Centres d’appels et conformité PCI: choses que vous devez savoir

décembre 15 2016

Les centres d’appels peuvent être des lieux difficiles. Ils vont de petits et simples à grands et complexes. Pour de nombreuses entreprises, ils sont un lieu où les nouvelles technologies peuvent être exploitées pour améliorer le service et la rentabilité. Il ne devrait pas surprendre qu’ils peuvent également être l’un des environnements les plus difficiles à sécuriser. Que votre entreprise traite les paiements ou reçoit des données de carte pour une raison quelconque, vous devez comprendre comment PCI vous affecte.

Comprendre le processus

Plus critique, vous devez comprendre comment vos gens et les processus traitent les informations de carte de crédit. Pas seulement au niveau de 60 000 pieds de haut sur ce qui est censé se produire, mais ce qui se passe réellement. Vous devez également comprendre quelles technologies sont en jeu et quels composants voient les données. Un changement apparemment simple, tel que de la téléphonie analogique à l’ancienne, à la VoIP ou d’un fax à un serveur de télécopie peut avoir un impact énorme sur votre empreinte de conformité. Enfin vous devez comprendre les données elles-mêmes. Dans un contexte de centre d’appel, les données du titulaire de carte (et de l’autorisation sensible) incluent le numéro de compte principal (PAN), les codes de validation de sécurité et les codes PIN, quel que soit le format ou le type de support. La voix numérisée, les enregistrements vocaux, les enregistrements de tonalités IVR / DTMF, les images, les vidéos, les données textuelles et les copies papier doivent être protégés.

Passez du temps à comprendre exactement comment votre entreprise gère les données de la carte. Comment il est censé fonctionner n’est qu’un début. Trouvez les surprises et les inattendus. Les gens qui essaient de faire un travail sont souvent très bons dans les solutions de contournement et les improvisations et de nombreuses bases de données de centre d’appels sont pleines de PAN dans les champs de texte de forme libre en conséquence. Vous devez examiner ces processus hors des livres. Figurez-vous où les données coule et vit, et pourquoi il est là. Même si vous ne procédez pas au traitement des paiements, vous pouvez avoir des données à d’autres fins (par exemple, des chèques de crédit) et vous pouvez les recevoir de façon inattendue (par exemple, des images de factures tierces, des lignes de mémos sur les chèques, etc.). Les clients peuvent également fournir des informations de carte lorsque vous ne le souhaitez pas. Comment faites-vous face à ces cas? Si votre personnel vient de le faire fonctionner, vous pouvez avoir un canal d’acceptation de carte de facto.

La relation technologie et données

Une fois que vous comprenez ce que vous avez, comment il est manipulé, et où il va, il est temps de regarder l’environnement technologique. Quels composants technologiques touchent les données? Quels sont les composants qui les soutiennent? Quelle est la taille des réseaux de systèmes connectés? Quels systèmes qui n’ont rien à voir avec le traitement des données de carte peuvent potentiellement voir les données? Chiffrez-vous les données pendant la transmission? Chiffrez-vous toutes les données stockées? Comment faites-vous pour supprimer en toute sécurité les données d’authentification sensibles (par exemple, les codes de sécurité et les PINS)? Lorsque vous avez des limites technologiques, comment gérez-vous le risque? Quels autres contrôles appliquez-vous?

Êtes-vous l’externalisation de toute cette fonction ou tout soutien pour cette fonction? Quelle diligence raisonnable a été faite? Comment savez-vous que les objectifs de sécurité et de conformité sont respectés? Est-ce que quelque chose est tombé dans les fissures? Et quand vient le temps de démontrer votre conformité, comment la conformité de la fonction externalisée sera-t-elle démontrée?

Savez-vous quel est votre statut de conformité? Avez-vous des lacunes? Y a-t-il d’autres mesures d’atténuation ou de contrôle des risques qui doivent être prises en compte pour appuyer votre conformité?

PCI exige que les données de la carte soient protégées. Non seulement avec le cryptage de la transmission et des données au repos; Mais avec des politiques et des processus, des contrôles physiques, des contrôles d’accès au système et au réseau, des contrôles anti-malware, l’enregistrement et la surveillance, la correction et la gestion robuste des vulnérabilités, ainsi que la formation et la sensibilisation. Il s’agit de contrôles qui doivent être évalués sur l’intégralité de l’empreinte de conformité d’une organisation.

