为什么 PCI 认证对您的业务通信工具很重要

已发表: 2018-12-17

似乎我们正处于数据安全已成为大量组织事后考虑的地步。 听到新的数据泄露事件几乎已成为家常便饭,其中一些受影响的名字会让你大吃一惊。 仅在 2018 年,包括梅西百货、阿迪达斯、达美航空、Panera Bread 甚至亚马逊在内的组织都报告说客户数据遭到破坏。

无论您的企业规模大小,或所服务的行业如何,在当前的数字环境中,安全都是绝对必要的。 不幸的是,恶意行为者就在那里,并且不断开发新的方法来捕获和销售客户数据。

当然,这会给这些客户带来巨大的影响,而这些组织也遭到破坏。 缺乏信任和潜在的财务后果并不一定比投资于妥善保护组织的数据更好。

对于联络中心或任何通过电话或商业 VoIP 进行支付的企业,组织应绝对确保其流程、应用程序、数据和软件符合全球 PCI 安全标准。

什么是 PCI 安全标准合规性?

虽然 PCI 安全标准没有通过任何官方法律或法规一成不变,但 PCI 安全标准委员会 (PCI SSC) 已成为一个“全球论坛”,以促进商定的支付安全标准的开发、增强和传播账户安全——最初由 American Express、Discover Financial Services、JCB International、MasterCard 和 Visa Inc. 创立。

PCI SSC 是一个覆盖全球的全行业安全委员会。 这个想法是,行业可以在该委员会内共同制定和建立一套法规和安全标准,以保护支付账户信息——比如信用卡信息和敏感的客户数据,比如社会安全号码。

PCI SSC 已建立 PCI 安全合规标准,以确保组织遵守商定的一套法规,以保护客户信用卡支付信息和敏感信息。

PCI 合规企业必须满足这些商定的安全要求,并接受年度评估,以确保持续确保合规性。 归根结底,如果您的组织处理任何形式的支付信息,那么 PCI 合规性几乎是必要的。

由于没有强制遵守 PCI 的法律,因此不符合要求的组织不会面临任何形式的法律后果。 但是,如果确实发生了数据泄露,那么组织可能会受到 PCI SSC 以及受泄露影响的客户和客户的财务后果的影响。

PCI认证的要点是什么?

归根结底,通过确保组织内的 PCI 合规性,该企业不仅可以保护其客户和用户数据,还可以保护组织免受潜在的严重财务影响和后果。

PCI 合规的主要目标是建立一个全球标准,让组织同意并遵守,以应对近年来大量的数据泄露事件。 根据 PCI SSC:

  • “持卡人数据的泄露或盗窃会影响整个支付卡生态系统,从客户到支付机构,再到接收付款的组织。”
  • 当客户数据泄露时,他们很快就会失去对这些商家和金融机构的信任
  • 如果他们的信息被恶意使用,客户也可能面临财务损失。 信用可能会受到负面影响,一旦数据被破坏,就很难重新获得对数据的完全控制权
  • 随着商家和金融机构失去信誉,他们最终会失去业务。 如果客户不相信他们的信息会得到安全和保护,他们只会把他们的业务转移到其他地方。

如果您的组织遇到数据泄露,并且没有采取适当的措施来防止攻击或制定恢复计划,尽管缺乏法律法规,但可能会出现一些重大的反弹和后果。

组织当然会让客户失去信心并选择在其他地方开展业务,从而导致销售和收入减少,企业可能不得不支付重新发行新支付卡或欺诈损失的成本,未来事情只会变得更加困难。

数据泄露后,组织将面临更高的后续合规成本、潜在的法律成本和和解、罚款和罚款以及接受支付卡的能力的终止。 归根结底,数据泄露最终可能导致企业不得不永久关门。

数字时代对安全的需求

随着组织将他们的通信和流程转移到云中,包括数据存储(特别是客户数据,如 CRM 信息),安全性成为一个更大的问题。

一般来说,大量数据对于寻求从这些信息中获利的恶意行为者来说是非常有利可图的。 但是,当数据被存档并且仅在内部和现场使用时,攻击者将更难以访问此信息。 然而,随着我们开始将主要数据存储和业务流程转移到云端,我们开始引入新的安全必要性。

由于数据现在不是存储在现场,而是存储在云中,因此必须在多个方面保护这些数据。 您的组织必须确保数据得到妥善处理,并且您使用的任何工具(商业 VoIP、CRM 或云联络中心平台)的提供商都必须确保其服务器上的数据受到保护和安全。

