI في كل خطوة من العملية.

PCI الامتثال في الأعمال التجارية عبر بروتوكول الإنترنت

عندما يتعلق الأمر بـ VoIP بشكل عام ، فإن PCI DSS "لا يشير صراحة إلى استخدام VoIP." ومع ذلك ، هذا لا يعني أنه لمجرد أن مؤسستك تستخدم خدمة VoIP للأعمال فهي واضحة تمامًا. في الواقع ، يحتوي PCI DSS على قسم الأسئلة الشائعة الخاص به الذي يسلط الضوء على استخدام VoIP على وجه التحديد.

الآن ، هذا الأمر معقد بعض الشيء ، لكننا سنحاول تحديد جوهر ما ستحتاج إلى معرفته. يتعمق توافق PCI مع VoIP قليلاً ، ويصل إلى حد تحديد أشكال مختلفة من عمليات الإرسال (داخلية أو خارجية) ، فضلاً عن مصادر هذه الإرسالات.

الوجبات الجاهزة الرئيسية هي:

للوفاء بالتوافق مع PCI ، يجب على المؤسسات التأكد من تأمين أي شكل من أشكال بيانات الإنترنت ، أو حركة مرور شبكة IP ، التي تحتوي على أي شكل من أشكال معلومات حساب الدفع. ببساطة ، بيانات حساب الدفع المنقولة من خلال "نقل VoIP الذي يحتوي على بيانات حساب بطاقة الدفع هو في نطاق ضوابط PCI DSS المعمول بها".

نظرًا لأن VoIP يرسل صوتك عبر الإنترنت كحزم بيانات ، فإن هذه البيانات تخضع بعد ذلك لمعايير أمان توافق PCI حيث يتم الآن نقل المعلومات عبر شبكة مؤسستك وتخزينها عليها.

لكن القصة لا تنتهي عند هذا الحد. تصبح الأمور صعبة بعض الشيء عندما يتعلق الأمر بمصدر مكالمة VoIP ، وكيف يتم نقل هذه البيانات:

• عمليات النقل الداخلية - يجب أن تكون حركة مرور VoIP التي تحتوي على بيانات حساب بطاقة الدفع التي يتم مشاركتها داخل شبكة مؤسستك متوافقة مع PCI. يجب أن تتوافق أي بيانات مخزنة أو معالجة أو مرسلة داخليًا عبر شبكة المؤسسة مع الامتثال.
• عمليات الإرسال الخارجية - عندما يقوم كيان ما بتحويل معلومات بطاقة الدفع إلى شركة أخرى (على سبيل المثال ، مزود الخدمة أو معالج الدفع) ، يجب أن يكون نظام الكيان والشبكات المستخدمة في عمليات الإرسال هذه متوافقين. بمعنى ، إذا قام عملك بإجراء مكالمة VoIP لإرسال بيانات الدفع إلى شركة أو كيان آخر ، فيجب تأمين هذا الاتصال ومتوافقًا مع PCI.
• عمليات النقل الخارجية إلى / من حاملي البطاقات - عند استخدام VoIP لنقل بيانات حساب بطاقة الدفع بين حامل البطاقة والمؤسسة ، يجب أن تكون أنظمة وشبكة الشركة المستخدمة للإرسال متوافقة.

هذا هو حقًا مجرد نحيف ، فإن PCI SSC يتعمق كثيرًا في التفاصيل في هذه السيناريوهات المختلفة. ومع ذلك ، فإن أسهل طريقة للتأكد من أن اتصالات VoIP الخاصة بك متوافقة مع PCI هي التعامل مع جميع المكالمات ، بغض النظر عن المصدر أو الوجهة ، يجب أن تكون آمنة قدر الإمكان للوفاء بتوافق PCI.

إذا كنت ترغب في قراءة المزيد ، يمكنك معرفة المزيد حول التوافق مع VoIP واللوائح والسيناريوهات المحددة للغاية على موقع PCI SCC.

كيف يمكن لشركتك الالتزام بامتثال PCI؟

الآن بعد أن حددنا سبب التزام عملك بمعايير الامتثال التي وضعها PCI SSC ، سنوجه مؤسستك في الاتجاه الصحيح لبدء العمليات. الأمن في النهاية ليس مهمة بسيطة ، وسيتطلب قدرًا ملحوظًا من البحث والمقارنة لفهم الاتجاه الصحيح الذي يجب اتخاذه حقًا.

يقدم PCI SSC قائمة أساسية إلى حد ما من المتطلبات والأهداف المرتبطة لمساعدة المؤسسات على البدء:

يجب التعامل مع الأمن كاستثمار ، وصرفه الآن للادخار لاحقًا. أنفق الآن لحماية مؤسستك وبياناتك وعملائك ، لتجنب أي تداعيات محتملة من خرق البيانات ، في حالة حدوثه. بدون توفر الأمان المناسب ، يمكن أن يحدث حقًا لأي عمل كما رأينا في الوقت الفعلي. حتى الآن لم نر أي شكاوى أمنية بخصوص inContact.

1. تأكد من أن الحلول والأنظمة الأساسية متوافقة مع PCI

كما ذكرت سابقًا ، في عصر الأنظمة الأساسية السحابية ، لا يتم تخزين معظم البيانات التي نصل إليها ونستخدمها داخل خوادمنا ، أو ماديًا في نفس الموقع الذي نعمل فيه. باستخدام CRM ومركز الاتصال ومنصات VoIP للأعمال على وجه التحديد ، يتم تخزين بيانات العملاء والعميل في مراكز بيانات البائع ، ويمكن الوصول إليها عبر الإنترنت.

