Почему сертификация PCI важна для вашего бизнеса Средства коммуникации

Опубликовано: 2018-12-17

Кажется, что мы находимся в точке, где безопасность данных стала запоздалой мыслью для большого количества организаций. Услышать о новой утечке данных стало почти обычным делом, и некоторые из затронутых имен действительно удивят вас. Только в 2018 году такие организации, как Macy’s, Adidas, Delta, Panera Bread и даже Amazon, сообщили о взломе данных клиентов.

Независимо от размера вашего бизнеса или обслуживаемой отрасли, безопасность является абсолютной необходимостью в нынешнем цифровом климате. К сожалению, злоумышленники существуют и постоянно разрабатывают новые способы сбора и продажи данных клиентов.

Это, конечно, приводит к массовым последствиям для этих клиентов, а также для организаций, подвергшихся взлому. Отсутствие доверия и возможные финансовые последствия не обязательно являются лучшим вариантом, чем инвестиции в надлежащую защиту данных вашей организации.

Когда дело доходит до контакт-центров или любых предприятий, которые имеют дело с платежами по телефону или Business VoIP, организации должны обязательно обеспечить соответствие своих процессов, приложений, данных и программного обеспечения глобальным стандартам безопасности PCI.

Что такое соответствие стандарту безопасности PCI?

Несмотря на то, что стандарты безопасности PCI не закреплены никакими официальными законами или нормативными актами, Совет по стандартам безопасности PCI (PCI SSC) стал «глобальным форумом» для содействия разработке, совершенствованию и распространению согласованных стандартов безопасности для платежей. безопасность учетной записи — изначально была основана American Express, Discover Financial Services, JCB International, MasterCard и Visa Inc.

PCI SSC — это глобальный отраслевой совет по безопасности. Идея состоит в том, что индустрия может объединиться в рамках этого совета для разработки и установления набора правил и стандартов безопасности для защиты информации о платежных счетах — таких как информация о кредитной карте и конфиденциальные данные клиентов, такие как номера социального страхования.

PCI SSC установил стандарты PCI Security Compliance, чтобы гарантировать соблюдение организациями согласованного набора правил для защиты информации о платежах по кредитным картам клиентов и конфиденциальной информации.

Компании, соответствующие стандарту PCI, должны соответствовать этим согласованным требованиям безопасности и подлежат ежегодной оценке для обеспечения постоянного соответствия требованиям. В конце концов, если ваша организация имеет дело с какой-либо формой платежной информации, то соответствие PCI является почти необходимостью.

Поскольку не существует закона, обязывающего соблюдать требования PCI, организации, которые не соблюдают требования, не будут сталкиваться с какими-либо юридическими последствиями. Однако, если утечка данных все же произойдет, организация потенциально может столкнуться с финансовыми последствиями как со стороны PCI SSC, так и со стороны клиентов и заказчиков, затронутых утечкой.

В чем смысл сертификации PCI?

В конце концов, обеспечивая соответствие PCI внутри организации, этот бизнес не только защищает данные своих клиентов и пользователей, но и защищает организацию от потенциально серьезных финансовых последствий и последствий.

Основная цель соответствия PCI — установить глобальный стандарт, с которым организации должны согласиться и соблюдать, чтобы противодействовать большому количеству утечек данных в последние годы. Согласно PCI SSC:

  • «Нарушение или кража данных держателей карт влияет на всю экосистему платежных карт, от клиента до платежного учреждения и организации, получающей платеж».
  • Когда происходит утечка данных о клиентах, они быстро теряют доверие этих продавцов и финансовых учреждений.
  • Если их информация используется злонамеренно, клиенты также могут столкнуться с финансовыми последствиями. На кредит может быть оказано негативное влияние, и может быть трудно восстановить полный контроль над данными после их взлома.
  • Поскольку продавцы и финансовые учреждения теряют доверие, они в конечном итоге теряют бизнес. Клиенты просто переведут свой бизнес в другое место, если не будут уверены, что их информация будет в безопасности и защищена.

Если ваша организация столкнулась с утечкой данных и не предприняла надлежащих шагов для предотвращения атак или разработки плана восстановления, это может привести к серьезной негативной реакции и последствиям, несмотря на отсутствие правовых норм.

Организации, конечно, заставят клиентов потерять доверие и предпочтут вести бизнес в другом месте, что приведет к снижению продаж и доходов, предприятиям, возможно, придется оплачивать стоимость повторного выпуска новых платежных карт или убытки от мошенничества, и в будущем все станет только сложнее.

