PCI Sertifikasyonu İş İletişim Araçlarınız İçin Neden Önemlidir?

Yayınlanan: 2018-12-17

Görünüşe göre, veri güvenliğinin çok sayıda kuruluş için sonradan düşünüldüğü bir noktadayız. Yeni bir veri ihlali haberini duymak neredeyse rutin bir haber haline geldi ve etkilenen isimlerden bazıları sizi gerçekten şaşırtabilir. Sadece 2018'de Macy's, Adidas, Delta, Panera Bread ve hatta Amazon gibi kuruluşlar müşteri verilerinin ihlal edildiğini bildirdi.

İşletmenizin büyüklüğü veya hizmet verilen sektör ne olursa olsun, mevcut dijital ortamda güvenlik mutlak bir zorunluluktur. Ne yazık ki, kötü niyetli aktörler dışarıda ve sürekli olarak müşteri verilerini yakalamak ve satmak için yeni yollar geliştiriyorlar.

Bu, elbette, bu müşteriler için büyük bir serpintiye yol açar ve kuruluşlar da ihlal eder. Güven eksikliği ve olası finansal sonuçlar, kuruluşunuzun verilerini düzgün bir şekilde güvenceye almak için yatırım yapmaktan daha iyi bir seçenek değildir.

İletişim Merkezleri veya telefon veya Business VoIP üzerinden ödeme yapan herhangi bir işletme söz konusu olduğunda, kuruluşlar süreçlerinin, uygulamalarının, verilerinin ve yazılımlarının küresel PCI Güvenlik Standartları ile uyumlu olduğundan kesinlikle emin olmalıdır.

PCI Güvenlik Standardı Uyumluluğu nedir?

PCI Güvenlik Standartları, herhangi bir resmi yasa veya yönetmelikle kesin olarak belirlenmemiş olsa da, PCI Güvenlik Standartları Konseyi (PCI SSC), üzerinde anlaşmaya varılan bir ödeme güvenlik standartının geliştirilmesini, iyileştirilmesini ve yayılmasını kolaylaştırmak için “küresel bir forum” olarak ortaya çıkmıştır. hesap güvenliği — başlangıçta American Express, Discover Financial Services, JCB International, MasterCard ve Visa Inc. tarafından kurulmuştur.

PCI SSC, küresel erişimli, endüstri çapında bir güvenlik konseyidir. Buradaki fikir, endüstrinin, kredi kartı bilgileri ve sosyal güvenlik numaraları gibi hassas müşteri verileri gibi ödeme hesabı bilgilerini korumak için bir dizi düzenleme ve güvenlik standardı geliştirmek ve oluşturmak için bu konseyde bir araya gelmesidir.

PCI SSC, kuruluşların müşteri kredi kartı ödeme bilgilerini ve hassas bilgilerini korumak için üzerinde anlaşmaya varılan bir dizi düzenlemeye bağlı kalmalarını sağlamak için PCI Güvenlik Uyumluluğu standartlarını oluşturmuştur.

PCI Uyumlu işletmeler, üzerinde anlaşmaya varılan bu güvenlik gereksinimlerini karşılamalıdır ve sürekli olarak uyumluluğu sağlamak için yıllık değerlendirmelere tabidir. Günün sonunda, kuruluşunuz herhangi bir ödeme bilgisiyle ilgileniyorsa, PCI uyumluluğu neredeyse bir zorunluluktur.

PCI uyumluluğunu zorunlu kılan bir yasa olmadığından, gereksinimleri karşılamayan kuruluşlar herhangi bir yasal sonuçla karşılaşmazlar. Bununla birlikte, bir veri ihlali meydana gelirse, kuruluş potansiyel olarak hem PCI SSC'den hem de ihlalden etkilenen müşteriler ve müşterilerden kaynaklanan mali sonuçlara maruz kalır.

PCI Sertifikasyonunun Noktası Nedir?

Günün sonunda, bir kuruluş içinde PCI uyumluluğunu sağlayarak, bu işletme yalnızca müşteri ve kullanıcı verilerini korumakla kalmaz, aynı zamanda kuruluş da potansiyel olarak ciddi mali yansımalardan ve sonuçlardan korunur.

