Mengapa Sertifikasi PCI Penting Untuk Alat Komunikasi Bisnis Anda

Sepertinya kita berada pada titik di mana keamanan data telah menjadi renungan bagi sejumlah besar organisasi. Sudah menjadi berita yang hampir rutin untuk mendengar tentang pelanggaran data baru, dan beberapa nama yang terkena dampak akan sangat mengejutkan Anda. Baru pada tahun 2018 saja, organisasi termasuk Macy's, Adidas, Delta, Panera Bread, dan bahkan Amazon melaporkan bahwa data pelanggan telah dilanggar.

Tidak peduli ukuran bisnis Anda, atau industri yang dilayani, keamanan adalah keharusan mutlak dalam iklim digital saat ini. Sayangnya, aktor jahat ada di luar sana, dan terus mengembangkan cara baru untuk menangkap dan menjual data pelanggan.

Ini, tentu saja, menyebabkan kerugian besar bagi pelanggan tersebut, dan organisasi juga dilanggar. Kurangnya kepercayaan, dan potensi konsekuensi keuangan belum tentu merupakan pilihan yang lebih baik daripada berinvestasi dalam mengamankan data organisasi Anda dengan benar.

Ketika datang ke Pusat Kontak, atau bisnis apa pun yang berhubungan dengan pembayaran melalui telepon atau VoIP Bisnis, organisasi harus benar-benar memastikan proses, aplikasi, data, dan perangkat lunak mereka sesuai dengan Standar Keamanan PCI global.

Apa itu Kepatuhan Standar Keamanan PCI?

Meskipun Standar Keamanan PCI tidak ditetapkan melalui undang-undang atau peraturan resmi, Dewan Standar Keamanan PCI (PCI SSC) telah muncul sebagai "forum global" untuk memfasilitasi pengembangan, peningkatan, dan penyebaran standar keamanan yang disepakati untuk pembayaran keamanan akun — awalnya didirikan oleh American Express, Discover Financial Services, JCB International, MasterCard, dan Visa Inc.

PCI SSC adalah dewan keamanan industri dengan jangkauan global. Idenya adalah bahwa industri dapat bersatu dalam dewan ini untuk mengembangkan dan menetapkan seperangkat peraturan dan standar keamanan untuk melindungi informasi akun pembayaran — hal-hal seperti informasi kartu kredit dan data pelanggan yang sensitif seperti nomor jaminan sosial.

PCI SSC telah menetapkan standar Kepatuhan Keamanan PCI untuk memastikan organisasi mematuhi serangkaian peraturan yang disepakati untuk melindungi informasi pembayaran kartu kredit pelanggan dan informasi sensitif.

Bisnis yang Sesuai dengan PCI harus memenuhi persyaratan keamanan yang disepakati ini, dan tunduk pada penilaian tahunan untuk memastikan kepatuhan secara berkelanjutan. Pada akhirnya, jika organisasi Anda berurusan dengan segala bentuk informasi pembayaran, maka kepatuhan PCI hampir merupakan suatu keharusan.

Karena tidak ada undang-undang yang mewajibkan kepatuhan PCI, organisasi yang tidak memenuhi persyaratan tidak akan menghadapi segala bentuk konsekuensi hukum. Namun, jika pelanggaran data benar- benar terjadi, maka organisasi berpotensi terkena konsekuensi keuangan baik dari PCI SSC, maupun klien dan pelanggan yang terkena dampak pelanggaran tersebut.

Apa Inti dari Sertifikasi PCI?

Pada akhirnya, dengan memastikan kepatuhan PCI dalam suatu organisasi, bisnis tersebut tidak hanya melindungi data pelanggan dan penggunanya, tetapi juga melindungi organisasi dari potensi kerugian dan konsekuensi finansial yang drastis.

