PCI認定がビジネスコミュニケーションツールにとって重要である理由

多くの組織にとって、データセキュリティが後回しになっているように思われます。 新しいデータ侵害について聞くことはほぼ日常的なニュースになり、影響を受けた名前のいくつかは本当にあなたを驚かせるでしょう。 2018年だけでも、メイシーズ、アディダス、デルタ、パネラブレッド、さらにはアマゾンなどの組織が、顧客データが侵害されたと報告しました。

ビジネスの規模やサービスを提供する業界に関係なく、現在のデジタル環境ではセキュリティが絶対に必要です。 残念ながら、悪意のある攻撃者が存在し、顧客データをキャプチャして販売するための新しい方法を絶えず開発しています。

もちろん、これはそれらの顧客に大規模なフォールアウトを引き起こし、組織も同様に侵害しました。 信頼の欠如、および潜在的な経済的影響は、組織のデータを適切に保護するために投資するよりも必ずしも良い選択肢ではありません。

コンタクトセンター、または電話やビジネスVoIPを介した支払いを扱う企業の場合、組織は、プロセス、アプリケーション、データ、およびソフトウェアがグローバルPCIセキュリティ標準に準拠していることを絶対に確認する必要があります。

PCIセキュリティ標準コンプライアンスとは何ですか？

PCIセキュリティ基準は公式の法律や規制によって定められていませんが、PCIセキュリティ基準評議会（PCI SSC）は、合意された支払いのためのセキュリティ基準の開発、強化、普及を促進するための「グローバルフォーラム」として浮上しています。アカウントのセキュリティ—元々はAmerican Express、Discover Financial Services、JCB International、MasterCard、VisaIncによって設立されました。

PCI SSCは、グローバルに展開する業界全体のセキュリティ評議会です。 クレジットカード情報や社会保障番号などの機密性の高い顧客データなどの支払いアカウント情報を保護するために、業界がこの評議会内に集まって一連の規制とセキュリティ基準を開発および確立できるという考え方です。

PCI SSCは、顧客のクレジットカード支払い情報と機密情報を保護するために、組織が合意された一連の規制に準拠することを保証するために、PCIセキュリティコンプライアンス基準を確立しました。

PCI準拠の企業は、これらの合意されたセキュリティ要件を満たす必要があり、継続的にコンプライアンスを確保するために年次評価の対象となります。 結局のところ、組織が何らかの形式の支払い情報を扱う場合、PCIコンプライアンスはほとんど必要です。

PCIコンプライアンスを義務付ける法律はないため、要件を満たしていない組織は、いかなる形の法的結果にも直面しません。 ただし、データ漏えいが発生した場合、組織は、PCI SSCだけでなく、漏えいの影響を受けたクライアントと顧客の両方からの経済的影響を受ける可能性があります。

PCI認定のポイントとは何ですか？

結局のところ、組織内でPCIコンプライアンスを確保することにより、そのビジネスは顧客とユーザーのデータを保護するだけでなく、組織は潜在的に劇的な経済的損失と結果からも保護されます。

PCIコンプライアンスの主な目標は、近年の多数のデータ侵害に対抗するために、組織が同意して遵守するためのグローバルスタンダードを設定することです。 PCI SSCによると：

• 「カード会員データの侵害または盗難は、顧客から支払い機関、支払いを受け取る組織に至るまで、支払いカードのエコシステム全体に影響を及ぼします。」
• 顧客データが漏洩すると、それらの商人や金融機関との信頼をすぐに失います。
• 情報が悪意を持って使用された場合、顧客は経済的損失に直面する可能性もあります。 クレジットは悪影響を受ける可能性があり、データが侵害された後はデータの完全な制御を取り戻すのが難しい場合があります
• 商人や金融機関が信用を失うと、最終的にはビジネスを失うことになります。 顧客は、自分の情報が安全で保護されることを信頼しない場合、単にビジネスを他の場所に移します。

組織でデータ侵害が発生し、攻撃を防止したり、復旧計画を確立したりするための適切な措置を講じなかった場合、法規制がないにもかかわらず、大きな反発と結果が生じる可能性があります。

もちろん、組織は顧客に自信を失い、他の場所でビジネスを行うことを選択するため、売上と収益が減少し、企業は新しい支払いカードの再発行や不正損失の費用を支払う必要があり、事態は今後さらに困難になるでしょう。

