Por que a certificação PCI é importante para suas ferramentas de comunicação empresarial

Publicados: 2018-12-17

Parece que estamos em um ponto em que a segurança de dados se tornou uma reflexão tardia para um grande número de organizações. Tornou-se uma notícia quase rotineira ouvir sobre uma nova violação de dados, e alguns dos nomes afetados realmente o surpreenderiam. Apenas em 2018, organizações como Macy's, Adidas, Delta, Panera Bread e até a Amazon relataram que os dados dos clientes foram violados.

Não importa o tamanho do seu negócio ou o setor atendido, a segurança é uma necessidade absoluta no atual clima digital. Infelizmente, existem agentes mal-intencionados que estão constantemente desenvolvendo novas maneiras de capturar e vender dados de clientes.

Isso, é claro, leva a consequências maciças para esses clientes e as organizações também violadas. A falta de confiança e as possíveis consequências financeiras não são necessariamente uma opção melhor do que investir na proteção adequada dos dados da sua organização.

Quando se trata de Contact Centers ou qualquer empresa que lide com pagamentos por telefone ou VoIP empresarial, as organizações devem garantir absolutamente que seus processos, aplicativos, dados e software estejam em conformidade com os padrões globais de segurança PCI.

O que é a conformidade com o padrão de segurança PCI?

Embora os Padrões de Segurança PCI não sejam definidos por meio de nenhuma lei ou regulamento oficial, o PCI Security Standards Council (PCI SSC) surgiu como um “fórum global” para facilitar o desenvolvimento, aprimoramento e disseminação de padrões de segurança acordados para pagamento segurança da conta — originalmente fundada pela American Express, Discover Financial Services, JCB International, MasterCard e Visa Inc.

O PCI SSC é um conselho de segurança de alcance global e amplo do setor. A ideia é que a indústria possa se reunir dentro desse conselho para desenvolver e estabelecer um conjunto de regulamentos e padrões de segurança para proteger as informações da conta de pagamento – coisas como informações de cartão de crédito e dados confidenciais de clientes, como números de previdência social.

O PCI SSC estabeleceu padrões de conformidade de segurança do PCI para garantir que as organizações cumpram um conjunto de regulamentos acordados para proteger as informações de pagamento de cartão de crédito do cliente e informações confidenciais.

Os negócios em conformidade com o PCI devem atender a esses requisitos de segurança acordados e estão sujeitos a avaliações anuais para garantir a conformidade contínua. No final das contas, se sua organização lida com qualquer forma de informação de pagamento, a conformidade com o PCI é quase uma necessidade.

Como não há lei que obrigue a conformidade com o PCI, as organizações que não atenderem aos requisitos não enfrentarão nenhuma forma de consequências legais. No entanto, se ocorrer uma violação de dados, a organização estará potencialmente sujeita a consequências financeiras do PCI SSC, bem como dos clientes e clientes afetados pela violação.

O que é o Ponto de Certificação PCI?

No final do dia, ao garantir a conformidade com o PCI dentro de uma organização, essa empresa não está apenas protegendo os dados de seus clientes e usuários, mas a organização também está protegida contra consequências e consequências financeiras potencialmente drásticas.

O principal objetivo da conformidade com o PCI é estabelecer um padrão global para as organizações concordarem e cumprirem, a fim de neutralizar o grande número de violações de dados nos últimos anos. De acordo com o PCI SSC:

  • “A violação ou roubo de dados do titular do cartão afeta todo o ecossistema do cartão de pagamento, do cliente à instituição de pagamento, à organização que recebe o pagamento.”
  • Quando os dados dos clientes vazam, eles rapidamente perdem a confiança nesses comerciantes e instituições financeiras
  • Se suas informações forem usadas de forma maliciosa, os clientes também podem enfrentar consequências financeiras. O crédito pode ser impactado negativamente e pode ser difícil recuperar o controle total sobre os dados depois de violados
  • À medida que os comerciantes e as instituições financeiras perdem credibilidade, acabarão perdendo negócios. Os clientes simplesmente levarão seus negócios para outro lugar se não confiarem que suas informações estarão seguras e protegidas.

Se sua organização sofrer uma violação de dados e não tomar as medidas adequadas para evitar ataques ou estabelecer um plano de recuperação, pode haver uma grande reação e consequências, apesar da falta de regulamentações legais.

É claro que as organizações farão com que os clientes percam a confiança e optem por fazer negócios em outros lugares, o que leva a vendas e receitas diminuídas, as empresas podem ter que pagar o custo de reemissão de novos cartões de pagamento ou perdas por fraude, e as coisas só se tornarão mais difíceis no futuro.