Voici un certain nombre de défis majeurs en matière de technologie et de sécurité auxquels font face les centres d’appels:

  • Les enregistrements d’appels doivent peut-être être protégés par le cryptage, les contrôles d’accès et l’enregistrement. Si elles contiennent des données d’authentification sensibles, elles doivent être supprimées. Ou alternativement, démontré qu’il ne peut pas être extrait ou interrogé.
  • Les systèmes VoIP apportent des réseaux et des systèmes connectés à votre périmètre PCI. Ils peuvent également prendre en charge des fonctionnalités intéressantes comme le clonage d’appels / la surveillance qui doit être contrôlée. Les transmissions VOIP doivent être chiffrées.
  • Les appareils compatibles Bluetooth comme les casques et les claviers doivent également être pris en compte. Alors que les nouveaux périphériques Bluetooth supportent un cryptage fort, bon nombre d’entre eux ne le font pas.
  • Les environnements de télétravailleurs peuvent avoir besoin de satisfaire aux exigences de sécurité PCI.
  • La technologie de téléphone cellulaire peut ne pas être en mesure de fournir le niveau de cryptage et de contrôle requis par PCI.
  • Document et copie papier, si les rapports ou post-it-notes doivent être considérés. Aussi bien. Peut-on les enfermer et y a-t-il des déchiqueteurs sécurisés pour les éliminer lorsqu’ils ne sont plus nécessaires

Créer votre plan d’action

Une fois que vous avez compris toutes ces choses, vous êtes bien préparé à respecter vos obligations de conformité. Vous devez d’abord faire une analyse des lacunes, puis appliquer l’analyse des risques aux résultats, et planifier votre réhabilitation. Certaines mesures seront claires et évidentes. D’autres seront plus délicates nécessitant un examen attentif de l’intention de PCI et des risques spécifiques:

  • Pensez à vos processus d’affaires. La suppression des données dont vous n’avez pas besoin est l’une des façons les plus efficaces de réduire les risques, d’atteindre et de maintenir la conformité.
  • Soutenez cela avec des initiatives de formation et de sensibilisation.
  • Considérez les étapes technologiques pour réduire la taille de votre empreinte de pied de conformité.
  • Ne consacrer du temps sur les problèmes délicats pour s’assurer que vos solutions sont justifiées et défendables en fonction du risque.
  • Ne valider vos solutions et approches.
  • N’ignorez pas la diligence raisonnable et la formalisation des responsabilités PCI spécifiques requises lors de l’externalisation.
  • Ne résoudre les problèmes de nettoyage des données.
  • Ne faites pas d’hypothèses ou ignorez les problèmes.

Si vous envisagez certaines technologies et solutions spécialisées. Prenez le temps de vous assurer qu’ils répondent à vos besoins et aux exigences. Quelques exemples,

  • Le cryptage des terminaux de paiement, tout en étant utile dans les solutions actuelles, simplifie uniquement les canaux d’acceptation sortants. Les canaux entrants (par exemple les appels, les télécopies et les lettres) doivent encore être traités.
  • La tokenisation peut aider à simplifier les exigences lorsque vous devez stocker des données de carte; Cependant, les canaux entrants doivent encore être adressés.
  • Il existe également plusieurs solutions qui prétendent éliminer ou supprimer des données de carte dans les opérations du centre d’appels. Nous en avons évalué plusieurs. Certains fonctionnent bien. D’autres pas tellement. Faites vos devoirs sur ces derniers.

Une violation de la sécurité, et pas seulement une violation des données de carte, ne sera pas aider votre entreprise. Ne pas ignorer la collecte involontaire et accidentelle. Au-delà de PCI, quelles autres informations sensibles (par exemple, les données personnelles identifiables, les données sur les soins de santé) traitent-elles et comment les protégez-vous? En outre, quelles autres lois et règlements peuvent s’appliquer? Y at-il des conflits?

Comment vos solutions résisteront-elles au temps et à l’inévitabilité de l’erreur humaine et de l’imperfection dans les systèmes de ce genre? Vous devriez penser à des façons de surveiller périodiquement et de corriger les erreurs. Utilisez le risque comme votre guide, mais assurez-vous que quelque chose est en place.

Apprendre encore plus

Ci-dessous nous avons fourni une série de liens vers des conseils utiles couvrant un grand nombre des questions discutées dans cet article de la nature des données de carte, comment PCI s’applique à des technologies spécifiques, comment traiter des données non désirées, ainsi que des suppléments d’informations spécifiques sur la téléphonie et Tiers.

PCI Information Supplements

 

_______________________________________________________________
Devenir PCI Compliant peut être difficile, alors pourquoi ne pas laisser Control Gap vous guider. Nous sommes la plus importante entreprise de conformité PCI dédiée au Canada. Contactez-nous dès aujourd’hui et découvrez comment nous pouvons vous aider: Obtenez une conformité PCI. Rester compatible PCI.
×

Contact

×

PCI Pilot™ sera disponible bientôt!

Notre très attendu outil en ligne sera lancé très bientôt pour accélérer et simplifier le processus de réponse au SAQ.

Inscrivez-vous dès aujourd’hui et soyez parmi les premiers à être informés lorsque PCI Pilot™ sera en ligne!