После утечки данных организации столкнутся с более высокими последующими затратами на соблюдение требований, потенциальными судебными издержками и расчетами, штрафами и пенями и прекращением возможности принимать платежные карты. В конце концов, утечка данных может в конечном итоге привести к тому, что бизнесу придется закрыть свои двери навсегда.

Необходимость безопасности в цифровую эпоху

По мере того, как организации переносят свои коммуникации и процессы в облако, включая хранение данных (особенно данных клиентов, таких как информация CRM), безопасность становится еще более серьезной проблемой.

Большие массивы данных в целом очень прибыльны для злоумышленников, стремящихся получить прибыль от этой информации. Однако, когда данные заархивированы и используются только внутри компании и на месте, злоумышленнику будет намного сложнее получить доступ к этой информации. Однако, поскольку мы начали перемещать наши основные хранилища данных и бизнес-процессы в облако, мы начали вводить новую потребность в безопасности.

Поскольку данные теперь хранятся не на месте, а в облаке, эти данные должны быть защищены по нескольким направлениям. Ваша организация должна убедиться, что данные находятся в надежных руках, а поставщик любого инструмента, который вы используете (платформы Business VoIP, CRM или Cloud Contact Center), гарантирует, что данные на их серверах защищены и безопасны.

Помимо данных, которые не находятся в ваших руках, данные затем передаются через Интернет и совместно используются на устройствах вашей организации. Данные должны быть зашифрованы при передаче, а также защищены на этих отдельных конечных точках. Поскольку облачное программное обеспечение позволило нам стать более мобильными, к сети и платформе подключено еще больше конечных точек и устройств, чем когда-либо прежде, и каждое из этих устройств является потенциально уязвимым местом для атаки.

Поскольку данные постоянно передаются, совместно используются, хранятся, редактируются, архивируются и перемещаются, появилось много слабых мест в процессе, где эта информация может быть украдена, поэтому в эпоху облачных решений и цифровой коммерции потребность в безопасности находится на новом уровне.

Соответствие PCI в контакт-центрах

В то время как любая организация, имеющая дело с платежной информацией клиентов, должна пытаться обеспечить соблюдение требований PCI, в частности, колл-центры и контакт-центры должны быть осторожны. Поскольку их бизнес почти полностью вращается вокруг сбора информации о платежных счетах от заказчиков и клиентов, контакт-центры сталкиваются с большим риском стать мишенью злонамеренной атаки.

Контакт-центры постоянно общаются с клиентами и заказчиками по телефону, а в последнее время — через онлайн-чаты или даже текстовые SMS-сообщения. Каждый раз, когда покупатель или клиент отправляет любую форму платежа или идентифицирующую информацию агенту, эта информация должна быть защищена.

Поскольку контакт-центры, в частности, также используют большее количество облачных платформ, которые хранят и получают доступ к этим данным, от решений CRM до программного обеспечения для колл-центров и инструментов Business VoIP, иногда даже углубляясь в искусственный интеллект и оптимизацию рабочей силы, существует много свободных концы, которые нужно связать вместе.

Две основные проблемы, на которых должны сосредоточиться контакт-центры, включают:

  • Защита данных от несанкционированного доступа . Довольно просто. Те, кому не разрешен доступ к данным, не должны иметь доступа, это будет первым шагом к обеспечению хотя бы самого базового уровня безопасности данных. Это, конечно, начинается с простых методов обеспечения безопасности, таких как предоставление паролей только администраторам, регулярная смена паролей, использование методов физической аутентификации и защита всех устройств и точек доступа.
  • Доверие клиентов . Важным аспектом любой организации является эта связь доверия между клиентом и бизнесом. Клиенты серьезно взвешивают свой опыт работы с организацией и предпочитают вести дела с теми, кто обеспечивает наилучший опыт. Имея дело с любой суммой капитала или даже просто с конфиденциальными данными (например, HIPAA), клиенты хотят знать, что их информация защищена, и им не причинят вреда ведение бизнеса с вашей организацией.

Эти две проблемы, конечно, идут рука об руку. Когда данные клиента не защищены и взломаны, они в конечном итоге потеряют доверие к вашему бизнесу. Обеспечение безопасности данных означает, что клиенты будут продолжать доверять вашему бизнесу.