Após uma violação de dados, as organizações enfrentarão custos subsequentes mais altos de conformidade, possíveis custos legais e acordos, multas e penalidades e o encerramento da capacidade de aceitar cartões de pagamento. No final das contas, uma violação de dados pode levar uma empresa a fechar suas portas para sempre.

A necessidade de segurança na era digital

À medida que as organizações transferem suas comunicações e processos para a nuvem, incluindo armazenamento de dados (especificamente dados de clientes, como informações de CRM), a segurança se torna uma preocupação ainda maior.

Grandes quantidades de dados em geral são muito lucrativas para atores mal-intencionados que buscam lucrar com essas informações. No entanto, quando os dados são arquivados e utilizados apenas internamente e no local, seria muito mais difícil para um invasor acessar essas informações. No entanto, à medida que começamos a mudar nossos principais processos de armazenamento de dados e negócios para a nuvem, começamos a introduzir uma nova necessidade de segurança.

Como os dados agora não estão sendo armazenados no local, mas na nuvem, esses dados devem ser protegidos em várias frentes. Sua organização deve garantir que os dados estejam em boas mãos, e o provedor de qualquer ferramenta que você esteja usando (plataformas Business VoIP, CRM ou Cloud Contact Center) garante que os dados em seus servidores estejam protegidos e seguros.

Além dos dados não estarem em suas próprias mãos, os dados são transmitidos pela Internet e compartilhados nos dispositivos da sua organização. Os dados devem ser criptografados na transmissão, bem como protegidos nesses terminais individuais. Como o software em nuvem nos permitiu ser mais móveis, há ainda mais endpoints e dispositivos conectados a uma rede e plataforma do que nunca – e cada um desses dispositivos é um ponto fraco em potencial para um ataque.

Como os dados estão sendo constantemente transmitidos, compartilhados, armazenados, editados, arquivados e movidos, surgiram muitos outros pontos fracos no processo em que essas informações podem ser roubadas - portanto, na era das soluções em nuvem e do comércio digital, a necessidade de segurança está em um novo nível.

Conformidade PCI em Contact Centers

Embora qualquer organização que lida com informações de pagamento de clientes deva tentar impor a conformidade com o PCI, os Call Centers e os Contact Centers em particular devem ter cuidado. Como seus negócios giram quase inteiramente em torno da coleta de informações de contas de pagamento de clientes e clientes, os Contact Centers enfrentam um grande risco de serem alvo de um ataque mal-intencionado.

Os Contact Centers lidam constantemente com clientes e clientes por telefone e, mais recentemente, por meio de chats online ou mesmo mensagens de texto SMS. Toda vez que um cliente ou cliente envia qualquer forma de pagamento ou informações de identificação a um agente, essas informações devem ser protegidas.

Como os Contact Centers, em particular, também estão utilizando um número maior de plataformas em nuvem que armazenam e acessam esses dados, desde soluções de CRM até software de Call Center, ferramentas de VoIP de negócios, às vezes indo mais longe em Inteligência Artificial e Otimização da Força de Trabalho, há muitas extremidades que precisam ser amarradas.

Duas das principais preocupações nas quais os Contact Centers devem se concentrar incluem:

  • Protegendo dados de acesso não autorizado . Bastante direto. Aqueles que não têm permissão para acessar os dados não deveriam poder, este seria o primeiro passo para garantir até mesmo o nível mais básico de segurança de dados. É claro que isso começa com práticas de segurança simples, como fornecer apenas senhas aos administradores, alterar senhas rotineiramente, utilizar métodos de autenticação física e proteger todos os dispositivos e pontos de acesso.
  • Confiança do cliente . Um aspecto importante de qualquer organização é o vínculo de confiança entre o cliente e a empresa. Os clientes pesam muito sua experiência com uma organização e optarão por fazer negócios com aqueles que oferecem a melhor experiência. Ao lidar com qualquer quantidade de capital ou mesmo apenas dados confidenciais (pense na HIPAA), os clientes querem saber que suas informações estão protegidas e não serão prejudicados por fazer negócios com sua organização.

É claro que essas duas preocupações andam de mãos dadas. Quando os dados de um cliente não são seguros e são violados, eles acabam perdendo a confiança em seus negócios. Garantir a segurança dos dados é garantir que os clientes continuem confiando no seu negócio.

