PCI 인증이 비즈니스 커뮤니케이션 도구에 중요한 이유

많은 조직에서 데이터 보안이 사후 고려 사항이 된 시점에 있는 것 같습니다. 새로운 데이터 침해에 대한 소식을 듣는 것은 거의 일상적인 뉴스가 되었으며 영향을 받는 이름 중 일부는 정말 놀랄 것입니다. 2018년 한 해에만 Macy's, Adidas, Delta, Panera Bread, 심지어 Amazon을 포함한 조직에서 고객 데이터가 침해되었다고 보고했습니다.

비즈니스의 규모나 서비스를 제공하는 산업에 관계없이 보안은 현재의 디지털 환경에서 절대적으로 필요합니다. 불행히도 악의적인 행위자들은 고객 데이터를 캡처하고 판매하는 새로운 방법을 지속적으로 개발하고 있습니다.

물론 이는 해당 고객과 조직에 막대한 피해를 입힙니다. 신뢰 부족과 잠재적인 재정적 결과가 조직의 데이터를 적절하게 보호하는 데 투자하는 것보다 반드시 더 나은 선택은 아닙니다.

컨택 센터 또는 전화 또는 비즈니스 VoIP를 통한 지불을 처리하는 모든 기업의 경우 조직은 프로세스, 애플리케이션, 데이터 및 소프트웨어가 글로벌 PCI 보안 표준을 준수하는지 절대적으로 확인해야 합니다.

PCI 보안 표준 준수란 무엇입니까?

PCI 보안 표준이 공식 법률이나 규정을 통해 확정된 것은 아니지만 PCI 보안 표준 위원회(PCI SSC)는 합의된 결제 보안 표준의 개발, 향상 및 보급을 촉진하기 위한 "글로벌 포럼"으로 부상했습니다. 계정 보안 — 원래 American Express, Discover Financial Services, JCB International, MasterCard 및 Visa Inc.가 설립했습니다.

PCI SSC는 전 세계에 걸친 업계 전반의 보안 위원회입니다. 아이디어는 업계가 이 위원회 내에서 신용 카드 정보 및 사회 보장 번호와 같은 민감한 고객 데이터와 같은 지불 계정 정보를 보호하기 위해 일련의 규정 및 보안 표준을 개발하고 수립할 수 있다는 것입니다.

PCI SSC는 조직이 고객 신용 카드 결제 정보 및 민감한 정보를 보호하기 위해 합의된 일련의 규정을 준수할 수 있도록 PCI 보안 규정 준수 표준을 수립했습니다.

PCI 준수 기업은 이러한 합의된 보안 요구 사항을 충족해야 하며 지속적으로 규정 준수를 보장하기 위해 연간 평가를 받아야 합니다. 결국 조직에서 모든 형태의 지불 정보를 처리하는 경우 PCI 규정 준수는 거의 필수입니다.

PCI 준수를 의무화하는 법률이 없기 때문에 요구 사항을 충족하지 않는 조직은 어떠한 형태의 법적 결과에 직면하지 않습니다. 그러나 데이터 침해 가 발생하면 조직은 PCI SSC는 물론 침해의 영향을 받는 고객 및 고객 모두로부터 잠재적으로 재정적 결과를 초래할 수 있습니다.

PCI 인증의 포인트는 무엇입니까?

결국 조직 내에서 PCI 규정 준수를 보장함으로써 해당 기업은 고객 및 사용자 데이터를 보호할 뿐만 아니라 잠재적으로 심각한 재정적 손실과 결과로부터 조직을 보호할 수 있습니다.

PCI 규정 준수의 주요 목표는 최근 몇 년간 수많은 데이터 침해에 대응하기 위해 조직이 동의하고 준수할 글로벌 표준을 설정하는 것입니다. PCI SSC에 따르면:

• "카드 소유자 데이터의 유출 또는 도난은 고객에서 결제 기관, 결제를 받는 조직에 이르기까지 전체 결제 카드 생태계에 영향을 미칩니다."
• 고객 데이터가 유출되면 해당 가맹점 및 금융 기관에 대한 신뢰를 빠르게 잃습니다.
• 자신의 정보가 악의적으로 사용되는 경우 고객은 재정적 손실에 직면할 수도 있습니다. 신용에 부정적인 영향을 미칠 수 있으며 데이터가 침해된 후에는 데이터를 완전히 제어하기 어려울 수 있습니다.
• 가맹점과 금융기관은 신용을 잃으면 결국 사업을 잃게 됩니다. 고객은 자신의 정보가 안전하고 보호받을 수 있다는 확신이 없으면 다른 곳에서 비즈니스를 수행할 것입니다.