В конце концов, предотвращение любых форм утечек и обеспечение безопасности ваших данных для ваших клиентов может иметь большое значение для создания этой связи доверия. Контакт-центры с их огромными наборами данных и большим количеством ежедневных взаимодействий должны быть особенно осторожны и должны обеспечивать соответствие PCI на каждом этапе процесса.

Соответствие PCI в бизнес-VoIP

Когда речь заходит о VoIP в более общем плане, PCI DSS «не содержит прямых ссылок на использование VoIP». Однако это не означает, что только потому, что ваша организация использует услугу Business VoIP, они в безопасности. На самом деле в PCI DSS есть собственный раздел часто задаваемых вопросов, специально посвященный использованию VoIP.

Теперь это становится немного сложно, но мы попытаемся обрисовать в общих чертах то, что вам нужно знать. Соответствие PCI для VoIP немного углубляется и доходит до определения различных форм передачи (внутренней или внешней), а также источников этих передач.

Главный вывод заключается в следующем:

Чтобы соответствовать требованиям PCI, организации должны обеспечить безопасность любой формы интернет-данных или IP-трафика, который содержит любую форму информации об учетной записи платежа. Проще говоря, данные платежной учетной записи, передаваемые через «VoIP-трафик, содержащий данные учетной записи платежной карты, подпадают под применимые меры контроля PCI DSS».

Поскольку VoIP отправляет звук вашего голоса через Интернет в виде пакетов данных, эти данные затем подлежат стандартам безопасности соответствия PCI, поскольку теперь это информация, которая передается и хранится в сети вашей организации.

Но на самом деле история на этом не заканчивается. Все становится немного сложнее, когда речь идет об источнике вызова VoIP и о том, как эти данные передаются:

  • Внутренние передачи . VoIP-трафик, содержащий данные учетной записи платежной карты, совместно используемые в сети вашей организации, должен соответствовать стандарту PCI. Любые данные, хранящиеся, обрабатываемые или передаваемые внутри организации по сети, должны соответствовать требованиям.
  • Внешние передачи — когда организация передает информацию о платежной карте другому предприятию (например, поставщику услуг или обработчику платежей), система и сети организации, используемые для этих передач, должны соответствовать требованиям. Это означает, что если ваша компания выполняет вызов VoIP для отправки платежных данных другой компании или организации, это соединение должно быть защищено и соответствовать требованиям PCI.
  • Внешние передачи держателям карт и от них. Когда VoIP используется для передачи данных учетной записи платежной карты между держателем карты и организацией, системы и сеть этого предприятия, используемые для передачи, должны соответствовать требованиям.

На самом деле это всего лишь небольшая часть, PCI SSC очень подробно описывает эти различные сценарии. Тем не менее, самый простой способ обеспечить соответствие вашей VoIP-связи PCI-совместимости — сделать так, чтобы все вызовы, независимо от источника или назначения, были максимально безопасными для соответствия требованиям PCI.

Если вы хотите узнать больше, вы можете узнать больше о соответствии VoIP, а также о конкретных правилах и сценариях на веб-сайте PCI SCC.

Как ваш бизнес может соблюдать PCI Compliance?

Теперь, когда мы установили, почему ваш бизнес должен придерживаться стандартов соответствия, установленных PCI SSC, мы укажем вашей организации в правильном направлении для запуска процессов. В конечном счете, безопасность — непростая задача, и для того, чтобы действительно понять, в каком направлении двигаться, потребуется значительное количество исследований и сравнений.

PCI SSC предлагает довольно простой список требований и связанных с ними целей, чтобы помочь организациям начать работу:

К безопасности нужно относиться как к инвестициям: тратьте сейчас, чтобы сэкономить потом. Потратьте сейчас, чтобы защитить свою организацию, данные и клиентов, чтобы избежать любых потенциальных последствий утечки данных, если она произойдет. Без надлежащей безопасности это действительно может случиться с любым бизнесом, как мы видели в режиме реального времени. До сих пор мы не видели жалоб на безопасность inContact.

I. Обеспечение соответствия решений и платформ PCI

Как я уже упоминал, в наш век облачных платформ большая часть данных, к которым мы обращаемся и используем, даже не хранится на наших серверах или физически в том же месте, где мы работаем. В частности, при использовании платформ CRM, Contact Center и Business VoIP данные о клиентах и ​​клиентах хранятся в центрах обработки данных поставщика и доступны через Интернет.

