企业呼叫中心处理的支付卡信息(PCI)必须在以下几个关键领域满足 PCI 合规性要求:识别呼叫中心环境中的 账户数据、实施 PCI DSS 合规要求以及是否外包呼叫中心业务。

如果企业选择保留呼叫中心功能,那么在对呼叫中心进行合规性评估或验证时,必须实施并有效运行当前 PCI DSS 的所有适用要求。合规是一个持续的过程, 企业负有对 PCI DSS 安全控制进行持续监控的责任。

本文详细分析了呼叫中心 PCI 合规性的关键方面,并就通过该渠道处理支付卡的公司的关键问题提出了建议。

什么是呼叫中心的支付卡行业数据?

呼叫中心中的支付卡行业数据是指持卡人数据(CHD)和敏感验证数据 (SAD)。可以概括如下:

持卡人数据(CHD)

敏感验证数据 (SAD)

  • 卡号
  • 持卡人姓名
  • 过期年月
  • 服务码
  • 全磁道数据 (磁道、芯片)
  • 卡验证码 (CAV2/CVC2/CVV2/CID/CVN)
  • PINs/PIN block 

呼叫中心的 PCI 合规要求是什么?

PCI DSS 适用于呼叫中心持卡人数据环境 (CDE) 中包含的或与之相连的所有系统组件。CDE 包括信用卡或支付卡交易中使用的人员、流程和技术。电话环境的复杂程度决定了实施 PCI DSS 的要求。

将全部或部分支付卡交易流程外包给第三方(如平台即服务、基础设施即服务、软件即服务、数据保护即服务或支付网关),可以大大减少 PCI 的范围和要求。

针对呼叫中心的全套 PCI 合规要求如下:

PCI DSS 要求 1:安装并维护防火墙配置,以保护持卡人数据。企业必须建立防火墙和路由器配置标准,以管理其网络和系统。网络连接以及对防火墙和路由器配置的更改必须经过正式的测试和审批流程,然后才能投入生产环境。如果企业管理自己的呼叫中心,则属于此要求的范围。这意味着企业必须

绘制网络图(如果尚未绘制),标明 CDE 与其他公司网络(包括无线网络)之间的所有连接;
绘制(如果尚未绘制)显示网络和系统中所有持卡人数据流的图表;
在每个互联网连接处以及任何非军事区和内部网络区之间安装防火墙;
将进出流量限制在 CDE 所需的范围内,拒绝所有其他流量;
不允许从 CDE 向互联网传输未经授权的出站流量。
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.

PCI DSS 要求 2:呼叫中心的系统密码和其他安全参数不得使用供应商提供的默认值。

在呼叫中心网络上安装系统之前,一定要更改供应商提供的默认设置,并只保留必要的默认账户(如系统管理员账户);
加密所有非控制台管理访问;
实施一项政策,解决供应商默认值和其他安全参数的管理问题--确保所有受影响的人员都阅读并认可该政策;
删除不必要的脚本、驱动程序、功能、文件系统和网络服务器。
  • 1.
  • 2.
  • 3.
  • 4.

PCI DSS 要求 3:保护存储的持卡人数据。这意味着要对敏感的客户信息进行加密,禁用录音、录屏等记录系统(除非需要),信用卡号码绝不使用明文(即掩码或散列数据)。有助于满足这一要求的其他控制措施包括

只保留业务需要的最低限度的必要内容;
确保采取控制措施,使数据无法读取和访问;
只有具有合法业务需求的人员才能访问数据;
不再需要存储的数据时立即删除(正式的数据保留政策);
授权后不得存储 SAD(即使已加密);
授权程序完成后,所有数据都将无法恢复。
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.

PCI DSS 要求 4:通过开放式公共网络加密传输持卡人数据。开放式公共网络(如互联网、无线技术、蜂窝技术、蓝牙)必须使用

强大的加密技术;
可信的密钥和证书;
管理加密的流程已记录在案,并为所有人员所了解。
  • 1.
  • 2.
  • 3.