PCI uyumluluğunun temel amacı, son yıllarda çok sayıda veri ihlaline karşı önlem almak için kuruluşların kabul etmesi ve uyması için küresel bir standart oluşturmaktır. PCI SSC'ye göre:

  • “Kart sahibi verilerinin ihlali veya çalınması, müşteriden ödeme kuruluşuna, ödemeyi alan kuruluşa kadar tüm ödeme kartı ekosistemini etkiler.”
  • Müşteri verileri sızdırıldığında, bu tüccarlar ve finansal kurumlara olan güvenlerini hızla kaybederler.
  • Bilgileri kötü amaçla kullanılırsa, müşteriler de finansal çöküşle karşı karşıya kalabilir. Kredi olumsuz etkilenebilir ve ihlal edildikten sonra veriler üzerinde tam kontrolü yeniden kazanmak zor olabilir.
  • Tüccarlar ve finans kurumları güvenilirliklerini kaybettikçe, sonunda işlerini kaybedeceklerdir. Müşteriler, bilgilerinin güvenli ve korunacağına güvenmezlerse, işlerini başka bir yere götürürler.

Kuruluşunuz bir veri ihlali yaşarsa ve saldırıları önlemek veya bir kurtarma planı oluşturmak için uygun adımları atmadıysa, yasal düzenlemelerin olmamasına rağmen bazı büyük tepkiler ve sonuçlar olabilir.

Elbette kuruluşlar müşterilerin güvenini kaybedecek ve satışların ve gelirlerin azalmasına yol açan başka bir yerde iş yapmayı seçecek, işletmeler yeni ödeme kartlarının yeniden çıkarılmasının maliyetini veya dolandırıcılık kayıplarını ödemek zorunda kalabilir ve gelecekte işler daha da zorlaşacaktır.

Bir veri ihlalinden sonra, kuruluşlar daha sonra daha yüksek uyumluluk maliyetleri, olası yasal maliyetler ve uzlaşmalar, para cezaları ve cezalar ve ödeme kartlarını kabul etme yeteneğinin sona ermesiyle karşı karşıya kalacaktır. Günün sonunda, bir veri ihlali nihayetinde bir işletmenin kapılarını tamamen kapatmak zorunda kalmasına yol açabilir.

Dijital Çağda Güvenlik İhtiyacı

Kuruluşlar, veri depolama (özellikle CRM bilgisi gibi müşteri verileri) dahil olmak üzere iletişimlerini ve süreçlerini buluta kaydırdıkça, güvenlik daha da büyük bir endişe haline geliyor.

Genel olarak büyük veri hazineleri, bu bilgilerden kâr elde etmek isteyen kötü niyetli aktörler için çok kazançlıdır. Ancak veriler arşivlendiğinde ve yalnızca dahili ve yerinde kullanıldığında, bir saldırganın bu bilgilere erişmesi çok daha zor olacaktır. Ancak önemli veri depolama ve iş süreçlerimizi buluta taşımaya başladığımız için yeni bir güvenlik gerekliliğini ortaya koymaya başladık.

Veriler artık sitede değil, bulutta saklandığından, bu verilerin birden çok cephede korunması gerekir. Kuruluşunuz, verilerin emin ellerde olduğundan ve hangi aracı kullanırsanız kullanın (Business VoIP, CRM veya Bulut İletişim Merkezi platformları) sağlayıcısı, sunucularındaki verilerin korunmasını ve güvenliğini sağlamalıdır.

Verilerin kendi elinizde olmamasına ek olarak, veriler internet üzerinden iletilir ve kuruluşunuzun cihazlarında paylaşılır. Veriler, aktarım sırasında şifrelenmeli ve aynı zamanda bu bireysel uç noktalarda korunmalıdır. Bulut yazılımı daha mobil olmamızı sağladığından, bir ağa ve platforma her zamankinden daha fazla sayıda uç nokta ve cihaz bağlanıyor ve bu cihazların her biri bir saldırı için potansiyel bir zayıf nokta.

Veriler sürekli olarak iletildiğinden, paylaşıldığından, depolandığından, düzenlendiğinden, arşivlendiğinden ve taşındığından, süreçte bu bilgilerin çalınabileceği çok daha fazla zayıf nokta ortaya çıktı - bu nedenle bulut çözümleri ve dijital ticaret çağında güvenlik ihtiyacı yeni bir seviyede.

İletişim Merkezlerinde PCI Uyumluluğu

Müşteri ödeme bilgileriyle ilgilenen herhangi bir kuruluş PCI uyumluluğunu zorlamaya çalışmalıdır, ancak özellikle Çağrı Merkezleri ve İletişim Merkezleri dikkatli olmalıdır. İşleri neredeyse tamamen müşterilerden ve müşterilerden ödeme hesabı bilgilerini toplamakla ilgili olduğundan, İletişim Merkezleri kötü niyetli bir saldırıya hedef olma konusunda büyük bir riskle karşı karşıyadır.