조직에서 데이터 침해가 발생하고 공격을 방지하거나 복구 계획을 수립하기 위한 적절한 조치를 취하지 않으면 법적 규정이 없음에도 불구하고 몇 가지 큰 반발과 결과가 발생할 수 있습니다.

물론 조직은 고객이 신뢰를 잃고 다른 곳에서 사업을 하기로 선택하여 매출과 수익이 감소하고, 기업은 새 지불 카드를 재발급하거나 사기 손실에 대한 비용을 지불해야 할 수 있으며 앞으로 상황은 더욱 어려워질 것입니다.

데이터 침해 후 조직은 더 높은 규정 준수 비용, 잠재적인 법적 비용 및 합의, 벌금 및 벌금, 지불 카드 승인 기능 종료에 직면하게 됩니다. 결국 데이터 유출로 인해 기업은 영원히 문을 닫아야 할 수 있습니다.

디지털 시대 보안의 필요성

조직에서 데이터 스토리지(특히 CRM 정보와 같은 고객 데이터)를 포함하여 커뮤니케이션 및 프로세스를 클라우드로 전환함에 따라 보안은 훨씬 더 큰 관심사가 되었습니다.

일반적으로 방대한 양의 데이터는 이 정보에서 이익을 얻으려는 악의적인 행위자에게 매우 유리합니다. 그러나 데이터를 보관하고 내부 및 현장에서만 활용하는 경우 공격자가 이 정보에 액세스하기가 훨씬 더 어려워집니다. 그러나 주요 데이터 스토리지 및 비즈니스 프로세스를 클라우드로 이동하기 시작하면서 보안에 대한 새로운 필요성을 도입하기 시작했습니다.

이제 데이터가 사이트에 저장되지 않고 클라우드에 저장되기 때문에 이 데이터는 여러 측면에서 보호되어야 합니다. 조직은 데이터가 제대로 관리되고 있는지 확인해야 하며 사용 중인 도구(비즈니스 VoIP, CRM 또는 클라우드 컨택 센터 플랫폼) 제공업체에서 서버의 데이터를 안전하게 보호해야 합니다.

자신의 손에 없는 데이터 외에도 인터넷을 통해 데이터가 전송되고 조직의 장치에서 공유됩니다. 데이터는 전송 시 암호화되어야 하며 개별 엔드포인트에서도 보호되어야 합니다. 클라우드 소프트웨어 덕분에 더 많은 모바일이 가능해지면서 그 어느 때보다 더 많은 엔드포인트와 장치가 네트워크와 플랫폼에 연결되며 이러한 장치 하나하나가 공격에 취약할 수 있습니다.

데이터는 지속적으로 전송, 공유, 저장, 편집, 보관 및 이동되기 때문에 해당 정보를 도난당할 수 있는 프로세스의 취약점이 더 많이 나타났습니다. 따라서 클라우드 솔루션 및 디지털 상거래 시대에 보안이 필요합니다. 새로운 수준에 있습니다.

컨택 센터의 PCI 규정 준수

고객 지불 정보를 다루는 모든 조직은 PCI 규정 준수를 시행해야 하지만 특히 콜 센터와 컨택 센터는 주의해야 합니다. 그들의 비즈니스는 거의 전적으로 고객과 클라이언트로부터 지불 계정 정보를 수집하는 것이므로 컨택 센터는 악의적인 공격의 표적이 될 큰 위험에 직면해 있습니다.

컨택 센터는 지속적으로 전화를 통해 고객 및 고객과 소통하고 있으며 최근에는 온라인 채팅 또는 SMS 문자 메시지를 통해 고객과 소통하고 있습니다. 고객이나 클라이언트가 지불 방식이나 식별 정보를 에이전트에게 보낼 때마다 해당 정보를 보호해야 합니다.