注:呼叫中心 PCI 合规性的最佳实践包括实施和执行严格的政策,禁止通过最终用户消息传递技术(如电子邮件、即时消息、短信或聊天)发送未受保护的 PAN。

PCI DSS 要求 5:使用并定期更新整个呼叫中心使用的防病毒软件或程序。具体为

识别通常受恶意软件影响的系统;
为这些系统部署防病毒软件; 
对于受影响较小的系统,针对当前的恶意软件威胁对系统进行定期审查,以确保安装防病毒软件; 
不断更新软件。
  • 1.
  • 2.
  • 3.
  • 4.

PCI DSS 要求 6:开发并维护呼叫中心的安全系统和应用程序:

建立正式流程,识别呼叫中心内的安全漏洞;
确保在应用程序上线前测试并安装所有供应商提供的安全补丁; 
作为上线程序的一部分,删除开发或测试账户、用户 ID 和密码; 
建立正式的变更流程并记录所有变更。
  • 1.
  • 2.
  • 3.
  • 4.

PCI DSS 要求 7:根据业务需要限制对持卡人数据的访问。例如,客服代表和管理人员只能查看其工作所需的最低限度的账户数据。

确定每个角色的访问需求,并确保包括以下内容:
每个角色履行工作职能所需的系统组件和数据资源;
访问数据资源所需的权限级别(如用户、管理员)。
限制只有履行工作职责所需的用户才能访问特权用户 ID;
根据个人的工作分类和职能进行访问;
将默认系统和网络设置配置为 "全部拒绝"。
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.

PCI DSS 要求 8:为每个有计算机访问权限的人分配一个唯一的 ID。

逻辑访问系统不应允许创建重复的用户 ID;
必须对访问呼叫中心环境的人员进行控制,最好采用基于角色的安全措施;
立即撤销被终止用户的访问权限;
在 90 天内删除或禁用不活动的用户账户;
通过锁定六次以上尝试的用户 ID 来限制重复访问尝试;
要求用户在闲置 15 分钟后重新认证终端会话。
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.

PCI DSS 要求 9:限制对呼叫中心持卡人数据的物理访问:

限制并监控对服务器机房、数据中心和入口走廊的物理访问;
确保敏感区域的所有出入口都受到控制和监控
安装门卡或生物识别扫描技术; 
访客应由适当的公司代表批准,并在提供照片身份证明后方可进入; 
来访者由适当的公司人员陪同;
安装摄像机和门禁控制机制,监控个人对敏感区域的实际进出。
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.

注:"敏感区域 "是指任何数据中心、服务器机房或存放存储、处理或传输持卡人数据的系统的区域。

PCI DSS 要求 10:通过对所有 CDE 系统组件实施审计跟踪,跟踪和监控对网络资源和持卡人数据的所有访问,以重建,例如:

访问持卡人数据的所有个人用户; 
任何个人利用根权限或管理权限采取的所有行动; 
无效的逻辑访问尝试;
新账户的创建和创建者;
更改、添加或删除具有根权限或管理权限的账户的高级权限;以及 
系统级对象的创建和删除。
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.

PCI DSS 要求 11:定期测试安全系统和流程,即

执行渗透测试;
确保入侵检测和防御工具到位;以及
定期扫描漏洞并保存所有扫描日志。
  • 1.
  • 2.
  • 3.

PCI DSS 要求 12:维护涉及所有人员信息安全的政策。

制定、维护并传达安全政策;
至少每年审查一次安全政策;
在 CDE 环境发生变化时更新安全政策;
制定使用政策,规定技术的正确使用。
  • 1.
  • 2.
  • 3.
  • 4.

呼叫中心的主要风险因素

人员、流程和技术是呼叫中心的三个主要风险领域。

人员

人是信用卡数据安全的最大风险所在,无论是有意还是无意的泄露。在呼叫中心内创建并维护一种安全文化。应制定政策保护信用卡数据免遭未经授权的查看、复制或扫描。

不允许在呼叫中心内的工作站使用纸和笔或手机。
  • 1.

