企业呼叫中心处理的支付卡信息(PCI)必须在以下几个关键领域满足 PCI 合规性要求:识别呼叫中心环境中的 账户数据、实施 PCI DSS 合规要求以及是否外包呼叫中心业务。
如果企业选择保留呼叫中心功能,那么在对呼叫中心进行合规性评估或验证时,必须实施并有效运行当前 PCI DSS 的所有适用要求。合规是一个持续的过程, 企业负有对 PCI DSS 安全控制进行持续监控的责任。
本文详细分析了呼叫中心 PCI 合规性的关键方面,并就通过该渠道处理支付卡的公司的关键问题提出了建议。
什么是呼叫中心的支付卡行业数据?
呼叫中心中的支付卡行业数据是指持卡人数据(CHD)和敏感验证数据 (SAD)。可以概括如下:
持卡人数据(CHD) | 敏感验证数据 (SAD) |
|
|
呼叫中心的 PCI 合规要求是什么?
PCI DSS 适用于呼叫中心持卡人数据环境 (CDE) 中包含的或与之相连的所有系统组件。CDE 包括信用卡或支付卡交易中使用的人员、流程和技术。电话环境的复杂程度决定了实施 PCI DSS 的要求。
将全部或部分支付卡交易流程外包给第三方(如平台即服务、基础设施即服务、软件即服务、数据保护即服务或支付网关),可以大大减少 PCI 的范围和要求。
针对呼叫中心的全套 PCI 合规要求如下:
PCI DSS 要求 1:安装并维护防火墙配置,以保护持卡人数据。企业必须建立防火墙和路由器配置标准,以管理其网络和系统。网络连接以及对防火墙和路由器配置的更改必须经过正式的测试和审批流程,然后才能投入生产环境。如果企业管理自己的呼叫中心,则属于此要求的范围。这意味着企业必须
PCI DSS 要求 2:呼叫中心的系统密码和其他安全参数不得使用供应商提供的默认值。
PCI DSS 要求 3:保护存储的持卡人数据。这意味着要对敏感的客户信息进行加密,禁用录音、录屏等记录系统(除非需要),信用卡号码绝不使用明文(即掩码或散列数据)。有助于满足这一要求的其他控制措施包括
PCI DSS 要求 4:通过开放式公共网络加密传输持卡人数据。开放式公共网络(如互联网、无线技术、蜂窝技术、蓝牙)必须使用
注:呼叫中心 PCI 合规性的最佳实践包括实施和执行严格的政策,禁止通过最终用户消息传递技术(如电子邮件、即时消息、短信或聊天)发送未受保护的 PAN。
PCI DSS 要求 5:使用并定期更新整个呼叫中心使用的防病毒软件或程序。具体为
PCI DSS 要求 6:开发并维护呼叫中心的安全系统和应用程序:
PCI DSS 要求 7:根据业务需要限制对持卡人数据的访问。例如,客服代表和管理人员只能查看其工作所需的最低限度的账户数据。
PCI DSS 要求 8:为每个有计算机访问权限的人分配一个唯一的 ID。
PCI DSS 要求 9:限制对呼叫中心持卡人数据的物理访问:
注:"敏感区域 "是指任何数据中心、服务器机房或存放存储、处理或传输持卡人数据的系统的区域。
PCI DSS 要求 10:通过对所有 CDE 系统组件实施审计跟踪,跟踪和监控对网络资源和持卡人数据的所有访问,以重建,例如:
PCI DSS 要求 11:定期测试安全系统和流程,即
PCI DSS 要求 12:维护涉及所有人员信息安全的政策。
呼叫中心的主要风险因素
人员、流程和技术是呼叫中心的三个主要风险领域。
人员
人是信用卡数据安全的最大风险所在,无论是有意还是无意的泄露。在呼叫中心内创建并维护一种安全文化。应制定政策保护信用卡数据免遭未经授权的查看、复制或扫描。
流程