특히 컨택 센터는 CRM 솔루션에서 콜센터 소프트웨어, 비즈니스 VoIP 도구, 때로는 인공 지능 및 인력 최적화에 이르기까지 이 데이터를 저장하고 액세스하는 더 많은 수의 클라우드 플랫폼을 활용하고 있기 때문에 많은 느슨한 함께 묶어야 하는 끝.

Contact Centers가 집중해야 하는 두 가지 주요 관심사는 다음과 같습니다.

• 무단 액세스로부터 데이터 보호 . 매우 간단합니다. 데이터에 접근이 허용되지 않는 사람은 접근할 수 없어야 하며, 이는 가장 기본적인 수준의 데이터 보안도 보장하기 위한 첫 번째 단계가 될 것입니다. 물론 이것은 관리자에게만 암호를 제공하고, 정기적으로 암호를 변경하고, 물리적 인증 방법을 활용하고, 모든 장치와 액세스 포인트를 보호하는 것과 같은 간단한 보안 관행으로 시작됩니다.
• 고객 신뢰 . 모든 조직의 주요 측면은 클라이언트와 비즈니스 간의 신뢰의 유대입니다. 고객은 조직에 대한 경험을 중요하게 생각하며 최고의 경험을 제공하는 기업과 비즈니스를 하기로 선택할 것입니다. 많은 양의 자본 또는 민감한 데이터(HIPAA 생각)를 처리할 때 고객은 자신의 정보가 보호되고 조직과 비즈니스를 수행하는 데 해를 입지 않는다는 것을 알고 싶어합니다.

이 두 가지 관심사는 물론 함께 진행됩니다. 고객의 데이터가 안전하지 않고 침해되면 궁극적으로 비즈니스에 대한 신뢰를 잃게 됩니다. 데이터의 보안을 보장하는 것은 고객이 계속해서 귀하의 비즈니스를 신뢰할 수 있도록 하는 것입니다.

결국, 모든 형태의 침해를 방지하고 고객의 데이터가 안전하다는 것을 고객에게 보장하면 신뢰의 유대를 구축하는 데 큰 도움이 될 수 있습니다. 방대한 데이터 세트와 매일 수많은 상호 작용을 하는 컨택 센터는 특히 매우 주의해야 하며 프로세스의 모든 단일 단계에서 PCI 규정 준수를 보장해야 합니다.

비즈니스 VoIP의 PCI 규정 준수

보다 일반적으로 VoIP와 관련하여 PCI DSS는 "VoIP 사용을 명시적으로 언급하지 않습니다." 그러나 이것이 조직에서 비즈니스 VoIP 서비스를 사용하고 있다고 해서 명확하다는 의미는 아닙니다. 실제로 PCI DSS에는 특히 VoIP 사용을 강조하는 자체 FAQ 섹션이 있습니다.

이제 이것은 약간 까다로워지지만 알아야 할 내용의 개요를 설명하려고 합니다. VoIP용 PCI 규정 준수는 좀 더 심도 있게 다루며 다양한 전송 형식(내부 또는 외부)과 이러한 전송의 소스를 정의하는 데까지 이르렀습니다.

주요 내용은 다음과 같습니다.

PCI 규정 준수를 충족하기 위해 조직은 모든 ​​형태의 지불 계정 정보가 포함된 모든 형태의 인터넷 데이터 또는 IP 네트워크 트래픽을 보호해야 합니다. 간단히 말해서 "결제 카드 계정 데이터가 포함된 VoIP 트래픽은 해당 PCI DSS 제어 범위에 포함됩니다."를 통해 전송되는 결제 계정 데이터입니다.

VoIP는 인터넷을 통해 사용자의 음성을 데이터 패킷으로 전송하므로 해당 데이터는 현재 조직의 네트워크를 통해 전송되고 저장되는 정보이므로 PCI 규정 준수 보안 표준의 적용을 받습니다.

하지만 이야기는 여기서 끝이 아닙니다. VoIP 통화의 출처와 해당 데이터가 전송되는 방식과 관련하여 상황이 약간 까다로워집니다.