No final das contas, evitar qualquer forma de violação e garantir aos seus clientes que seus dados estão seguros pode ajudar muito a criar esse vínculo de confiança. Os Contact Centers, com seus vastos conjuntos de dados e grande número de interações diárias, devem ter muito cuidado em particular e devem garantir a conformidade com o PCI em todas as etapas do processo.

Conformidade PCI em VoIP Empresarial

Quando se trata de VoIP de maneira mais geral, o PCI DSS “não faz referência explícita ao uso de VoIP”. No entanto, isso não significa que apenas porque sua organização está utilizando um serviço de VoIP comercial, eles estão livres. Na verdade, o PCI DSS tem sua própria seção de perguntas frequentes, destacando especificamente o uso de VoIP.

Agora, isso fica um pouco complicado, mas tentaremos delinear o que você precisa saber. O PCI Compliance for VoIP se aprofunda um pouco, chegando a definir diferentes formas de transmissão (internas ou externas), bem como as fontes dessas transmissões.

A grande sacada é esta:

Para atender à conformidade com o PCI, as organizações devem garantir que qualquer forma de dados da Internet ou tráfego de rede IP que contenha qualquer forma de informação de conta de pagamento seja protegida. Simplificando, os dados da conta de pagamento transferidos por meio de “tráfego VoIP que contém dados da conta do cartão de pagamento estão no escopo dos controles PCI DSS aplicáveis”.

Como o VoIP está enviando o som de sua voz pela Internet como pacotes de dados, esses dados estão sujeitos aos padrões de segurança de conformidade com PCI, pois agora são informações transferidas e armazenadas na rede da sua organização.

Mas a história realmente não termina aí. As coisas ficam um pouco complicadas quando se trata da origem da chamada VoIP e como esses dados estão sendo transferidos:

  • Transmissões internas – o tráfego VoIP que contém dados de contas de cartão de pagamento compartilhados na rede da sua organização deve ser compatível com PCI. Quaisquer dados armazenados, processados ​​ou transmitidos internamente pela rede de uma organização devem estar de acordo com a conformidade.
  • Transmissões externas – Quando uma entidade transfere informações de cartão de pagamento para outra empresa (por exemplo, provedor de serviços ou processador de pagamento), o sistema e as redes da entidade usados ​​para essas transmissões devem estar em conformidade. Ou seja, se sua empresa fizer uma chamada VoIP para enviar dados de pagamento para outra empresa ou entidade, essa conexão deverá ser segura e compatível com PCI.
  • Transmissões Externas de/para Portadores de Cartão – Quando VoIP é utilizado para a transmissão de dados de contas de cartão de pagamento entre um titular de cartão e uma organização, os sistemas e a rede dessa empresa usados ​​para a transmissão devem estar em conformidade.

Este é realmente apenas o detalhe, o PCI SSC vai muito longe em detalhes sobre esses diferentes cenários. No entanto, a maneira mais fácil de garantir que suas comunicações VoIP sejam compatíveis com PCI é tratar todas as chamadas, independentemente da origem ou destino, devem ser o mais seguras possível para atender à conformidade com PCI.

Se você quiser ler mais, você pode aprender mais sobre a conformidade com VoIP e os regulamentos e cenários muito específicos no site do PCI SCC.

Como sua empresa pode aderir à conformidade com PCI?

Agora que estabelecemos por que sua empresa deve aderir aos padrões de conformidade estabelecidos pelo PCI SSC, orientaremos sua organização na direção certa para iniciar os processos. Em última análise, a segurança não é uma tarefa simples e exigirá uma quantidade notável de pesquisa e comparação para realmente entender a direção correta a ser seguida.

O PCI SSC oferece uma lista bastante básica de requisitos e metas associadas para ajudar as organizações a começar:

A segurança deve ser tratada como um investimento, gaste agora para economizar depois. Gaste agora para proteger sua organização, dados e clientes, para evitar possíveis consequências de uma violação de dados, caso ocorra. Sem a segurança certa, isso pode realmente acontecer a qualquer negócio, como vimos em tempo real. Até agora, não vimos nenhuma reclamação de segurança para inContact.

I. Garantir que as soluções e plataformas sejam compatíveis com PCI

Como já mencionei, nesta era de plataformas em nuvem, a maioria dos dados que acessamos e utilizamos nem é armazenada em nossos servidores ou fisicamente no mesmo local em que trabalhamos. Com o uso de plataformas CRM, Contact Center e VoIP Empresarial especificamente, os dados de clientes e clientes são armazenados nos data centers do fornecedor e acessados ​​pela internet.