データ漏えいの後、組織はその後のコンプライアンスのコスト、潜在的な訴訟費用と和解、罰金と罰則、および支払いカードを受け入れる機能の終了に直面します。 結局のところ、データ漏えいは最終的に企業が永久にドアを閉めなければならないことにつながる可能性があります。

デジタル時代のセキュリティの必要性

組織がデータストレージ（特にCRM情報などの顧客データ）を含む通信とプロセスをクラウドに移行するにつれて、セキュリティはさらに大きな懸念事項になります。

一般に、大量のデータは、この情報から利益を得ようとする悪意のある攻撃者にとって非常に有利です。 ただし、データがアーカイブされ、内部およびオンサイトでのみ利用される場合、攻撃者がこの情報にアクセスすることははるかに困難になります。 ただし、主要なデータストレージとビジネスプロセスをクラウドに移行し始めたため、セキュリティの新たな必要性が導入され始めました。

現在、データはサイトではなくクラウドに保存されているため、このデータは複数の面で保護する必要があります。 組織は、データが適切に管理されていることを確認する必要があります。また、使用しているツール（Business VoIP、CRM、またはCloud Contact Centerプラットフォーム）のプロバイダーは、サーバー上のデータが保護され、安全であることを確認します。

データが自分の手元にないことに加えて、データはインターネットを介して送信され、組織のデバイスで共有されます。 データは送信時に暗号化する必要があり、それらの個々のエンドポイントでも保護する必要があります。 クラウドソフトウェアによってモバイル性が向上したため、ネットワークとプラットフォームに接続されているエンドポイントとデバイスはこれまでになく増えています。これらのデバイスはすべて、攻撃の潜在的な弱点です。

データは絶えず送信、共有、保存、編集、アーカイブ、移動されているため、その情報が盗まれる可能性のあるプロセスには、さらに多くの弱点があります。したがって、クラウドソリューションとデジタルコマースの時代には、セキュリティの必要性があります。新しいレベルにあります。

コンタクトセンターでのPCIコンプライアンス

顧客の支払い情報を扱う組織はPCIコンプライアンスの実施を試みる必要がありますが、特にコールセンターとコンタクトセンターは注意する必要があります。 彼らのビジネスはほぼ完全に顧客やクライアントからの支払いアカウント情報の収集を中心に展開しているため、コンタクトセンターは悪意のある攻撃の標的になるという大きなリスクに直面しています。

コンタクトセンターは常に電話でクライアントや顧客に対応しており、最近ではオンラインチャットやSMSテキストメッセージでさえも対応しています。 顧客またはクライアントが何らかの形の支払いまたは識別情報をエージェントに送信するたびに、その情報を保護する必要があります。

特にコンタクトセンターは、CRMソリューションからコールセンターソフトウェア、ビジネスVoIPツールに至るまで、このデータを保存してアクセスする多数のクラウドプラットフォームを利用しているため、人工知能や労働力の最適化に至ることもあります。一緒に結ぶ必要がある端。

コンタクトセンターが焦点を当てるべき主な懸念事項の2つは次のとおりです。

• 不正アクセスからのデータの保護。 かなり簡単です。 データへのアクセスが許可されていないユーザーはアクセスできないようにする必要があります。これは、最も基本的なレベルのデータセキュリティを確保するための最初のステップになります。 もちろん、これは、管理者にパスワードを提供するだけ、定期的にパスワードを変更する、物理的な認証方法を利用する、すべてのデバイスとアクセスポイントを保護するなど、単純なセキュリティ対策から始まります。
• カスタマートラスト。 組織の主要な側面は、クライアントとビジネスの間の信頼の絆です。 顧客は組織での経験を重視し、最高の経験を提供するものとビジネスを行うことを選択します。 あらゆる金額の資本や機密データ（HIPAAを考えてください）を扱う場合、顧客は自分の情報が保護されており、組織との取引で害を受けないことを望んでいます。

もちろん、これら2つの懸念は密接に関連しています。 顧客のデータが保護されておらず、侵害された場合、最終的には顧客のビジネスに対する信頼が失われます。 データが安全であることを保証することは、顧客があなたのビジネスを信頼し続けることを保証することです。