İletişim Merkezleri, müşteriler ve müşterilerle sürekli olarak telefon üzerinden ve daha yakın zamanda çevrimiçi sohbetler ve hatta SMS metin mesajları aracılığıyla ilgilenmektedir. Bir müşteri veya müşteri bir aracıya herhangi bir ödeme şekli veya kimlik bilgisi gönderdiğinde, bu bilgilerin güvence altına alınması gerekir.

Özellikle İletişim Merkezleri, CRM çözümlerinden Çağrı Merkezi yazılımına ve İş VoIP araçlarına, hatta bazen Yapay Zeka ve İş Gücü Optimizasyonuna kadar bu verileri depolayan ve bunlara erişen daha fazla sayıda bulut platformu kullandığından, çok fazla gevşeklik vardır. birbirine bağlanması gereken uçlar.

İletişim Merkezlerinin odaklanması gereken başlıca endişelerden ikisi şunlardır:

  • Verileri yetkisiz erişime karşı koruma . Yeterince açıksözlü. Verilere erişmesine izin verilmeyenlerin erişememeleri gerekir, bu en temel düzeyde veri güvenliğini sağlamanın ilk adımı olacaktır. Bu, elbette, yalnızca yöneticilere parola sağlamak, parolaları rutin olarak değiştirmek, fiziksel kimlik doğrulama yöntemlerini kullanmak ve tüm cihazları ve erişim noktalarını güvence altına almak gibi basit güvenlik uygulamalarıyla başlar.
  • Müşteri Güveni . Herhangi bir organizasyonun önemli bir yönü, müşteri ve işletme arasındaki bu güven bağıdır. Müşteri, bir kuruluşla olan deneyimlerini ağır bir şekilde tartar ve en iyi deneyimi sağlayanlarla iş yapmayı seçecektir. Herhangi bir miktarda sermaye veya hatta yalnızca hassas verilerle (HIPAA'yı düşünün) uğraşırken, müşteriler bilgilerinin korunduğunu ve kuruluşunuzla iş yapmaktan zarar görmeyeceklerini bilmek isterler.

Bu iki endişe elbette el ele gider. Bir müşterinin verileri güvenli olmadığında ve ihlal edildiğinde, sonunda işinize olan güvenini kaybederler. Verilerin güvende olduğundan emin olmak, müşterinin işletmenize güvenmeye devam etmesini sağlamaktır.

Günün sonunda, her türlü ihlali önlemek ve müşterilerinize verilerinin güvende olmasını sağlamak, bu güven bağını oluşturmada uzun bir yol kat edebilir. İletişim Merkezleri, geniş veri kümeleri ve günlük çok sayıda etkileşimleri ile özellikle çok dikkatli olmalı ve sürecin her adımında PCI uyumluluğunu sağlamalıdır.

İş VoIP'sinde PCI Uyumluluğu

Daha genel olarak VoIP söz konusu olduğunda, PCI DSS "VoIP kullanımına açıkça atıfta bulunmaz." Ancak bu, yalnızca kuruluşunuz bir Business VoIP hizmeti kullandığı için net oldukları anlamına gelmez. Aslında, PCI DSS'nin özel olarak VoIP kullanımını vurgulayan kendi SSS bölümü vardır.

Şimdi, bu biraz zorlaşıyor, ancak bilmeniz gerekenlerin özetini özetlemeye çalışacağız. VoIP için PCI Uyumluluğu biraz derinleşir ve farklı aktarım biçimlerinin (dahili veya harici) ve bu aktarımların kaynaklarının tanımlanmasına kadar gider.

Ana paket şudur:

PCI uyumluluğunu karşılamak için kuruluşlar, herhangi bir ödeme hesabı bilgisini içeren her tür internet verisinin veya IP ağ trafiğinin güvenliğini sağlamalıdır. Basitçe söylemek gerekirse, "Ödeme kartı hesap verilerini içeren VoIP trafiği, geçerli PCI DSS kontrolleri kapsamındadır." aracılığıyla aktarılan ödeme hesabı verileri.

VoIP, sesinizin sesini internet üzerinden veri paketleri olarak gönderdiğinden, bu veriler, artık bilgiler kuruluşunuzun ağında aktarıldığı ve burada depolandığı için PCI uyumluluk güvenlik standartlarına tabidir.