Поэтому невероятно важно, чтобы контакт-центры как минимум обеспечивали, чтобы используемые ими инструменты и платформы, на которые они подписаны, обеспечивали определенный уровень соответствия PCI. Это тот же процесс, который используется в других отраслях, например, больница будет использовать только решение, соответствующее требованиям HIPAA.

Просто чтобы выделить некоторые основные имена:

  • Расширенный контакт-центр Vonage
  • Nextiva
  • 8×8
  • Пять9
  • Генезис
  • Сумерки
  • Ницца в контакте
  • КольцоЦентральное

II. Следуйте руководству PCI SSC для обеспечения соответствия

К сожалению, конкретные требования для различных финансовых учреждений и марок платежных карт будут различаться в каждом конкретном случае. Каждая организация будет иметь свои собственные правила и требования к PCI Compliance.

« Подтверждение соответствия стандарту PCI Data Security Standard определяется отдельными платежными брендами. Все они согласились включить стандарт безопасности данных PCI в технические требования для каждой из своих программ обеспечения безопасности данных. Платежные бренды также признают квалифицированных оценщиков безопасности и утвержденных поставщиков сканеров, сертифицированных Советом по стандартам безопасности PCI».

По этой причине PCI SSC предоставляет приблизительную схему трехэтапного процесса, который выполняется для обеспечения соответствия.

1. Оцените

Оцените системы и процессы вашей организации, связанные с данными, путем выявления данных о держателях карт, проведения инвентаризации ИТ-активов, а также бизнес-процессов для обработки платежных карт и анализа любых уязвимостей в этих системах.

Это можно сделать с помощью определения масштаба — процесса, в ходе которого организации определяют все системные компоненты, расположенные в среде данных о держателях карт или подключенные к ней.

Определение масштаба должно быть ежегодным процессом для обеспечения регулярных проверок и обслуживания, так как лучший способ предотвратить любое потенциальное нарушение — это заблаговременно закрыть любые дыры, через которые появляются утечки.

Организации могут нанять квалифицированного эксперта по безопасности. Согласно PCI SSC, « Квалифицированный оценщик безопасности — это фирма по обеспечению безопасности данных, которая уполномочена Советом PCI проводить оценку стандарта безопасности данных PCI на месте». Эти оценщики будут проверять техническую информацию, использовать независимые суждения для подтверждения соблюдения стандартов соответствия, оказывать поддержку и рекомендации в ходе процесса соответствия и составлять окончательный отчет для представления в PCI SSC.

2. Исправить

После процесса оценки вашей организации должно быть ясно, что необходимо сделать, чтобы закрыть любые потенциальные дыры в сети и подготовить систему к полному соответствию PCI. Хотя это означает устранение любых обнаруженных уязвимостей, PCI SSC также рекомендует отказаться от хранения данных о держателях карт в службах, центрах обработки данных и записях вашей организации, за исключением случаев, когда это абсолютно необходимо для работы бизнеса.

3. Отчет

После того, как оценка будет завершена и организация предпримет необходимые шаги для исправления любых проблем и усиления безопасности, отчет должен быть составлен и отправлен в соответствующие банки и бренды карт.

Опять же, в зависимости от требований конкретного бренда, организациям, возможно, придется подавать документы чаще или следовать определенному процессу. Например, некоторые бренды требуют от организаций ежеквартальной подачи отчетов.

Нижняя линия

К сожалению, слишком многие компании и частные лица рассматривают безопасность как второстепенный или одноразовый процесс. Однако правда в том, что обеспечение безопасности наших данных и коммуникаций как никогда важно. Новые риски и атаки появляются каждый день, а большие наборы данных становятся все более и более прибыльными для злоумышленников, поэтому вероятность серьезных последствий только растет.

Стандарт безопасности данных PCI гарантирует, что организации будут не только применять меры безопасности, но и должным образом поддерживать и оптимизировать их с течением времени. Благодаря совместной работе лидеров отрасли над установлением стандартного уровня соответствия организации могут способствовать переходу к более безопасной цифровой эпохе.

Обеспечение того, чтобы ваша организация использовала инструменты, совместимые с PCI, и при необходимости соблюдала правила соответствия PCI, является абсолютно беспроигрышной ситуацией как для бизнеса, так и для клиентов. Обеспечивая безопасность данных, организации могут сохранить доверие клиентов и, в конечном счете, свой бизнес.