結局のところ、あらゆる形態の侵害を防ぎ、クライアントにデータが安全であることを保証することは、信頼の絆を築く上で大いに役立ちます。 膨大なデータセットと毎日の多数のやり取りがあるコンタクトセンターは、特に細心の注意を払う必要があり、プロセスのすべてのステップでPCIコンプライアンスを確保する必要があります。

ビジネスVoIPにおけるPCIコンプライアンス

より一般的なVoIPに関しては、PCIDSSは「VoIPの使用を明示的に参照していません」。 ただし、これは、組織がビジネスVoIPサービスを利用しているという理由だけで明確になっているという意味ではありません。 実際、PCI DSSには、VoIPの使用を具体的に強調する独自のFAQセクションがあります。

さて、これは少しトリッキーになりますが、私たちはあなたが知る必要があることの要点を概説しようとします。 VoIPのPCIコンプライアンスは少し深くなり、さまざまな形式の送信（内部または外部）、およびこれらの送信のソースを定義するところまで行きます。

主なポイントは次のとおりです。

PCIコンプライアンスを満たすために、組織は、あらゆる形式の支払いアカウント情報を含むあらゆる形式のインターネットデータまたはIPネットワークトラフィックが保護されていることを確認する必要があります。 簡単に言えば、「ペイメントカードアカウントデータを含むVoIPトラフィックは、該当するPCIDSSコントロールの範囲内にあります」を介して転送されるペイメントアカウントデータ。

VoIPはインターネットを介して音声をデータパケットとして送信するため、そのデータは組織のネットワークを介して転送および保存される情報であるため、PCIコンプライアンスセキュリティ標準の対象となります。

しかし、話はそれだけではありません。 VoIP通話の発信元と、そのデータがどのように転送されるかについては、少し注意が必要です。

• 内部送信–組織のネットワーク内で共有されるペイメントカードアカウントデータを含むVoIPトラフィックは、PCIに準拠している必要があります。 組織のネットワークを介して内部で保存、処理、または送信されるデータはすべて、コンプライアンスに準拠している必要があります。
• 外部送信–エンティティが支払いカード情報を別のビジネス（サービスプロバイダーや支払い処理業者など）に転送する場合、それらの送信に使用されるエンティティのシステムとネットワークは準拠している必要があります。 つまり、ビジネスがVoIP通話を発信して支払いデータを別のビジネスまたはエンティティに送信する場合、その接続は保護され、PCIに準拠している必要があります。
• カード所有者との間の外部送信–カード所有者と組織の間のペイメントカードアカウントデータの送信にVoIPを使用する場合、送信に使用されるその企業のシステムとネットワークは準拠している必要があります。

これは実際にはほんのわずかなものであり、PCISSCはこれらのさまざまなシナリオについて非常に詳細に説明しています。 ただし、VoIP通信がPCIに準拠していることを確認する最も簡単な方法は、発信元または宛先に関係なく、PCI準拠を満たすために、可能な限り安全である必要があるすべての通話を処理することです。

さらに詳しく知りたい場合は、PCI SCCのWebサイトで、VoIPコンプライアンスおよび非常に具体的な規制とシナリオについて詳しく知ることができます。

あなたのビジネスはどのようにPCIコンプライアンスに準拠できますか？

お客様のビジネスがPCISSCによって設定されたコンプライアンス基準に準拠する必要がある理由がわかったので、プロセスを開始する正しい方向に組織を向けます。 セキュリティは最終的には単純な作業ではなく、正しい方向性を真に理解するには、かなりの量の調査と比較が必要になります。

PCI SSCは、組織が開始するのに役立つ要件と関連する目標のかなり基本的なリストを提供します。

セキュリティは投資として扱われる必要があります。後で節約するために今すぐ使用してください。 今すぐ支出して、組織、データ、および顧客を保護し、データ侵害が発生した場合の潜在的なフォールアウトを回避します。 適切なセキュリティが設定されていないと、リアルタイムで見たように、どのビジネスでも実際に発生する可能性があります。 これまでのところ、inContactに対するセキュリティ上の苦情はありません。

I.ソリューションとプラットフォームがPCIに準拠していることを確認する

すでに述べたように、クラウドプラットフォームのこの時代では、私たちがアクセスして利用するデータのほとんどは、サーバー内に保存されておらず、物理的に私たちが作業している場所と同じ場所に保存されていません。 特にCRM、Contact Center、およびBusiness VoIPプラットフォームを使用すると、顧客とクライアントのデータはベンダーのデータセンターに保存され、インターネットを介してアクセスされます。

