De ce este importantă certificarea PCI pentru instrumentele dvs. de comunicare în afaceri

Publicat: 2018-12-17

Se pare că ne aflăm într-un punct în care securitatea datelor a devenit o idee ulterioară pentru un număr mare de organizații. A devenit aproape o știre de rutină să auzi despre o nouă încălcare a datelor, iar unele dintre numele afectate te-ar surprinde cu adevărat. Doar în 2018, organizații precum Macy's, Adidas, Delta, Panera Bread și chiar Amazon au raportat că datele clienților au fost încălcate.

Indiferent de dimensiunea afacerii dvs. sau de industria deservită, securitatea este o necesitate absolută în climatul digital actual. Din păcate, actori rău intenționați sunt acolo și dezvoltă constant noi modalități de a captura și vinde datele clienților.

Acest lucru, desigur, duce la consecințe masive pentru acești clienți, precum și pentru organizațiile încălcate. Lipsa de încredere și potențialele consecințe financiare nu sunt neapărat o opțiune mai bună decât investiția în securizarea corectă a datelor organizației dvs.

Când vine vorba de centre de contact sau de orice afaceri care se ocupă de plăți prin telefon sau VoIP de afaceri, organizațiile ar trebui să se asigure că procesele, aplicațiile, datele și software-ul lor sunt conforme cu standardele globale de securitate PCI.

Ce este conformitatea cu standardele de securitate PCI?

Deși standardele de securitate PCI nu sunt stabilite în piatră prin nicio lege sau reglementare oficială, Consiliul pentru standarde de securitate PCI (PCI SSC) a apărut ca un „forum global” pentru a facilita dezvoltarea, îmbunătățirea și diseminarea unor standarde de securitate convenite pentru plăți. securitatea contului — fondată inițial de American Express, Discover Financial Services, JCB International, MasterCard și Visa Inc.

PCI SSC este un consiliu de securitate cu acoperire globală, la nivel de industrie. Ideea este că industria se poate reuni în cadrul acestui consiliu pentru a dezvolta și a stabili un set de reglementări și standarde de securitate pentru a proteja informațiile contului de plăți - lucruri precum informațiile despre cardul de credit și datele sensibile ale clienților, cum ar fi numerele de securitate socială.

PCI SSC a stabilit standarde de conformitate PCI de securitate pentru a se asigura că organizațiile respectă un set de reglementări convenit pentru a proteja informațiile de plată ale clienților cu cardul de credit și informațiile sensibile.

Companiile care respectă PCI trebuie să îndeplinească aceste cerințe de securitate convenite și sunt supuse unor evaluări anuale pentru a asigura în permanență conformitatea. La sfârșitul zilei, dacă organizația dvs. se ocupă de orice formă de informații de plată, atunci conformitatea PCI este aproape o necesitate.

Deoarece nu există o lege care să impună conformitatea PCI, organizațiile care nu îndeplinesc cerințele nu se vor confrunta cu nicio formă de consecințe legale. Cu toate acestea, dacă are loc o încălcare a datelor, atunci organizația poate fi supusă consecințelor financiare atât din partea PCI SSC, cât și din partea clienților și clienților afectați de încălcare.

Care este punctul de certificare PCI?

La sfârșitul zilei, prin asigurarea conformității PCI în cadrul unei organizații, afacerea respectivă nu își protejează doar datele clienților și utilizatorilor, dar organizația este protejată și de consecințe și consecințe financiare potențial drastice.