Tujuan utama kepatuhan PCI adalah untuk menetapkan standar global bagi organisasi untuk disetujui dan dipatuhi, untuk melawan sejumlah besar pelanggaran data dalam beberapa tahun terakhir. Menurut PCI SSC:

• “Pelanggaran atau pencurian data pemegang kartu memengaruhi seluruh ekosistem kartu pembayaran, dari pelanggan hingga lembaga pembayaran, hingga organisasi yang menerima pembayaran.”
• Ketika data pelanggan bocor, mereka dengan cepat kehilangan kepercayaan dengan pedagang dan lembaga keuangan tersebut
• Jika informasi mereka digunakan dengan jahat, pelanggan juga dapat menghadapi kerugian finansial. Kredit dapat terkena dampak negatif, dan sulit untuk mendapatkan kembali kendali penuh atas data setelah dilanggar
• Karena pedagang dan lembaga keuangan kehilangan kredibilitas, mereka pada akhirnya akan kehilangan bisnis. Pelanggan hanya akan membawa bisnis mereka ke tempat lain jika mereka tidak percaya bahwa informasi mereka akan aman dan terlindungi.

Jika organisasi Anda mengalami pelanggaran data, dan tidak mengambil langkah yang tepat untuk mencegah serangan atau membuat rencana pemulihan, mungkin ada beberapa reaksi dan konsekuensi besar, meskipun tidak ada peraturan hukum.

Organisasi tentu saja akan kehilangan kepercayaan pelanggan dan memilih untuk melakukan bisnis di tempat lain yang mengarah pada penurunan penjualan dan pendapatan, bisnis mungkin harus membayar biaya penerbitan kembali kartu pembayaran baru atau kerugian penipuan, dan hal-hal hanya akan menjadi lebih sulit di masa depan.

Setelah pelanggaran data, organisasi kemudian akan menghadapi biaya kepatuhan yang lebih tinggi, potensi biaya dan penyelesaian hukum, denda dan penalti, serta penghentian kemampuan untuk menerima kartu pembayaran. Pada akhirnya, pelanggaran data pada akhirnya dapat menyebabkan bisnis harus menutup pintu mereka untuk selamanya.

Kebutuhan Keamanan di Era Digital

Saat organisasi mengalihkan komunikasi dan proses mereka ke cloud, termasuk penyimpanan data (khususnya data pelanggan seperti info CRM), keamanan menjadi perhatian yang lebih besar.

Kumpulan besar data pada umumnya sangat menguntungkan bagi pelaku kejahatan yang mencari keuntungan dari informasi ini. Namun, ketika data diarsipkan dan hanya digunakan secara internal dan di tempat, akan jauh lebih sulit bagi penyerang untuk mengakses informasi ini. Namun, saat kami mulai mengalihkan penyimpanan data utama dan proses bisnis kami ke cloud, kami mulai memperkenalkan kebutuhan baru akan keamanan.

Karena data sekarang tidak disimpan di situs, melainkan di cloud, data ini harus dilindungi di berbagai bidang. Organisasi Anda harus memastikan bahwa data berada di tangan yang tepat, dan penyedia alat apa pun yang Anda gunakan (platform Business VoIP, CRM, atau Cloud Contact Center) memastikan bahwa data di server mereka terlindungi dan aman.

Selain data tidak berada di tangan Anda sendiri, data kemudian ditransmisikan melalui internet, dan dibagikan di perangkat organisasi Anda. Data harus dienkripsi dalam transmisi, serta dilindungi pada titik akhir individu tersebut juga. Karena perangkat lunak cloud memungkinkan kami menjadi lebih mobile, ada lebih banyak titik akhir dan perangkat yang terhubung ke jaringan dan platform daripada sebelumnya — dan setiap perangkat ini berpotensi menjadi titik lemah serangan.

Karena data terus-menerus ditransmisikan, dibagikan, disimpan, diedit, diarsipkan, dan dipindahkan, muncul lebih banyak titik lemah dalam proses di mana informasi tersebut dapat dicuri — oleh karena itu di era solusi cloud dan perdagangan digital, kebutuhan akan keamanan berada pada tingkat yang baru.

Kepatuhan PCI di Pusat Kontak

Meskipun organisasi mana pun yang menangani informasi pembayaran pelanggan harus berupaya menegakkan kepatuhan PCI, Pusat Panggilan dan Pusat Kontak khususnya harus berhati-hati. Karena bisnis mereka hampir seluruhnya berkisar pada pengumpulan informasi akun pembayaran dari pelanggan dan klien, Pusat Kontak menghadapi risiko besar menjadi sasaran serangan jahat.