除了不掌握在您自己手中的数据之外,数据还会通过 Internet 传输,并在您组织的设备上共享。 数据必须在传输中加密,并且在这些单独的端点上也受到保护。 随着云软件使我们的移动性更强,连接到网络和平台的端点和设备比以往任何时候都多——这些设备中的每一个都是潜在的攻击弱点。

由于数据不断被传输、共享、存储、编辑、归档和移动,因此在信息可能被盗的过程中出现了更多的弱点——因此在云解决方案和数字商务时代,对安全性的需求处于一个新的水平。

联络中心的 PCI 合规性

虽然任何处理客户支付信息的组织都应尝试强制执行 PCI 合规性,但呼叫中心和联络中心尤其必须小心。 由于他们的业务几乎完全围绕从客户和客户那里收集支付账户信息,联络中心面临成为恶意攻击目标的巨大风险。

联络中心不断通过电话与客户和客户打交道,最近还通过在线聊天甚至短信。 每次客户或客户向代理发送任何形式的付款或识别信息时,该信息都必须得到保护。

由于联络中心也在使用大量的云平台来存储和访问这些数据,从 CRM 解决方案到呼叫中心软件再到商业 VoIP 工具,有时甚至更深入到人工智能和劳动力优化,有很多松散的需要捆绑在一起的末端。

联络中心应关注的两个主要问题包括:

  • 保护数据免受未经授权的访问。 非常坦率的。 那些不被允许访问数据的人不应该能够访问,这将是确保即使是最基本的数据安全级别的第一步。 这当然从简单的安全实践开始,例如只向管理员提供密码、定期更改密码、利用物理身份验证方法以及保护所有设备和接入点。
  • 客户信任。 任何组织的一个主要方面是客户和企业之间的信任纽带。 客户非常重视他们在组织中的体验,并会选择与提供最佳体验的企业开展业务。 在处理任何数量的资金甚至只是敏感数据(想想 HIPAA)时,客户希望知道他们的信息受到保护,并且他们不会因与您的组织开展业务而受到伤害。

这两个问题当然是相辅相成的。 当客户的数据不安全并遭到破坏时,他们最终将失去对您业务的信任。 确保数据安全是为了确保客户将继续信任您的业务。

归根结底,防止任何形式的违规行为并向您的客户确保他们的数据是安全的,对于建立信任关系大有帮助。 联络中心拥有大量数据集和每天进行大量交互,因此必须特别小心,并应确保流程的每一步都符合 PCI 合规性。

商业 VoIP 中的 PCI 合规性

当谈到更普遍的 VoIP 时,PCI DSS“没有明确提及 VoIP 的使用”。 但是,这并不意味着仅仅因为您的组织正在使用商务 VoIP 服务,他们就清楚了。 事实上,PCI DSS 确实有自己的常见问题解答部分,特别强调了 VoIP 的使用。

现在,这确实有点棘手,但我们将尝试概述您需要了解的内容。 VoIP 的 PCI 合规性有点深入,甚至定义了不同的传输形式(内部或外部),以及这些传输的来源。

主要的收获是:

为了满足 PCI 合规性,组织必须确保包含任何形式的支付账户信息的任何形式的互联网数据或 IP 网络流量都是安全的。 简而言之,通过“包含支付卡账户数据的 VoIP 流量传输的支付账户数据在适用的 PCI DSS 控制范围内”。

由于 VoIP 将您的声音作为数据包通过 Internet 发送,因此该数据受 PCI 合规性安全标准的约束,因为它现在是通过您组织的网络传输和存储的信息。

但故事并没有真正结束。 当涉及到 VoIP 呼叫的来源以及数据的传输方式时,事情变得有些棘手:

  • 内部传输- 包含在组织网络内共享的支付卡帐户数据的 VoIP 流量必须符合 PCI 标准。 通过组织网络在内部存储、处理或传输的任何数据都必须符合合规性。
  • 外部传输——当一个实体将支付卡信息传输到另一个企业(例如,服务提供商或支付处理器)时,用于这些传输的实体的系统和网络必须是合规的。 这意味着,如果您的企业通过 VoIP 呼叫向其他企业或实体发送支付数据,则该连接必须是安全的并且符合 PCI 标准。
  • 与持卡人之间的外部传输——当 VoIP 用于在持卡人与组织之间传输支付卡账户数据时,用于传输的企业系统和网络必须符合要求。

这实际上只是其中的一小部分,PCI SSC 对这些不同的场景进行了非常详细的介绍。 但是,确保您的 VoIP 通信符合 PCI 的最简单方法是处理所有呼叫,无论来源或目的地,都应尽可能安全,以满足 PCI 合规性。

如果您想进一步阅读,您可以在 PCI SCC 的网站上了解有关 VoIP 合规性以及非常具体的法规和场景的更多信息。

您的企业如何遵守 PCI 合规性?