Scopul principal al conformității PCI este de a stabili un standard global pentru ca organizațiile să accepte și să respecte, pentru a contracara numărul mare de încălcări ale datelor din ultimii ani. Potrivit PCI SSC:

  • „Încălcarea sau furtul datelor deținătorului cardului afectează întregul ecosistem de carduri de plată, de la client la instituția de plată, până la organizația care primește plata.”
  • Când datele clienților sunt scurse, aceștia își pierd rapid încrederea în acești comercianți și instituții financiare
  • Dacă informațiile lor sunt utilizate în mod rău intenționat, clienții se pot confrunta și cu consecințe financiare. Creditul poate fi afectat negativ și poate fi dificil să recâștigați controlul deplin asupra datelor odată ce acestea au fost încălcate
  • Pe măsură ce comercianții și instituțiile financiare își pierd credibilitatea, în cele din urmă vor pierde afaceri. Clienții își vor duce pur și simplu afacerea în altă parte dacă nu au încredere că informațiile lor vor fi în siguranță și protejate.

Dacă organizația dvs. se confruntă cu o încălcare a datelor și nu a luat măsurile adecvate pentru a preveni atacurile sau pentru a stabili un plan de recuperare, pot exista unele reacții și consecințe majore, în ciuda lipsei de reglementări legale.

Desigur, organizațiile vor face ca clienții să își piardă încrederea și să aleagă să facă afaceri în altă parte, ceea ce va duce la scăderea vânzărilor și a veniturilor, companiile ar putea fi nevoite să plătească pentru costul reemiterii de carduri de plată noi sau pierderile din fraudă, iar lucrurile vor deveni mai dificile în viitor.

După o încălcare a datelor, organizațiile se vor confrunta cu costuri ulterioare de conformare mai mari, potențiale costuri legale și decontări, amenzi și penalități și încetarea capacității de a accepta carduri de plată. La sfârșitul zilei, o încălcare a datelor poate duce în cele din urmă la nevoia unei companii să-și închidă definitiv ușile.

Nevoia de securitate într-o era digitală

Pe măsură ce organizațiile își schimbă comunicațiile și procesele în cloud, inclusiv stocarea datelor (în special datele clienților, cum ar fi informațiile CRM), securitatea devine o preocupare și mai mare.

În general, depozitele mari de date sunt foarte profitabile pentru actorii rău intenționați care doresc să profite de pe urma acestor informații. Cu toate acestea, atunci când datele sunt arhivate și utilizate doar intern și la fața locului, ar fi mult mai dificil pentru un atacator să acceseze aceste informații. Cu toate acestea, pe măsură ce am început să transferăm principalele noastre procese de stocare a datelor și de afaceri în cloud, am început să introducem o nouă necesitate pentru securitate.

Deoarece datele nu sunt acum stocate pe site, ci mai degrabă în cloud, aceste date trebuie protejate pe mai multe fronturi. Organizația dvs. trebuie să se asigure că datele sunt în mâini bune, iar furnizorul oricărui instrument pe care îl utilizați (platforme Business VoIP, CRM sau Cloud Contact Center) se asigură că datele de pe serverele lor sunt protejate și în siguranță.

Pe lângă faptul că datele nu sunt în mâinile tale, datele sunt apoi transmise prin internet și partajate pe dispozitivele organizației tale. Datele trebuie să fie criptate în timpul transmisiei, precum și protejate și pe acele puncte finale individuale. Pe măsură ce software-ul cloud ne-a permis să fim mai mobili, există chiar mai multe puncte finale și dispozitive conectate la o rețea și o platformă decât oricând - și fiecare dintre aceste dispozitive este un potențial punct slab pentru un atac.

Deoarece datele sunt transmise, partajate, stocate, editate, arhivate și mutate în mod constant, au apărut mai multe puncte slabe în procesul în care aceste informații pot fi furate - prin urmare, în era soluțiilor cloud și comerțului digital, nevoia de securitate. este la un nou nivel.

Conformitatea PCI în centrele de contact

În timp ce orice organizație care se ocupă cu informațiile de plată ale clienților ar trebui să încerce să impună conformitatea PCI, centrele de apeluri și centrele de contact, în special, trebuie să fie atente. Întrucât afacerea lor se concentrează aproape în întregime în colectarea de informații despre contul de plăți de la clienți și clienți, Centrele de contact se confruntă cu un risc mare de a fi vizate pentru un atac rău intenționat.