Pusat Kontak terus-menerus berurusan dengan klien dan pelanggan melalui telepon, dan baru-baru ini melalui obrolan online atau bahkan pesan teks SMS. Setiap kali pelanggan atau klien mengirimkan segala bentuk pembayaran atau informasi identitas kepada agen, informasi tersebut harus diamankan.

Karena Pusat Kontak khususnya juga menggunakan lebih banyak platform cloud yang menyimpan dan mengakses data ini, dari solusi CRM hingga perangkat lunak Call Center hingga alat VoIP Bisnis, terkadang bahkan melangkah lebih jauh ke Kecerdasan Buatan dan Pengoptimalan Tenaga Kerja, ada banyak kelemahan ujung yang harus diikat menjadi satu.

Dua dari perhatian utama yang harus menjadi fokus Pusat Kontak meliputi:

• Mengamankan data dari akses yang tidak sah . Cukup lurus ke depan. Mereka yang tidak diizinkan untuk mengakses data seharusnya tidak dapat melakukannya, ini akan menjadi langkah pertama untuk memastikan tingkat keamanan data yang paling dasar sekalipun. Ini tentu saja dimulai dengan praktik keamanan sederhana, seperti hanya memberikan kata sandi kepada administrator, mengubah kata sandi secara rutin, menggunakan metode otentikasi fisik, dan mengamankan semua perangkat dan titik akses.
• Kepercayaan Pelanggan . Aspek utama dari setiap organisasi adalah ikatan kepercayaan antara klien dan bisnis. Pelanggan sangat mempertimbangkan pengalaman mereka dengan sebuah organisasi, dan akan memilih untuk berbisnis dengan mereka yang memberikan pengalaman terbaik. Ketika berhadapan dengan sejumlah modal atau bahkan hanya data sensitif (pikirkan HIPAA), pelanggan ingin tahu bahwa informasi mereka dilindungi dan mereka tidak akan dirugikan karena berbisnis dengan organisasi Anda.

Kedua kekhawatiran ini tentu saja berjalan beriringan. Ketika data pelanggan tidak aman, dan dilanggar, mereka pada akhirnya akan kehilangan kepercayaan pada bisnis Anda. Memastikan data aman berarti memastikan bahwa pelanggan akan terus mempercayai bisnis Anda.

Pada akhirnya, mencegah segala bentuk pelanggaran dan memastikan kepada klien Anda bahwa data mereka aman dapat sangat membantu dalam menciptakan ikatan kepercayaan itu. Pusat Kontak, dengan kumpulan data yang sangat banyak dan jumlah interaksi yang besar setiap hari, khususnya harus sangat berhati-hati, dan harus memastikan kepatuhan PCI pada setiap langkah proses.

Kepatuhan PCI dalam VoIP Bisnis

Ketika berbicara tentang VoIP secara lebih umum, PCI DSS “tidak secara eksplisit merujuk penggunaan VoIP.” Namun, ini tidak berarti bahwa hanya karena organisasi Anda menggunakan layanan VoIP Bisnis, mereka menjadi jelas. Faktanya, PCI DSS memiliki bagian FAQ sendiri yang menyoroti penggunaan VoIP secara khusus.

Sekarang, ini memang menjadi sedikit rumit, tetapi kami akan mencoba menguraikan intisari dari apa yang perlu Anda ketahui. Kepatuhan PCI untuk VoIP mendapat sedikit lebih dalam, dan sejauh mendefinisikan berbagai bentuk transmisi (internal atau eksternal), serta sumber transmisi ini.

Takeaway utama adalah ini:

Untuk memenuhi kepatuhan PCI, organisasi harus memastikan bahwa segala bentuk data internet, atau lalu lintas jaringan IP, yang berisi segala bentuk informasi akun pembayaran diamankan. Sederhananya, data akun pembayaran yang ditransfer melalui “lalu lintas VoIP yang berisi data akun kartu pembayaran berada dalam cakupan kontrol PCI DSS yang berlaku.”

Karena VoIP mengirimkan suara Anda melalui internet sebagai paket data, data tersebut kemudian tunduk pada standar keamanan kepatuhan PCI karena sekarang informasi tersebut ditransfer melalui, dan disimpan di, jaringan organisasi Anda.