Portanto, é extremamente importante que os Contact Centers garantam, no mínimo, que as ferramentas que eles usam e as plataformas que eles assinam, garantam algum nível de conformidade com o PCI. Este é o mesmo processo que outros setores usam, por exemplo, um hospital usaria apenas uma solução compatível com HIPAA.

Apenas para destacar alguns nomes importantes:

  • Centro de Contato Avançado Vonage
  • Nextiva
  • 8×8
  • Cinco9
  • Genesys
  • Twilio
  • Nice InContact
  • RingCentral

II. Siga o Guia do PCI SSC para garantir a conformidade

Infelizmente, os requisitos específicos para diferentes instituições financeiras e marcas de cartões de pagamento diferem caso a caso. Cada organização terá seus próprios regulamentos e requisitos específicos para conformidade com PCI.

A validação da conformidade com o PCI Data Security Standard é determinada por marcas de pagamento individuais. Todos concordaram em incorporar o PCI Data Security Standard como parte dos requisitos técnicos para cada um de seus programas de conformidade de segurança de dados. As marcas de pagamento também reconhecem avaliadores de segurança qualificados e fornecedores de digitalização aprovados e qualificados pelo PCI Security Standards Council.”

Por causa disso, o PCI SSC fornece um esboço do processo de três etapas que ocorre para garantir a conformidade.

1. Avalie

Avalie os sistemas e processos de sua organização relacionados aos dados identificando os dados do titular do cartão, fazendo um inventário dos ativos de TI, bem como os processos de negócios para processamento de cartões de pagamento e analisando quaisquer vulnerabilidades nesses sistemas.

Isso pode ser feito por meio do escopo, um processo no qual as organizações identificam todos os componentes do sistema que estão localizados ou conectados ao ambiente de dados do titular do cartão.

A definição do escopo deve ser um processo anual para garantir verificações e manutenções de rotina, pois a melhor maneira de evitar qualquer violação potencial é fechar proativamente quaisquer furos pelos quais os vazamentos apareçam.

As organizações podem realmente contratar um avaliador de segurança qualificado. De acordo com o PCI SSC, “um Avaliador de Segurança Qualificado é uma empresa de segurança de dados qualificada pelo Conselho PCI para realizar avaliações do Padrão de Segurança de Dados PCI no local”. Esses avaliadores verificarão as informações técnicas, usarão julgamento independente para confirmar que os padrões de conformidade foram atendidos, fornecerão suporte e orientação durante o processo de conformidade e produzirão um relatório final para enviar ao PCI SSC.

2. Remediar

Após o processo de avaliação, agora deve estar claro para sua organização o que deve ser feito para fechar quaisquer possíveis brechas na rede e preparar o sistema para conformidade completa com PCI. Embora isso signifique corrigir quaisquer vulnerabilidades encontradas, o PCI SSC também recomenda eliminar o armazenamento de dados do titular do cartão dos serviços, data centers e registros de sua organização, a menos que seja absolutamente necessário para a operação comercial.

3. Relatório

Assim que uma avaliação for concluída e a organização tomar as medidas necessárias para corrigir quaisquer problemas e aumentar a segurança, um relatório deve ser preenchido e enviado aos bancos e bandeiras de cartão apropriados.

Novamente, dependendo dos requisitos dessa marca específica, as organizações podem precisar arquivar com mais frequência ou seguir um processo específico. Algumas marcas, por exemplo, exigem que as organizações façam envios trimestrais.

A linha inferior

Infelizmente, muitas empresas e indivíduos veem a segurança como uma reflexão tardia ou um processo único. No entanto, a verdade é que manter nossos dados e comunicações seguros nunca foi tão importante. Com novos riscos e ataques aparecendo todos os dias, e conjuntos de dados cada vez mais lucrativos para agentes mal-intencionados, o potencial de grandes consequências está crescendo.

O PCI Data Security Standard garante que as organizações não apenas implementem medidas de segurança, mas também as mantenham e otimizem adequadamente ao longo do tempo. Com os líderes do setor trabalhando juntos para definir um nível de conformidade padrão, as organizações podem ajudar a trabalhar em direção a uma era digital mais segura.

Garantir que sua organização utilize ferramentas compatíveis com PCI e cumpra os regulamentos de conformidade PCI quando necessário é absolutamente uma situação vantajosa para ambos os negócios e os clientes. Ao manter os dados seguros, as organizações podem reter a confiança do cliente e, em última análise, seus negócios.