為什麼 PCI 認證對您的業務通信工具很重要

已發表: 2018-12-17

似乎我們正處於數據安全已成為大量組織事後考慮的地步。 聽到新的數據洩露事件幾乎已成為家常便飯,其中一些受影響的名字會讓你大吃一驚。 僅在 2018 年,包括梅西百貨、阿迪達斯、達美航空、Panera Bread 甚至亞馬遜在內的組織都報告說客戶數據遭到破壞。

無論您的企業規模大小,或所服務的行業如何,在當前的數字環境中,安全都是絕對必要的。 不幸的是,惡意行為者就在那裡,並且不斷開發新的方法來捕獲和銷售客戶數據。

當然,這會給這些客戶帶來巨大的影響,而這些組織也遭到破壞。 缺乏信任和潛在的財務後果並不一定比投資於妥善保護組織的數據更好。

對於聯絡中心或任何通過電話或商業 VoIP 進行支付的企業,組織應絕對確保其流程、應用程序、數據和軟件符合全球 PCI 安全標準。

什麼是 PCI 安全標準合規性?

雖然 PCI 安全標準沒有通過任何官方法律或法規一成不變,但 PCI 安全標準委員會 (PCI SSC) 已成為一個“全球論壇”,以促進商定的支付安全標準的開發、增強和傳播賬戶安全——最初由 American Express、Discover Financial Services、JCB International、MasterCard 和 Visa Inc. 創立。

PCI SSC 是一個覆蓋全球的全行業安全委員會。 這個想法是,行業可以在該委員會內共同製定和建立一套法規和安全標準,以保護支付賬戶信息——比如信用卡信息和敏感的客戶數據,比如社會安全號碼。

PCI SSC 已建立 PCI 安全合規標準,以確保組織遵守商定的一套法規,以保護客戶信用卡支付信息和敏感信息。

PCI 合規企業必須滿足這些商定的安全要求,並接受年度評估,以確保持續確保合規性。 歸根結底,如果您的組織處理任何形式的支付信息,那麼 PCI 合規性幾乎是必要的。

由於沒有強制遵守 PCI 的法律,因此不符合要求的組織不會面臨任何形式的法律後果。 但是,如果確實發生了數據洩露,那麼組織可能會受到 PCI SSC 以及受洩露影響的客戶和客戶的財務後果的影響。

PCI認證的要點是什麼?

歸根結底,通過確保組織內的 PCI 合規性,該企業不僅可以保護其客戶和用戶數據,還可以保護組織免受潛在的嚴重財務影響和後果。

PCI 合規的主要目標是建立一個全球標準,讓組織同意並遵守,以應對近年來大量的數據洩露事件。 根據 PCI SSC:

  • “持卡人數據的洩露或盜竊會影響整個支付卡生態系統,從客戶到支付機構,再到接收付款的組織。”
  • 當客戶數據洩露時,他們很快就會失去對這些商家和金融機構的信任
  • 如果他們的信息被惡意使用,客戶也可能面臨財務損失。 信用可能會受到負面影響,一旦數據被破壞,就很難重新獲得對數據的完全控制權
  • 隨著商家和金融機構失去信譽,他們最終會失去業務。 如果客戶不相信他們的信息會得到安全和保護,他們只會把他們的業務轉移到其他地方。

如果您的組織遇到數據洩露,並且沒有採取適當的措施來防止攻擊或製定恢復計劃,儘管缺乏法律法規,但可能會出現一些重大的反彈和後果。

組織當然會讓客戶失去信心並選擇在其他地方開展業務,從而導致銷售和收入減少,企業可能不得不支付重新發行新支付卡或欺詐損失的成本,未來事情只會變得更加困難。

數據洩露後,組織將面臨更高的後續合規成本、潛在的法律成本和和解、罰款和罰款以及接受支付卡的能力的終止。 歸根結底,數據洩露最終可能導致企業不得不永久關門。

數字時代對安全的需求

隨著組織將他們的通信和流程轉移到雲中,包括數據存儲(特別是客戶數據,如 CRM 信息),安全性成為一個更大的問題。

一般來說,大量數據對於尋求從這些信息中獲利的惡意行為者來說是非常有利可圖的。 但是,當數據被存檔並且僅在內部和現場使用時,攻擊者將更難以訪問此信息。 然而,隨著我們開始將主要數據存儲和業務流程轉移到雲端,我們開始引入新的安全必要性。

由於數據現在不是存儲在現場,而是存儲在雲中,因此必須在多個方面保護這些數據。 您的組織必須確保數據得到妥善處理,並且您使用的任何工具(商業 VoIP、CRM 或云聯絡中心平台)的提供商都必須確保其服務器上的數據受到保護和安全。