公司必须保护支付卡和敏感验证数据。即使采用了加密技术,也决不能在授权后存储敏感的验证数据。无论电话环境多么复杂,禁止记录敏感验证数据都是最佳做法。
技术
确保所有人员(内部人员、远程人员、承包商)都知道,严禁未经授权复制、共享或存储支付卡数据。有效监控通过电话进行银行卡支付的内部和远程工作人员至关重要。实施强有力的逻辑访问控制,如
如果账户数据是由呼叫中心座席人员手动输入的,则技术应屏蔽PAN;
只有具有合法业务理由的人员才能看到PAN。
降低 CHD 和 SAD 相关风险的其他控制措施包括
其他风险
如何缩小呼叫中心的 PCI 范围
DTMF
DTMF 是按下电话键盘上的按钮时听到的声音。当客户拨打电话并通过按键输入卡号时,每个数字键都会发出不同的音调或频率,这使得受过培训的人员很容易从生成的音调中识别出号码。DTMF 抑制以随机或固定的音调取代这些音调,从而消除或掩盖这些音调。
注:为进一步缩小范围和减少 PCI 义务,企业应考虑使用可防止在呼叫中心记录持卡人数据的技术。
网络分段
适当的网络分段可将存储、处理或传输持卡人数据的系统与不存储、处理或传输持卡人数据的系统隔离开来。有多种方法可以实现网络分段:
注:即使为缩小 PCI DSS 范围而对 CDE 进行了分段,企业的渗透测试活动(根据 PCI DSS 要求 11.3)也必须包括对分段控制的测试,以验证它们的操作性和有效性。
网络电话(VoIP)
与其他包含支付卡账户数据的 IP 网络流量一样,包含支付卡账户数据的 VoIP 流量也属于适用的 PCI DSS 控制范围。
注意:从外部源发送到电话环境的 VoIP 传输,在流量到达企业的基础设施之前,不属于实体的 PCI DSS 范围。
在实施和使用 VoIP 时,有三种情况需要考虑:
点对点加密 P2PE
点对点加密 (P2PE) 可大大减少技术、流程和人员的范围。支付卡数据一经客服代表接收就会被加密,加密后的数据会传输到支付服务商,后者会使用安全密钥对数据进行解密。使用 P2PE 有助于确保企业永远不会接触到银行卡数据。
安全的支付网关
支付网关是一种前端机制,可实时收集、传输和授权客户信息到企业的银行,并在银行处理交易。支付卡交易经过加密后提交给安全的银行网络进行授权结算。
使用支付网关可以大大减轻 PCI 合规性的负担,因为 PCI 合规性的责任在于支付网关。
支付网关的例子有 PayPal、Apple Pay 和 Google Pay 等。对于没有网络和系统基础设施或预算来执行支付交易生命周期的小型企业来说,这些网关可能是理想之选。
外包缩小呼叫中心的 PCI 范围
外包呼叫中心功能可以大大缩小企业的 PCI DSS 范围。第三方提供商管理支付卡交易的生命周期:处理、传输或存储。供应商管理路由器、防火墙、数据库、物理安全和服务器等组件。这就意味着,使用第三方提供商的企业可以卸下满足 PCI 合规性要求的重担。
但是,在外包呼叫中心功能时,企业仍有责任识别和了解服务提供商 PCI DSS 评估范围中包含的服务和系统组件。双方必须明确界定并理解各自的责任。
有效实现呼叫中心 PCI 合规性的其他策略
PCI DSS 第 12 项要求涉及人员培训,并规定了实施步骤。在高层次上,企业呼叫中心应
呼叫中心在支持企业客户群方面发挥着重要作用。要使企业的呼叫中心符合 PCI 规范,就必须执行全部 12 项要求。实施网络分段、数据屏蔽、DTMF 技术以及强有力的可执行政策可以加强企业的安全态势,从而减少企业 PCI 合规性的范围和成本。