Ama hikaye gerçekten burada bitmiyor. VoIP aramasının kaynağına ve bu verilerin nasıl aktarıldığına gelince işler biraz zorlaşıyor:

  • Dahili iletimler – Kuruluşunuzun ağı içinde paylaşılan ödeme kartı hesap verilerini içeren VoIP trafiği, PCI uyumlu olmalıdır. Bir kuruluşun ağı üzerinden dahili olarak depolanan, işlenen veya iletilen tüm veriler, uyum ile uyumlu olmalıdır.
  • Harici aktarımlar – Bir kuruluş, ödeme kartı bilgilerini başka bir işletmeye (örneğin, hizmet sağlayıcı veya ödeme işlemcisi) aktardığında, kuruluşun sistemi ve bu aktarımlar için kullanılan ağları uyumlu olmalıdır. Yani, işletmeniz başka bir işletmeye veya varlığa ödeme verileri göndermek için bir VoIP araması yaparsa, bu bağlantı güvenli ve PCI uyumlu olmalıdır.
  • Kart Sahiplerine/Kart Sahiplerinden Dış İletimler – Bir kart sahibi ile bir kuruluş arasında ödeme kartı hesap verilerinin iletimi için VoIP kullanıldığında, iletim için kullanılan işletmenin sistemleri ve ağı uyumlu olmalıdır.

Bu gerçekten işin sıska kısmı, PCI SSC bu farklı senaryolarda gerçekten çok ayrıntıya giriyor. Ancak, VoIP iletişiminizin PCI uyumlu olmasını sağlamanın en kolay yolu, kaynak veya hedef ne olursa olsun tüm aramaları, PCI uyumluluğunu karşılamak için mümkün olduğunca güvenli hale getirmektir.

Daha fazlasını okumak isterseniz, PCI SCC'nin web sitesinde VoIP uyumluluğu ve çok özel düzenlemeler ve senaryolar hakkında daha fazla bilgi edinebilirsiniz.

İşletmeniz PCI Uyumluluğuna Nasıl Uyum Sağlayabilir?

Artık işletmenizin neden PCI SSC tarafından belirlenen uyumluluk standartlarına uyması gerektiğini belirlediğimize göre, süreçleri başlatmak için kuruluşunuzu doğru yöne yönlendireceğiz. Güvenlik nihayetinde basit bir iş değildir ve alınması gereken doğru yönü gerçekten anlamak için kayda değer miktarda araştırma ve karşılaştırma gerektirecektir.

PCI SSC, kuruluşların başlamasına yardımcı olmak için oldukça basit bir gereksinimler ve ilgili hedefler listesi sunar:

Güvenlik bir yatırım olarak görülmeli, daha sonra tasarruf etmek için şimdi harcayın. Bir veri ihlalinin meydana gelmesi durumunda oluşabilecek olası yansımaları önlemek için kuruluşunuzu, verilerinizi ve müşterilerinizi korumak için şimdi harcayın. Doğru güvenlik olmadan, gerçek zamanlı olarak gördüğümüz gibi, herhangi bir işletmenin başına gelebilir. Şimdiye kadar inContact için herhangi bir güvenlik şikayeti görmedik.

I. Çözümlerin ve Platformların PCI Uyumlu olduğundan emin olun

Daha önce de belirttiğim gibi, bu bulut platformları çağında, eriştiğimiz ve kullandığımız verilerin çoğu sunucularımızda veya fiziksel olarak çalıştığımız yerde depolanmamaktadır. Özellikle CRM, İletişim Merkezi ve Business VoIP platformlarının kullanımı ile müşteri ve müşteri verileri, satıcının veri merkezlerinde saklanmakta ve internet üzerinden erişilmektedir.

Bu nedenle, İletişim Merkezlerinin en azından kullandıkları araçların ve abone oldukları platformların bir miktar PCI uyumluluğu sağlamasını sağlaması inanılmaz derecede önemlidir. Bu, diğer endüstrilerin kullandığı sürecin aynısıdır, örneğin bir hastane yalnızca HIPAA uyumlu bir çözüm kullanır.

Sadece bazı önemli isimleri vurgulamak için:

  • Vonage Gelişmiş İletişim Merkezi
  • Nextiva
  • 8×8
  • Beş9
  • Genesys
  • Twilio
  • Güzel İletişim
  • RingCentral

II. Uyumluluğu Sağlamak için PCI SSC Kılavuzunu izleyin

Ne yazık ki, farklı finans kurumları ve ödeme kartı markaları için özel gereksinimler duruma göre farklılık gösterecektir. Her kuruluşun PCI Uyumluluğu için kendi özel düzenlemeleri ve gereksinimleri olacaktır.