除了不掌握在您自己手中的數據之外,數據還會通過 Internet 傳輸,並在您組織的設備上共享。 數據必須在傳輸中加密,並且在這些單獨的端點上也受到保護。 隨著雲軟件使我們的移動性更強,連接到網絡和平台的端點和設備比以往任何時候都多——這些設備中的每一個都是潛在的攻擊弱點。

由於數據不斷被傳輸、共享、存儲、編輯、歸檔和移動,因此在信息可能被盜的過程中出現了更多的弱點——因此在雲解決方案和數字商務時代,對安全性的需求處於一個新的水平。

聯絡中心的 PCI 合規性

雖然任何處理客戶支付信息的組織都應嘗試強制執行 PCI 合規性,但呼叫中心和聯絡中心尤其必須小心。 由於他們的業務幾乎完全圍繞從客戶和客戶那裡收集支付賬戶信息,聯絡中心面臨成為惡意攻擊目標的巨大風險。

聯絡中心不斷通過電話與客戶和客戶打交道,最近還通過在線聊天甚至短信。 每次客戶或客戶向代理髮送任何形式的付款或識別信息時,該信息都必須得到保護。

由於聯絡中心也在使用大量的雲平台來存儲和訪問這些數據,從 CRM 解決方案到呼叫中心軟件再到商業 VoIP 工具,有時甚至更深入到人工智能和勞動力優化,有很多鬆散的需要捆綁在一起的末端。

聯絡中心應關注的兩個主要問題包括:

  • 保護數據免受未經授權的訪問。 非常坦率的。 那些不被允許訪問數據的人不應該能夠訪問,這將是確保即使是最基本的數據安全級別的第一步。 這當然從簡單的安全實踐開始,例如只向管理員提供密碼、定期更改密碼、利用物理身份驗證方法以及保護所有設備和接入點。
  • 客戶信任。 任何組織的一個主要方面是客戶和企業之間的信任紐帶。 客戶非常重視他們在組織中的體驗,並會選擇與提供最佳體驗的企業開展業務。 在處理任何數量的資金甚至只是敏感數據(想想 HIPAA)時,客戶希望知道他們的信息受到保護,並且他們不會因與您的組織開展業務而受到傷害。

這兩個問題當然是相輔相成的。 當客戶的數據不安全並遭到破壞時,他們最終將失去對您業務的信任。 確保數據安全是為了確保客戶將繼續信任您的業務。

歸根結底,防止任何形式的違規行為並向您的客戶確保他們的數據是安全的,對於建立信任關係大有幫助。 聯絡中心擁有大量數據集和每天進行大量交互,因此必須特別小心,並應確保流程的每一步都符合 PCI 合規性。

商業 VoIP 中的 PCI 合規性

當談到更普遍的 VoIP 時,PCI DSS“沒有明確提及 VoIP 的使用”。 但是,這並不意味著僅僅因為您的組織正在使用商務 VoIP 服務,他們就清楚了。 事實上,PCI DSS 確實有自己的常見問題解答部分,特別強調了 VoIP 的使用。

現在,這確實有點棘手,但我們將嘗試概述您需要了解的內容。 VoIP 的 PCI 合規性有點深入,甚至定義了不同的傳輸形式(內部或外部),以及這些傳輸的來源。

主要的收穫是:

為了滿足 PCI 合規性,組織必須確保包含任何形式的支付賬戶信息的任何形式的互聯網數據或 IP 網絡流量都是安全的。 簡而言之,通過“包含支付卡賬戶數據的 VoIP 流量傳輸的支付賬戶數據在適用的 PCI DSS 控制範圍內”。

由於 VoIP 將您的聲音作為數據包通過 Internet 發送,因此該數據受 PCI 合規性安全標準的約束,因為它現在是通過您組織的網絡傳輸和存儲的信息。

但故事並沒有真正結束。 當涉及到 VoIP 呼叫的來源以及數據的傳輸方式時,事情變得有些棘手:

  • 內部傳輸- 包含在組織網絡內共享的支付卡帳戶數據的 VoIP 流量必須符合 PCI 標準。 通過組織網絡在內部存儲、處理或傳輸的任何數據都必須符合合規性。
  • 外部傳輸——當一個實體將支付卡信息傳輸到另一個企業(例如,服務提供商或支付處理器)時,用於這些傳輸的實體的系統和網絡必須是合規的。 這意味著,如果您的企業通過 VoIP 呼叫向其他企業或實體發送支付數據,則該連接必須是安全的並且符合 PCI 標準。
  • 與持卡人之間的外部傳輸——當 VoIP 用於在持卡人與組織之間傳輸支付卡賬戶數據時,用於傳輸的企業系統和網絡必須符合要求。

這實際上只是其中的一小部分,PCI SSC 對這些不同的場景進行了非常詳細的介紹。 但是,確保您的 VoIP 通信符合 PCI 的最簡單方法是處理所有呼叫,無論來源或目的地,都應盡可能安全,以滿足 PCI 合規性。

如果您想進一步閱讀,您可以在 PCI SCC 的網站上了解有關 VoIP 合規性以及非常具體的法規和場景的更多信息。

您的企業如何遵守 PCI 合規性?