لذلك ، من المهم للغاية أن تضمن مراكز الاتصال على الأقل أن الأدوات التي تستخدمها والأنظمة الأساسية التي تشترك فيها ، تضمن مستوى معينًا من الامتثال لـ PCI. هذه هي نفس العملية التي تستخدمها الصناعات الأخرى ، على سبيل المثال لن تستخدم المستشفى سوى حل متوافق مع HIPAA.

فقط لتسليط الضوء على بعض الأسماء الرئيسية:

• مركز اتصال فونج المتقدم
• نكستيفا
• 8 × 8
• خمسة 9
• جينيسيس
• تويليو
• لطيفة InContact
• RingCentral

ثانيًا. اتبع دليل PCI SSC لضمان الامتثال

لسوء الحظ ، ستختلف المتطلبات المحددة لمختلف المؤسسات المالية والعلامات التجارية لبطاقات الدفع على أساس كل حالة على حدة. سيكون لكل منظمة لوائحها ومتطلباتها الخاصة لتوافق PCI.

“ يتم تحديد التحقق من الامتثال لمعيار أمان بيانات PCI بواسطة العلامات التجارية للدفع الفردية. وافق الجميع على دمج معيار أمان بيانات PCI كجزء من المتطلبات الفنية لكل برنامج من برامج الامتثال لأمن البيانات الخاصة بهم. تعترف العلامات التجارية للدفع أيضًا بمقيّمي الأمان المؤهلين وبائعي المسح المعتمدين المؤهلين من قبل مجلس معايير أمان PCI ".

لهذا السبب ، يوفر PCI SSC مخططًا تقريبيًا للعملية المكونة من ثلاث خطوات التي تتخذ أماكن لضمان الامتثال.

1. تقييم

قم بتقييم أنظمة وعمليات مؤسستك المتعلقة بالبيانات من خلال تحديد بيانات حامل البطاقة ، وجرد أصول تكنولوجيا المعلومات وكذلك العمليات التجارية لمعالجة بطاقات الدفع ، وتحليل أي نقاط ضعف داخل هذه الأنظمة.

يمكن القيام بذلك من خلال تحديد النطاق ، وهي عملية تحدد فيها المؤسسات جميع مكونات النظام الموجودة داخل بيئة بيانات حامل البطاقة أو المتصلة بها.

يجب أن يكون تحديد النطاق عملية سنوية لضمان الفحوصات والصيانة الروتينية ، حيث أن أفضل الطرق لمنع أي خرق محتمل هو إغلاق أي ثقوب تظهر من خلالها بشكل استباقي.

يمكن للمنظمات بالفعل تعيين مقيِّم أمني مؤهل. وفقًا لـ PCI SSC ، " مقيم الأمان المؤهل هو شركة لأمن البيانات مؤهلة من قبل مجلس PCI لإجراء تقييمات في الموقع لمعيار أمان بيانات PCI." سيقوم هؤلاء المقيمون بالتحقق من المعلومات الفنية ، واستخدام الحكم المستقل لتأكيد استيفاء معايير الامتثال ، وتقديم الدعم والتوجيه أثناء عملية الامتثال ، وإنتاج تقرير نهائي لتقديمه إلى PCI SSC.

2. علاج

بعد عملية التقييم ، يجب أن يكون واضحًا لمؤسستك الآن ما يجب القيام به لسد أي ثغرات محتملة في الشبكة ، وإعداد النظام للامتثال الكامل لـ PCI. في حين أن هذا يعني إصلاح أي ثغرات أمنية تم العثور عليها ، يوصي PCI SSC أيضًا بإلغاء تخزين بيانات حامل البطاقة من خدمات مؤسستك ومراكز البيانات والسجلات ما لم يكن ذلك ضروريًا للغاية لتشغيل الأعمال.

3. تقرير

بمجرد اكتمال التقييم ، وتتخذ المنظمة الخطوات اللازمة لتصحيح أي مشكلات وتشديد الإجراءات الأمنية ، يجب الامتثال لتقرير وتقديمه إلى البنوك والعلامات التجارية المناسبة للبطاقات.

مرة أخرى ، بناءً على متطلبات تلك العلامة التجارية المحددة ، قد تضطر المؤسسات إلى تقديم المزيد بشكل متكرر أو اتباع عملية معينة. تتطلب بعض العلامات التجارية ، على سبيل المثال ، من المنظمات تقديم طلبات ربع سنوية.

الخط السفلي

لسوء الحظ ، يرى الكثير من الشركات والأفراد أن الأمن هو عملية تفكير لاحقة أو عملية لمرة واحدة. ومع ذلك ، فإن الحقيقة هي أن الحفاظ على أمان بياناتنا واتصالاتنا لم يكن أكثر أهمية من أي وقت مضى. مع ظهور مخاطر وهجمات جديدة كل يوم ، وتصبح مجموعات البيانات الأكبر مربحة بشكل متزايد للجهات الفاعلة الخبيثة ، تزداد احتمالية حدوث تداعيات كبيرة.

يضمن معيار أمان بيانات PCI أن المؤسسات لن تقوم بسن إجراءات أمنية فحسب ، بل تقوم بصيانتها وتحسينها بشكل صحيح أيضًا بمرور الوقت. مع عمل قادة الصناعة معًا لتحديد مستوى الامتثال القياسي ، يمكن للمؤسسات المساعدة في العمل نحو عصر رقمي أكثر أمانًا.

إن ضمان استخدام مؤسستك للأدوات المتوافقة مع PCI ، والوفاء بلوائح الامتثال لـ PCI عند الضرورة ، هو وضع مربح للجانبين لكل من الأعمال والعملاء. من خلال الحفاظ على أمان البيانات ، يمكن للمؤسسات الاحتفاظ بثقة العملاء وأعمالهم في النهاية.