Centrele de contact au de-a face constant cu clienții și clienții prin telefon și, mai recent, prin chat-uri online sau chiar mesaje text SMS. De fiecare dată când un client sau client trimite vreo formă de plată sau informații de identificare unui agent, aceste informații trebuie să fie securizate.

Deoarece centrele de contact, în special, utilizează, de asemenea, un număr mai mare de platforme cloud care stochează și accesează aceste date, de la soluții CRM la software pentru call center la instrumente VoIP pentru afaceri, uneori mergând mai departe în inteligența artificială și optimizarea forței de muncă, există o mulțime de lucruri libere. capete care trebuie legate între ele.

Două dintre preocupările principale pe care centrele de contact ar trebui să se concentreze includ:

  • Securizarea datelor împotriva accesului neautorizat . Destul de simplu. Cei cărora nu li se permite să acceseze datele nu ar trebui să poată, acesta ar fi primul pas pentru a asigura chiar și cel mai elementar nivel de securitate a datelor. Desigur, acest lucru începe cu practici simple de securitate, cum ar fi furnizarea de parole doar administratorilor, schimbarea de rutină a parolelor, utilizarea metodelor de autentificare fizică și securizarea tuturor dispozitivelor și punctelor de acces.
  • Încrederea clienților . Un aspect major al oricărei organizații este acea legătură de încredere între client și afacere. Clienții cântăresc foarte mult experiența lor cu o organizație și vor alege să facă afaceri cu cei care oferă cea mai bună experiență. Când au de-a face cu orice sumă de capital sau chiar cu date sensibile (gândiți-vă la HIPAA), clienții vor să știe că informațiile lor sunt protejate și că nu vor fi afectați pentru că fac afaceri cu organizația dvs.

Aceste două preocupări merg, desigur, mână în mână. Atunci când datele unui client sunt nesecurizate și încălcate, acesta își va pierde în cele din urmă încrederea în afacerea dvs. A te asigura că datele sunt sigure înseamnă a te asigura că clienții vor continua să aibă încredere în afacerea ta.

La sfârșitul zilei, prevenirea oricărei forme de încălcare și asigurarea clienților dumneavoastră că datele lor sunt în siguranță poate contribui în mare măsură la crearea acelei legături de încredere. Centrele de contact, cu seturile lor vaste de date și numărul mare de interacțiuni zilnice, trebuie să fie foarte atenți în special și ar trebui să asigure conformitatea PCI la fiecare pas al procesului.

Conformitatea PCI în VoIP de afaceri

Când vine vorba de VoIP în general, PCI DSS „nu ​​face referire în mod explicit la utilizarea VoIP”. Cu toate acestea, acest lucru nu înseamnă că doar pentru că organizația dvs. utilizează un serviciu VoIP de afaceri, acestea sunt clare. De fapt, PCI DSS are propria secțiune de întrebări frecvente care evidențiază în mod specific utilizarea VoIP.

Acum, acest lucru devine puțin complicat, dar vom încerca să subliniem exact ceea ce va trebui să știți. Conformitatea PCI pentru VoIP devine puțin în profunzime și merge până la definirea diferitelor forme de transmisii (interne sau externe), precum și sursele acestor transmisii.

Principalul rezultat este acesta:

Pentru a îndeplini conformitatea PCI, organizațiile trebuie să se asigure că orice formă de date de internet sau trafic de rețea IP care conține orice formă de informații despre contul de plată este securizată. Mai simplu spus, datele contului de plată transferate prin „traficul VoIP care conține datele contului cardului de plată intră în domeniul de aplicare a controalelor PCI DSS aplicabile”.

Deoarece VoIP trimite sunetul vocii tale prin internet sub formă de pachete de date, acele date sunt apoi supuse standardelor de securitate PCI, deoarece acum sunt informații transferate prin și stocate în rețeaua organizației tale.