Tapi cerita tidak benar-benar berakhir di situ. Hal-hal menjadi sedikit rumit ketika datang ke sumber panggilan VoIP, dan bagaimana data itu ditransfer:

• Transmisi internal – lalu lintas VoIP yang berisi data akun kartu pembayaran yang dibagikan dalam jaringan organisasi Anda harus sesuai dengan PCI. Setiap data yang disimpan, diproses, atau ditransmisikan secara internal melalui jaringan organisasi harus sesuai dengan kepatuhan.
• Transmisi eksternal – Saat entitas mentransfer info kartu pembayaran ke bisnis lain (misalnya, penyedia layanan atau pemroses pembayaran), sistem dan jaringan entitas yang digunakan untuk transmisi tersebut harus sesuai. Artinya, jika bisnis Anda melakukan panggilan VoIP untuk mengirim data pembayaran ke bisnis atau entitas lain, koneksi tersebut harus diamankan dan sesuai dengan PCI.
• Transmisi Eksternal ke/dari Pemegang Kartu – Ketika VoIP digunakan untuk transmisi data rekening kartu pembayaran antara pemegang kartu dan organisasi, sistem dan jaringan bisnis yang digunakan untuk transmisi tersebut harus sesuai.

Ini benar-benar hanya yang kurus, PCI SSC sangat detail pada skenario yang berbeda ini. Namun, cara termudah untuk memastikan komunikasi VoIP Anda sesuai dengan PCI adalah dengan menangani semua panggilan, terlepas dari sumber atau tujuan, harus seaman mungkin untuk memenuhi kepatuhan PCI.

Jika Anda ingin membaca lebih lanjut, Anda dapat mempelajari lebih lanjut tentang kepatuhan VoIP dan peraturan dan skenario yang sangat spesifik di situs web PCI SCC.

Bagaimana Bisnis Anda Dapat Mematuhi Kepatuhan PCI?

Sekarang kami telah menetapkan mengapa bisnis Anda harus mematuhi standar kepatuhan yang ditetapkan oleh PCI SSC, kami akan mengarahkan organisasi Anda ke arah yang benar untuk memulai proses. Keamanan pada akhirnya bukanlah tugas yang mudah, dan akan membutuhkan sejumlah besar penelitian dan perbandingan untuk benar-benar memahami arah yang tepat untuk diambil.

PCI SSC memang menawarkan daftar persyaratan yang cukup mendasar dan tujuan terkait untuk membantu organisasi memulai:

Keamanan harus diperlakukan sebagai investasi, belanjakan sekarang untuk menabung nanti. Belanjakan sekarang untuk melindungi organisasi, data, dan pelanggan Anda, untuk menghindari potensi dampak dari pelanggaran data, jika itu terjadi. Tanpa keamanan yang tepat, itu benar-benar dapat terjadi pada bisnis apa pun seperti yang telah kita lihat secara real-time. Sejauh ini kami belum melihat keluhan keamanan untuk inContact.

I. Pastikan Solusi dan Platform Sesuai dengan PCI

Seperti yang telah saya sebutkan, di era platform cloud ini, sebagian besar data yang kami akses dan gunakan bahkan tidak disimpan di dalam server kami, atau secara fisik di lokasi yang sama dengan tempat kami bekerja. Dengan penggunaan platform CRM, Contact Center dan Business VoIP secara khusus, data pelanggan dan klien disimpan di pusat data vendor, dan diakses melalui internet.

Oleh karena itu, sangat penting bahwa Pusat Kontak setidaknya memastikan alat yang mereka gunakan, dan platform tempat mereka berlangganan, memastikan beberapa tingkat kepatuhan PCI. Ini adalah proses yang sama yang digunakan industri lain, misalnya rumah sakit hanya akan menggunakan solusi yang sesuai dengan HIPAA.

Hanya untuk menyoroti beberapa nama besar:

• Pusat Kontak Lanjutan Vonage
• selanjutnya
• 8×8
• Lima9
• Genesys
• Twilio
• Bagus Dalam Kontak
• RingCentral

II. Ikuti Panduan PCI SSC untuk Memastikan Kepatuhan

Sayangnya, persyaratan khusus untuk lembaga keuangan dan merek kartu pembayaran yang berbeda akan berbeda berdasarkan kasus per kasus. Setiap organisasi akan memiliki peraturan dan persyaratan khusus untuk Kepatuhan PCI.