• 내부 전송 – 조직의 네트워크 내에서 공유되는 지불 카드 계정 데이터가 포함된 VoIP 트래픽은 PCI를 준수해야 합니다. 조직의 네트워크를 통해 내부적으로 저장, 처리 또는 전송되는 모든 데이터는 규정을 준수해야 합니다.
• 외부 전송 – 엔터티가 결제 카드 정보를 다른 비즈니스(예: 서비스 제공자 또는 결제 프로세서)로 전송할 때 이러한 전송에 사용되는 엔터티의 시스템 및 네트워크는 규정을 준수해야 합니다. 즉, 비즈니스에서 결제 데이터를 다른 비즈니스나 법인으로 보내기 위해 VoIP 호출을 하는 경우 해당 연결은 보안이 유지되고 PCI를 준수해야 합니다.
• 카드 소지자와의 외부 전송 – 카드 소지자와 조직 간의 지불 카드 계정 데이터 전송에 VoIP가 활용되는 경우 전송에 사용되는 해당 기업의 시스템과 네트워크는 규정을 준수해야 합니다.

이것은 정말 극히 일부에 불과하며 PCI SSC는 이러한 다양한 시나리오에 대해 자세히 설명합니다. 그러나 VoIP 통신이 PCI를 준수하는지 확인하는 가장 쉬운 방법은 발신지나 대상에 관계없이 모든 통화를 PCI 준수를 충족할 수 있도록 최대한 안전하게 처리하는 것입니다.

더 자세히 읽고 싶다면 PCI SCC 웹사이트에서 VoIP 규정 준수와 매우 구체적인 규정 및 시나리오에 대해 자세히 알아볼 수 있습니다.

귀사는 PCI 규정 준수를 어떻게 준수할 수 있습니까?

이제 귀사가 PCI SSC에서 설정한 규정 준수 표준을 준수해야 하는 이유를 확인했으므로 귀사가 프로세스를 시작하는 올바른 방향을 알려드리겠습니다. 보안은 궁극적으로 간단한 작업이 아니며 취해야 할 적절한 방향을 진정으로 이해하려면 상당한 양의 연구와 비교가 필요합니다.

PCI SSC는 조직이 시작하는 데 도움이 되는 상당히 기본적인 요구 사항 및 관련 목표 목록을 제공합니다.

보안은 투자로 간주되어야 하며, 나중에 저축하려면 지금 지출해야 합니다. 지금 지출하여 조직, 데이터 및 고객을 보호하고 데이터 침해가 발생할 경우 잠재적인 여파를 방지하십시오. 적절한 보안이 없으면 실시간으로 본 것처럼 모든 비즈니스에 실제로 발생할 수 있습니다. 지금까지 우리는 inContact에 대한 보안 불만을 본 적이 없습니다.

I. 솔루션 및 플랫폼이 PCI를 준수하는지 확인

이미 언급했듯이 이 클라우드 플랫폼 시대에 우리가 액세스하고 활용하는 대부분의 데이터는 서버 내에 저장되지 않거나 물리적으로 우리가 일하는 동일한 위치에 저장되지 않습니다. 특히 CRM, Contact Center 및 Business VoIP 플랫폼을 사용하면 고객 및 클라이언트 데이터가 공급업체의 데이터 센터에 저장되고 인터넷을 통해 액세스됩니다.

따라서 컨택 센터는 최소한 그들이 사용하는 도구와 그들이 구독하는 플랫폼이 일정 수준의 PCI 준수를 보장하도록 하는 것이 매우 중요합니다. 이것은 다른 산업에서 사용하는 것과 동일한 프로세스입니다. 예를 들어 병원에서는 HIPAA를 준수하는 솔루션만 사용합니다.

주요 이름을 강조하기 위해:

• 보나쥬 어드밴스드 컨택 센터
• 넥스티바
• 8×8
• 파이브9
• 제네시스
• 트윌리오
• 나이스 인컨택트
• 링센트럴

Ⅱ. PCI SSC 가이드에 따라 규정 준수 확인

유감스럽게도 다양한 금융 기관 및 지불 카드 브랜드에 대한 특정 요구 사항은 사례별로 다릅니다. 각 조직에는 PCI 규정 준수에 대한 고유한 규정 및 요구 사항이 있습니다.