既然我們已經確定了您的企業應遵守 PCI SSC 制定的合規標準的原因,我們將為您的組織指明啟動流程的正確方向。 安全最終不是一項簡單的任務,需要大量的研究和比較才能真正了解正確的方向。

PCI SSC 確實提供了一個相當基本的要求列表和相關目標,以幫助組織開始:

安全必須被視為一項投資,現在花錢以後節省。 現在就花時間保護您的組織、數據和客戶,以避免發生數據洩露造成的任何潛在後果。 如果沒有適當的安全措施,它可以真正發生在我們實時看到的任何業務中。 到目前為止,我們還沒有看到任何針對 inContact 的安全投訴。

I. 確保解決方案和平台符合 PCI

正如我已經提到的,在這個雲平台時代,我們訪問和使用的大部分數據甚至都沒有存儲在我們的服務器中,或者物理上與我們工作的位置相同。 通過使用 CRM、聯絡中心和商務 VoIP 平台,客戶和客戶數據存儲在供應商的數據中心,並通過互聯網訪問。

因此,聯絡中心至少要確保他們使用的工具和他們訂閱的平台能夠確保一定程度的 PCI 合規性,這一點非常重要。 這與其他行業使用的流程相同,例如醫院只會使用符合 HIPAA 的解決方案。

只是為了突出一些主要名稱:

  • Vonage 高級聯絡中心
  • Nextiva
  • 8×8
  • 五九
  • 傑尼斯
  • 特維利奧
  • 不錯的聯繫方式
  • 環中央

二、 遵循 PCI SSC 指南以確保合規性

不幸的是,不同金融機構和支付卡品牌的具體要求會因具體情況而異。 每個組織都有自己特定的 PCI 合規性法規和要求。

是否符合 PCI 數據安全標準取決於各個支付品牌。 所有人都同意將 PCI 數據安全標準作為其每個數據安全合規計劃的技術要求的一部分。 支付品牌還認可合格的安全評估員和經 PCI 安全標準委員會認證的經批准的掃描供應商。”

因此,PCI SSC 提供了確保合規性的三步流程的粗略大綱。

1. 評估

通過識別持卡人數據、清點 IT 資產以及支付卡處理的業務流程以及分析這些系統中的任何漏洞來評估您的組織與數據相關的系統和流程。

這可以通過範圍界定來完成,在這個過程中,組織識別位於持卡人數據環境內或連接到持卡人數據環境的所有系統組件。

範圍界定應該是確保例行檢查和維護的年度過程,因為防止任何潛在違規行為的最佳方法是主動關閉任何出現洩漏的漏洞。

組織實際上可以聘請合格的安全評估員。 根據 PCI SSC 的說法,“合格的安全評估員是一家獲得 PCI 委員會資格的數據安全公司,可以進行現場 PCI 數據安全標準評估。” 這些評估員將驗證技術信息,使用獨立判斷來確認符合合規標準,在合規過程中提供支持和指導,並生成最終報告以提交給 PCI SSC。

2. 補救

在評估過程之後,您的組織現在應該清楚必須做些什麼來關閉網絡中的任何潛在漏洞,並使系統準備好完全符合 PCI 合規性。 雖然這意味著修復任何發現的漏洞,但 PCI SSC 還建議從您的組織的服務、數據中心和記錄中消除持卡人數據的存儲,除非業務運營絕對必要。

3. 報告

完成評估後,組織採取必要措施糾正任何問題並加強安全性,必須遵守報告並提交給相應的銀行和卡品牌。

同樣,根據該特定品牌的要求,組織可能必須更頻繁地提交文件或遵循特定流程。 例如,一些品牌要求組織每季度提交一次。

底線

不幸的是,太多的企業和個人將安全視為事後的想法或一次性過程。 然而,事實是,保持我們的數據和通信安全從未如此重要。 隨著新的風險和攻擊每天都在出現,更大的數據集對惡意行為者來說越來越有利可圖,造成重大後果的可能性只會越來越大。

PCI 數據安全標準確保組織不僅會制定安全措施,而且會隨著時間的推移正確維護和優化它們。 與行業領導者一起制定標準合規水平,組織可以幫助朝著更安全的數字時代邁進。

確保您的組織使用 PCI 合規工具,並在必要時滿足 PCI 合規性規定,這對企業和客戶來說絕對是雙贏的局面。 通過保持數據安全,組織可以保持客戶信任,並最終保持他們的業務。