“ Validasi kepatuhan terhadap Standar Keamanan Data PCI ditentukan oleh masing-masing merek pembayaran. Semua telah setuju untuk memasukkan Standar Keamanan Data PCI sebagai bagian dari persyaratan teknis untuk setiap program kepatuhan keamanan data mereka. Merek pembayaran juga mengakui penilai keamanan yang memenuhi syarat dan vendor pemindaian yang disetujui yang memenuhi syarat oleh Dewan Standar Keamanan PCI.”

Karena itu, PCI SSC memberikan garis besar kasar dari proses tiga langkah yang dilakukan untuk memastikan kepatuhan.

1. Menilai

Menilai sistem dan proses organisasi Anda yang terkait dengan data dengan mengidentifikasi data pemegang kartu, menginventarisasi aset TI serta proses bisnis untuk pemrosesan kartu pembayaran, dan menganalisis setiap kerentanan dalam sistem ini.

Ini dapat dilakukan melalui pelingkupan, sebuah proses di mana organisasi mengidentifikasi semua komponen sistem yang terletak di dalam atau terhubung ke lingkungan data pemegang kartu.

Pelingkupan harus menjadi proses tahunan untuk memastikan pemeriksaan dan pemeliharaan rutin, karena cara terbaik untuk mencegah potensi pelanggaran adalah dengan secara proaktif menutup setiap lubang yang menyebabkan kebocoran.

Organisasi sebenarnya dapat mempekerjakan penilai keamanan yang berkualifikasi. Menurut PCI SSC, “ Penilai Keamanan Berkualifikasi adalah perusahaan keamanan data yang memenuhi syarat oleh Dewan PCI untuk melakukan penilaian Standar Keamanan Data PCI di tempat.” Penilai ini akan memverifikasi informasi teknis, menggunakan penilaian independen untuk memastikan standar kepatuhan terpenuhi, memberikan dukungan dan panduan selama proses kepatuhan, dan menghasilkan laporan akhir untuk diserahkan ke PCI SSC.

2. Perbaiki

Setelah proses penilaian, sekarang harus jelas bagi organisasi Anda apa yang harus dilakukan untuk menutup lubang potensial di jaringan, dan mempersiapkan sistem untuk kepatuhan PCI yang lengkap. Meskipun ini berarti memperbaiki setiap kerentanan yang ditemukan, PCI SSC juga merekomendasikan untuk menghilangkan penyimpanan data pemegang kartu dari layanan, pusat data, dan catatan organisasi Anda kecuali benar-benar diperlukan untuk operasi bisnis.

3. Laporkan

Setelah penilaian selesai, dan organisasi mengambil langkah-langkah yang diperlukan untuk memperbaiki masalah dan memperketat keamanan, laporan harus dipatuhi dan diserahkan ke bank dan merek kartu yang sesuai.

Sekali lagi, tergantung pada persyaratan merek tertentu, organisasi mungkin harus mengajukan lebih sering atau mengikuti proses tertentu. Beberapa merek, misalnya, mengharuskan organisasi untuk mengajukan pengiriman triwulanan.

Garis bawah

Sayangnya, terlalu banyak bisnis dan individu yang melihat keamanan sebagai proses yang dipikirkan setelahnya, atau proses satu kali. Namun, kenyataannya adalah menjaga keamanan data dan komunikasi kita tidak pernah lebih penting. Dengan risiko dan serangan baru yang muncul setiap hari, dan kumpulan data yang lebih besar menjadi semakin menguntungkan bagi pelaku kejahatan, potensi dampak besar semakin besar.

Standar Keamanan Data PCI memastikan bahwa organisasi tidak hanya akan menerapkan langkah-langkah keamanan, tetapi juga memelihara dan mengoptimalkannya dengan baik dari waktu ke waktu. Dengan para pemimpin industri yang bekerja sama untuk menetapkan tingkat kepatuhan standar, organisasi dapat membantu bekerja menuju era digital yang lebih aman.

Memastikan organisasi Anda menggunakan alat yang sesuai dengan PCI, dan memenuhi peraturan kepatuhan PCI jika diperlukan, benar-benar merupakan situasi yang saling menguntungkan bagi bisnis dan klien. Dengan menjaga keamanan data, organisasi dapat mempertahankan kepercayaan pelanggan, dan pada akhirnya bisnis mereka.