Dar povestea nu se termină cu adevărat aici. Lucrurile devin puțin complicate când vine vorba de sursa apelului VoIP și de modul în care sunt transferate acele date:

  • Transmisii interne – traficul VoIP care conține date despre contul cardului de plată care sunt partajate în rețeaua organizației dvs. trebuie să fie compatibil PCI. Orice date stocate, procesate sau transmise intern prin rețeaua unei organizații trebuie să fie în conformitate cu conformitatea.
  • Transmisii externe – Atunci când o entitate transferă informații despre cardul de plată către o altă companie (de exemplu, furnizor de servicii sau procesor de plăți), sistemul și rețelele entității utilizate pentru acele transmisii trebuie să fie conforme. Adică, dacă afacerea dvs. efectuează un apel VoIP pentru a trimite date de plată către o altă companie sau entitate, acea conexiune trebuie să fie securizată și conformă PCI.
  • Transmisii externe către/de la deținătorii de carduri – Atunci când VoIP este utilizat pentru transmiterea datelor contului de card de plată între un deținător de card și o organizație, sistemele și rețeaua companiei respective utilizate pentru transmisie trebuie să fie conforme.

Acesta este într-adevăr doar subțire, PCI SSC merge foarte mult în detalii în aceste scenarii diferite. Cu toate acestea, cel mai simplu mod de a vă asigura că comunicațiile VoIP sunt conforme PCI este de a trata toate apelurile, indiferent de sursă sau destinație, ar trebui să fie cât mai sigure posibil pentru a respecta conformitatea PCI.

Dacă doriți să citiți mai departe, puteți afla mai multe despre conformitatea VoIP și despre reglementările și scenariile foarte specifice pe site-ul PCI SCC.

Cum poate afacerea dvs. să adere la conformitatea PCI?

Acum că am stabilit de ce afacerea dvs. ar trebui să adere la standardele de conformitate stabilite de PCI SSC, vă vom îndrepta organizația în direcția corectă de începere a proceselor. Securitatea nu este, în cele din urmă, o sarcină simplă și va necesita o cantitate notabilă de cercetare și comparație pentru a înțelege cu adevărat direcția potrivită de urmat.

PCI SSC oferă o listă destul de simplă de cerințe și obiective asociate pentru a ajuta organizațiile să înceapă:

Securitatea trebuie tratată ca o investiție, cheltuiește acum pentru a economisi mai târziu. Cheltuiți acum pentru a vă proteja organizația, datele și clienții, pentru a evita orice potențială consecință a unei încălcări a datelor, dacă aceasta ar avea loc. Fără securitatea adecvată, se poate întâmpla cu adevărat oricărei afaceri, așa cum am văzut în timp real. Până acum nu am văzut nicio reclamație de securitate pentru inContact.

I. Asigurați-vă că soluțiile și platformele sunt conforme cu PCI

După cum am menționat deja, în această era a platformelor cloud, majoritatea datelor pe care le accesăm și le utilizăm nici măcar nu sunt stocate pe serverele noastre sau fizic în aceeași locație în care lucrăm. Cu utilizarea CRM, Contact Center și platformele Business VoIP în mod specific, datele clienților și clienților sunt stocate în centrele de date ale furnizorului și accesate prin internet.

Prin urmare, este incredibil de important ca centrele de contact să asigure cel puțin instrumentele pe care le folosesc și platformele la care sunt abonați să asigure un anumit nivel de conformitate PCI. Acesta este același proces pe care îl folosesc alte industrii, de exemplu, un spital ar folosi doar o soluție care respectă HIPAA.

Doar pentru a evidenția câteva nume importante:

  • Centrul de contact avansat Vonage
  • Nextiva
  • 8×8
  • Cinci9
  • Genesys
  • Twilio
  • Frumos InContact
  • RingCentral

II. Urmați Ghidul PCI SSC pentru a asigura conformitatea

Din păcate, cerințele specifice pentru diferite instituții financiare și mărci de carduri de plată vor diferi de la caz la caz. Fiecare organizație va avea propriile reglementări și cerințe specifice pentru conformitatea PCI.