PCI Veri Güvenliği Standardına uygunluğun doğrulanması, bireysel ödeme markaları tarafından belirlenir. Hepsi, veri güvenliği uyum programlarının her biri için teknik gereksinimlerin bir parçası olarak PCI Veri Güvenliği Standardını dahil etmeyi kabul etti. Ödeme markaları ayrıca PCI Security Standards Council tarafından kalifiye güvenlik değerlendiricilerini ve onaylı tarama satıcılarını tanır."

Bu nedenle, PCI SSC, uyumluluğu sağlamak için gerçekleşen üç aşamalı sürecin kaba bir taslağını sağlar.

1. Değerlendirin

Kart sahibi verilerini belirleyerek, BT varlıklarının envanterini çıkararak ve ödeme kartı işlemeye yönelik iş süreçlerini alarak ve bu sistemlerdeki güvenlik açıklarını analiz ederek kuruluşunuzun verilerle ilgili sistemlerini ve süreçlerini değerlendirin.

Bu, kuruluşların kart sahibi verileri ortamında bulunan veya bu ortama bağlı tüm sistem bileşenlerini tanımladığı bir süreç olan kapsam belirleme yoluyla yapılabilir.

Kapsam belirleme, herhangi bir olası ihlali önlemenin en iyi yollarından biri, sızıntıların ortaya çıktığı tüm delikleri proaktif olarak kapatmak olduğundan, rutin kontrolleri ve bakımı sağlamak için yıllık bir süreç olmalıdır.

Kuruluşlar aslında nitelikli bir güvenlik değerlendiricisi işe alabilir. PCI SSC'ye göre, " Nitelikli Güvenlik Değerlendiricisi , PCI Konseyi tarafından yerinde PCI Veri Güvenliği Standardı değerlendirmeleri yapmak üzere yetkilendirilmiş bir veri güvenliği firmasıdır." Bu değerlendiriciler, teknik bilgileri doğrulayacak, uygunluk standartlarının karşılandığını doğrulamak için bağımsız yargı kullanacak, uyum sürecinde destek ve rehberlik sağlayacak ve PCI SSC'ye sunulmak üzere nihai bir rapor hazırlayacaktır.

2. Düzeltme

Değerlendirme sürecinden sonra, ağdaki olası açıkları kapatmak ve sistemi tam PCI uyumluluğuna hazırlamak için ne yapılması gerektiği artık kuruluşunuz için net olmalıdır. Bu, bulunan herhangi bir güvenlik açığının düzeltilmesi anlamına gelse de, PCI SSC ayrıca, iş operasyonu için kesinlikle gerekli olmadıkça kuruluşunuzun hizmetlerinden, veri merkezlerinden ve kayıtlarından kart sahibi verilerinin depolanmasının kaldırılmasını önerir.

3. Rapor

Bir değerlendirme tamamlandıktan ve kuruluş, sorunları düzeltmek ve güvenliği artırmak için gerekli adımları attıktan sonra, bir rapor doldurulmalı ve uygun banka ve kart markalarına gönderilmelidir.

Yine o markanın gereksinimlerine bağlı olarak kuruluşların daha sık başvuru yapması veya belirli bir süreci takip etmesi gerekebilir. Örneğin bazı markalar, kuruluşların üç ayda bir başvuru göndermelerini şart koşuyor.

Alt çizgi

Ne yazık ki, çok sayıda işletme ve birey güvenliği sonradan düşünülmüş veya tek seferlik bir süreç olarak görmektedir. Ancak gerçek şu ki, verilerimizi ve iletişimimizi güvende tutmak hiç bu kadar önemli olmamıştı. Her gün ortaya çıkan yeni riskler ve saldırılar ve daha büyük veri kümelerinin kötü niyetli aktörler için giderek daha kazançlı hale gelmesiyle birlikte, büyük çaplı serpinti potansiyeli sadece büyüyor.

PCI Veri Güvenliği Standardı, kuruluşların yalnızca güvenlik önlemleri almalarını değil, aynı zamanda bunları zaman içinde düzgün bir şekilde korumasını ve optimize etmesini sağlar. Standart bir uyumluluk düzeyi belirlemek için birlikte çalışan endüstri liderleriyle kuruluşlar, daha güvenli bir dijital çağa doğru çalışmaya yardımcı olabilir.

Kuruluşunuzun PCI uyumlu araçlar kullanmasını ve gerektiğinde PCI uyumluluk düzenlemelerini yerine getirmesini sağlamak, hem işletme hem de müşteriler için kesinlikle bir kazan-kazan durumudur. Kuruluşlar, verileri güvende tutarak müşteri güvenini ve nihayetinde işlerini koruyabilir.