既然我们已经确定了您的企业应遵守 PCI SSC 制定的合规标准的原因,我们将为您的组织指明启动流程的正确方向。 安全最终不是一项简单的任务,需要大量的研究和比较才能真正了解正确的方向。

PCI SSC 确实提供了一个相当基本的要求列表和相关目标,以帮助组织开始:

安全必须被视为一项投资,现在花钱以后节省。 现在就花时间保护您的组织、数据和客户,以避免发生数据泄露造成的任何潜在后果。 如果没有适当的安全措施,它可以真正发生在我们实时看到的任何业务中。 到目前为止,我们还没有看到任何针对 inContact 的安全投诉。

I. 确保解决方案和平台符合 PCI

正如我已经提到的,在这个云平台时代,我们访问和使用的大部分数据甚至都没有存储在我们的服务器中,或者物理上与我们工作的位置相同。 通过使用 CRM、联络中心和商务 VoIP 平台,客户和客户数据存储在供应商的数据中心,并通过互联网访问。

因此,联络中心至少要确保他们使用的工具和他们订阅的平台能够确保一定程度的 PCI 合规性,这一点非常重要。 这与其他行业使用的流程相同,例如医院只会使用符合 HIPAA 的解决方案。

只是为了突出一些主要名称:

  • Vonage 高级联络中心
  • Nextiva
  • 8×8
  • 五九
  • 杰尼斯
  • 特维利奥
  • 不错的联系方式
  • 环中央

二、 遵循 PCI SSC 指南以确保合规性

不幸的是,不同金融机构和支付卡品牌的具体要求会因具体情况而异。 每个组织都有自己特定的 PCI 合规性法规和要求。

是否符合 PCI 数据安全标准取决于各个支付品牌。 所有人都同意将 PCI 数据安全标准作为其每个数据安全合规计划的技术要求的一部分。 支付品牌还认可合格的安全评估员和经 PCI 安全标准委员会认证的经批准的扫描供应商。”

因此,PCI SSC 提供了确保合规性的三步流程的粗略大纲。

1. 评估

通过识别持卡人数据、清点 IT 资产以及支付卡处理的业务流程以及分析这些系统中的任何漏洞来评估您的组织与数据相关的系统和流程。

这可以通过范围界定来完成,在这个过程中,组织识别位于持卡人数据环境内或连接到持卡人数据环境的所有系统组件。

范围界定应该是确保例行检查和维护的年度过程,因为防止任何潜在违规行为的最佳方法是主动关闭任何出现泄漏的漏洞。

组织实际上可以聘请合格的安全评估员。 根据 PCI SSC 的说法,“合格的安全评估员是一家获得 PCI 委员会资格的数据安全公司,可以进行现场 PCI 数据安全标准评估。” 这些评估员将验证技术信息,使用独立判断来确认符合合规标准,在合规过程中提供支持和指导,并生成最终报告以提交给 PCI SSC。

2. 补救

在评估过程之后,您的组织现在应该清楚必须做些什么来关闭网络中的任何潜在漏洞,并使系统准备好完全符合 PCI 合规性。 虽然这意味着修复任何发现的漏洞,但 PCI SSC 还建议从您的组织的服务、数据中心和记录中消除持卡人数据的存储,除非业务运营绝对必要。

3. 报告

完成评估后,组织采取必要措施纠正任何问题并加强安全性,必须遵守报告并提交给相应的银行和卡品牌。

同样,根据该特定品牌的要求,组织可能必须更频繁地提交文件或遵循特定流程。 例如,一些品牌要求组织每季度提交一次。

底线

不幸的是,太多的企业和个人将安全视为事后的想法或一次性过程。 然而,事实是,保持我们的数据和通信安全从未如此重要。 随着新的风险和攻击每天都在出现,更大的数据集对恶意行为者来说越来越有利可图,造成重大后果的可能性只会越来越大。

PCI 数据安全标准确保组织不仅会制定安全措施,而且会随着时间的推移正确维护和优化它们。 与行业领导者一起制定标准合规水平,组织可以帮助朝着更安全的数字时代迈进。

确保您的组织使用 PCI 合规工具,并在必要时满足 PCI 合规性规定,这对企业和客户来说绝对是双赢的局面。 通过保持数据安全,组织可以保持客户信任,并最终保持他们的业务。