Validarea conformității cu Standardul de securitate a datelor PCI este determinată de mărcile individuale de plată. Toți au fost de acord să încorporeze standardul de securitate a datelor PCI ca parte a cerințelor tehnice pentru fiecare dintre programele lor de conformitate cu securitatea datelor. Mărcile de plată recunosc, de asemenea, evaluatori de securitate calificați și furnizori aprobați de scanare calificați de Consiliul pentru Standarde de Securitate PCI.”

Din acest motiv, PCI SSC oferă o schiță generală a procesului în trei pași care are loc pentru a asigura conformitatea.

1. Evaluează

Evaluați sistemele și procesele organizației dvs. legate de date prin identificarea datelor deținătorilor de card, inventarierea activelor IT, precum și a proceselor de afaceri pentru procesarea cardurilor de plată și analizând eventualele vulnerabilități din aceste sisteme.

Acest lucru se poate face prin scoping, un proces în care organizațiile identifică toate componentele sistemului care sunt localizate sau conectate la mediul de date al titularului de card.

Scopul ar trebui să fie un proces anual pentru a asigura controale și întreținere de rutină, deoarece cele mai bune modalități de a preveni orice potențială încălcare este închiderea proactivă a oricăror găuri prin care apar scurgerile.

De fapt, organizațiile pot angaja un evaluator de securitate calificat. Potrivit PCI SSC, „un evaluator de securitate calificat este o firmă de securitate a datelor care este calificată de Consiliul PCI pentru a efectua evaluări la fața locului PCI a standardului de securitate a datelor”. Acești evaluatori vor verifica informațiile tehnice, vor folosi raționamentul independent pentru a confirma îndeplinirea standardelor de conformitate, vor oferi sprijin și îndrumări în timpul procesului de conformitate și vor produce un raport final pentru a fi transmis către PCI SSC.

2. Remediați

După procesul de evaluare, acum ar trebui să fie clar pentru organizația dvs. ce trebuie făcut pentru a închide eventualele găuri în rețea și pentru a pregăti sistemul pentru conformitatea completă cu PCI. Deși acest lucru înseamnă remedierea oricăror vulnerabilități găsite, PCI SSC recomandă, de asemenea, eliminarea stocării datelor deținătorilor de card din serviciile, centrele de date și înregistrările organizației dvs., cu excepția cazului în care este absolut necesar pentru funcționarea afacerii.

3. Raportează

Odată ce o evaluare este finalizată și organizația ia măsurile necesare pentru a corecta orice probleme și a întări securitatea, un raport trebuie să fie respectat și înaintat băncilor și mărcilor de carduri corespunzătoare.

Din nou, în funcție de cerințele mărcii respective, organizațiile ar putea fi nevoite să depună mai des sau să urmeze un anumit proces. Unele mărci, de exemplu, solicită organizațiilor să depună cereri trimestriale.

Concluzia

Din păcate, prea multe companii și persoane văd securitatea ca pe un proces ulterioară sau unic. Cu toate acestea, adevărul este că păstrarea în siguranță a datelor și a comunicațiilor noastre nu a fost niciodată mai importantă. Cu noi riscuri și atacuri care apar în fiecare zi, iar seturi de date mai mari devin din ce în ce mai profitabile pentru actorii rău intenționați, potențialul de consecințe majore este în creștere.

Standardul de securitate a datelor PCI asigură că organizațiile nu numai că vor adopta măsuri de securitate, ci și le vor menține și optimiza în mod corespunzător în timp. Cu liderii din industrie care lucrează împreună pentru a stabili un nivel de conformitate standard, organizațiile pot contribui la lucrul către o era digitală mai sigură.

Asigurarea că organizația dvs. folosește instrumente conforme cu PCI și îndeplinește reglementările de conformitate PCI acolo unde este necesar, este absolut o situație de câștig-câștig atât pentru companie, cât și pentru clienți. Păstrând datele în siguranță, organizațiile își pot păstra încrederea clienților și, în cele din urmă, afacerea lor.