したがって、コンタクトセンターは、少なくとも、使用するツールとサブスクライブするプラットフォームがある程度のPCIコンプライアンスを確保することを保証することが非常に重要です。 これは他の業界で使用されているプロセスと同じです。たとえば、病院はHIPAAに準拠したソリューションのみを使用します。

いくつかの主要な名前を強調するためだけに：

• Vonage Advanced Contact Center
• Nextiva
• 8×8
• ファイブ9
• Genesys
• Twilio
• ニースInContact
• RingCentral

II。 PCI SSCガイドに従って、コンプライアンスを確保します

残念ながら、さまざまな金融機関やペイメントカードのブランドに対する特定の要件は、ケースバイケースで異なります。 各組織には、PCIコンプライアンスに関する独自の規制と要件があります。

「 PCIデータセキュリティ標準への準拠の検証は、個々の決済ブランドによって決定されます。 すべての人が、各データセキュリティコンプライアンスプログラムの技術要件の一部としてPCIデータセキュリティ標準を組み込むことに同意しています。 ペイメントブランドは、PCI Security StandardsCouncilによって認定された資格のあるセキュリティ評価者と承認されたスキャンベンダーも認めています。」

このため、PCI SSCは、コンプライアンスを確保するために行われる3ステップのプロセスの大まかな概要を提供します。

1.評価する

カード会員データを特定し、IT資産のインベントリと支払いカード処理のビジネスプロセスを取得し、これらのシステム内の脆弱性を分析することにより、データに関連する組織のシステムとプロセスを評価します。

これは、組織がカード会員データ環境内にあるか、カード会員データ環境に接続されているすべてのシステムコンポーネントを識別するプロセスであるスコーピングを通じて行うことができます。

スコープは、定期的な検査とメンテナンスを確実にするための毎年のプロセスである必要があります。潜在的な違反を防ぐための最善の方法は、漏れが発生した穴を積極的に閉じることです。

組織は実際に資格のあるセキュリティ評価者を雇うことができます。 PCI SSCによると、「資格のあるセキュリティ評価者は、オンサイトのPCIデータセキュリティ標準評価を実行するためにPCI評議会によって資格を与えられたデータセキュリティ会社です。」 これらの評価者は、技術情報を検証し、独立した判断を使用してコンプライアンス基準が満たされていることを確認し、コンプライアンスプロセス中にサポートとガイダンスを提供し、PCISSCに提出する最終レポートを作成します。

2.修正する

評価プロセスの後、ネットワークの潜在的な穴を塞ぎ、システムを完全なPCIコンプライアンスに備えるために何をしなければならないかが組織に明確になります。 これは、見つかった脆弱性を修正することを意味しますが、PCI SSCは、ビジネスオペレーションに絶対に必要でない限り、組織のサービス、データセンター、およびレコードからカード会員データのストレージを排除することもお勧めします。

3.レポート

評価が完了し、組織が問題を修正してセキュリティを強化するために必要な手順を実行したら、レポートを作成して適切な銀行およびカードブランドに提出する必要があります。

繰り返しになりますが、その特定のブランドの要件によっては、組織はより頻繁にファイルを提出するか、特定のプロセスに従う必要がある場合があります。 たとえば、一部のブランドでは、組織が四半期ごとに提出する必要があります。

結論

残念ながら、あまりにも多くの企業や個人が、セキュリティを後から考えた、または1回限りのプロセスと見なしています。 しかし、真実は、私たちのデータと通信を安全に保つことがこれまで以上に重要であるということです。 毎日新しいリスクと攻撃が発生し、より大きなデータセットが悪意のある攻撃者にとってますます儲かるようになっているため、大規模なフォールアウトの可能性はますます高まっています。

PCIデータセキュリティ標準は、組織がセキュリティ対策を講じるだけでなく、長期にわたってそれらを適切に維持および最適化することを保証します。 業界のリーダーが協力して標準のコンプライアンスレベルを設定することで、組織はより安全なデジタル時代に向けた取り組みを支援できます。

組織がPCI準拠のツールを利用し、必要に応じてPCIコンプライアンス規制を確実に満たすようにすることは、ビジネスとクライアントの両方にとって絶対に有利な状況です。 データを安全に保つことで、組織は顧客の信頼を維持し、最終的にはビジネスを維持できます。