“ PCI 데이터 보안 표준 준수 여부는 개별 결제 브랜드에 따라 결정됩니다. 모두 PCI 데이터 보안 표준을 각 데이터 보안 준수 프로그램에 대한 기술 요구 사항의 일부로 통합하는 데 동의했습니다. 지불 브랜드는 또한 PCI 보안 표준 위원회의 자격을 갖춘 자격을 갖춘 보안 평가자와 승인된 스캐닝 공급업체를 인정합니다.”

이 때문에 PCI SSC는 규정 준수를 보장하기 위해 발생하는 3단계 프로세스에 대한 대략적인 개요를 제공합니다.

1. 평가

카드 소지자 데이터를 식별하고 결제 카드 처리를 위한 비즈니스 프로세스와 IT 자산 인벤토리를 수집하고 이러한 시스템 내의 취약점을 분석하여 데이터와 관련된 조직의 시스템 및 프로세스를 평가합니다.

이는 조직이 카드 소지자 데이터 환경 내에 있거나 연결된 모든 시스템 구성 요소를 식별하는 프로세스인 범위 지정을 통해 수행할 수 있습니다.

잠재적인 위반을 방지하는 가장 좋은 방법은 누출이 보이는 구멍을 사전에 막는 것이기 때문에 범위 지정은 정기적인 점검 및 유지 관리를 보장하기 위한 연간 프로세스여야 합니다.

조직은 실제로 자격을 갖춘 보안 평가자를 고용할 수 있습니다. PCI SSC에 따르면 " 공인 보안 평가사 는 PCI 위원회에서 현장 PCI 데이터 보안 표준 평가를 수행할 수 있는 자격을 갖춘 데이터 보안 회사입니다." 이러한 평가자는 기술 정보를 확인하고, 독립적인 판단을 사용하여 준수 표준이 충족되었는지 확인하고, 준수 프로세스 동안 지원 및 지침을 제공하고, PCI SSC에 제출할 최종 보고서를 생성합니다.

2. 교정

평가 프로세스가 끝나면 이제 네트워크의 잠재적인 허점을 막고 완전한 PCI 준수를 위해 시스템을 준비하기 위해 수행해야 하는 작업이 조직에 명확해야 합니다. 이는 발견된 취약점을 수정하는 것을 의미하지만 PCI SSC는 비즈니스 운영에 절대적으로 필요한 경우가 아니면 조직의 서비스, 데이터 센터 및 기록에서 카드 소유자 데이터의 저장을 제거할 것을 권장합니다.

3. 보고

평가가 완료되고 조직이 문제를 수정하고 보안을 강화하기 위해 필요한 조치를 취하면 보고서를 준수하고 해당 은행 및 카드 브랜드에 제출해야 합니다.

다시 말하지만, 특정 브랜드의 요구 사항에 따라 조직은 더 자주 파일을 제출하거나 특정 프로세스를 따라야 할 수 있습니다. 예를 들어, 일부 브랜드는 조직이 분기별 제출물을 제출하도록 요구합니다.

결론

불행히도 너무 많은 기업과 개인이 보안을 사후 또는 일회성 프로세스로 보고 있습니다. 그러나 진실은 우리의 데이터와 통신을 안전하게 유지하는 것이 그 어느 때보다 중요하다는 것입니다. 매일 새로운 위험과 공격이 나타나고 더 큰 데이터 세트가 악의적인 행위자에게 점점 더 유리해짐에 따라 주요 낙진의 가능성은 점점 커지고 있습니다.

PCI 데이터 보안 표준은 조직이 보안 조치를 제정할 뿐만 아니라 시간이 지남에 따라 보안 조치를 적절하게 유지하고 최적화할 수 있도록 합니다. 업계 리더들이 협력하여 표준 규정 준수 수준을 설정함으로써 조직은 보다 안전한 디지털 시대를 향한 작업을 도울 수 있습니다.

조직에서 PCI 준수 도구를 활용하고 필요한 경우 PCI 준수 규정을 충족하도록 하는 것은 비즈니스와 클라이언트 모두에게 절대적으로 윈윈되는 상황입니다. 데이터를 안전하게 유지함으로써 조직은 고객의 신뢰와 궁극적으로 비즈니스를 유지할 수 있습니다.