流程

公司必须保护支付卡和敏感验证数据。即使采用了加密技术,也决不能在授权后存储敏感的验证数据。无论电话环境多么复杂,禁止记录敏感验证数据都是最佳做法。

技术

确保所有人员(内部人员、远程人员、承包商)都知道,严禁未经授权复制、共享或存储支付卡数据。有效监控通过电话进行银行卡支付的内部和远程工作人员至关重要。实施强有力的逻辑访问控制,如

在连接到电话环境或任何处理账户数据的系统时进行多因素身份验证;
限制对包含支付卡数据的介质(如通话或屏幕录音、USB 驱动器、禁用 USB 驱动器)的物理访问;
只允许经授权的人员进入有电话设备和代理桌面的业务区域;
为工作人员实施程序,以便他们能够识别访客;
适当人员必须陪同所有来访者; 
实施政策,要求远程工作人员确保桌面和其他电话的安全;以及
将物理安全的重要性作为年度安全意识培训的一部分。
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.

如果账户数据是由呼叫中心座席人员手动输入的,则技术应屏蔽PAN;

只有具有合法业务理由的人员才能看到PAN。

降低 CHD 和 SAD 相关风险的其他控制措施包括

要求只使用公司批准和发放的硬件设备;
将呼叫中心划分为单独的物理区域;
确保所有台式机都安装了防火墙;
确保防病毒软件和安全补丁是最新的;
禁止在工作站使用纸笔;以及
禁止在工作站使用个人移动设备。
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.

其他风险

网络电话网络和数据网络缺乏隔离;
通话录音功能;
付款卡授权后未立即删除录音电话; 
工作站不够安全;
人员可以访问外部网站;
人员可以从网上下载文件(如图片、文档、可执行文件),所有这些文件都可能被破坏,并为攻击者提供进入网络的途径;
呼叫中心人员流动频繁,导致共享账户;
缺乏明确界定的程序和政策;以及
主要帐号一目了然,即未截断或散列。
  • 1.
  • 2.
  • 3.
  • 4.
  • 5.
  • 6.
  • 7.
  • 8.
  • 9.

如何缩小呼叫中心的 PCI 范围

DTMF

DTMF 是按下电话键盘上的按钮时听到的声音。当客户拨打电话并通过按键输入卡号时,每个数字键都会发出不同的音调或频率,这使得受过培训的人员很容易从生成的音调中识别出号码。DTMF 抑制以随机或固定的音调取代这些音调,从而消除或掩盖这些音调。

注:为进一步缩小范围和减少 PCI 义务,企业应考虑使用可防止在呼叫中心记录持卡人数据的技术。

网络分段

适当的网络分段可将存储、处理或传输持卡人数据的系统与不存储、处理或传输持卡人数据的系统隔离开来。有多种方法可以实现网络分段:

在 CDE 和业务网络之间安装适当配置的内部网络防火墙;
具有强大访问控制列表的路由器;以及 
其他技术限制对特定网段的访问。
  • 1.
  • 2.
  • 3.

注:即使为缩小 PCI DSS 范围而对 CDE 进行了分段,企业的渗透测试活动(根据 PCI DSS 要求 11.3)也必须包括对分段控制的测试,以验证它们的操作性和有效性。

网络电话(VoIP)

与其他包含支付卡账户数据的 IP 网络流量一样,包含支付卡账户数据的 VoIP 流量也属于适用的 PCI DSS 控制范围。

注意:从外部源发送到电话环境的 VoIP 传输,在流量到达企业的基础设施之前,不属于实体的 PCI DSS 范围。

在实施和使用 VoIP 时,有三种情况需要考虑:

内部传输: 包含支付卡账户数据的 VoIP 流量在企业网络内部存储、处理或传输时,都属于适用的 PCI DSS 控制范围。
向其他企业实体的外部传输(企业对企业): 如果 VoIP 被用于将支付卡账户数据传输给其他企业(如服务提供商或支付处理商),则用于这些传输的业务系统和网络属于适用范围。
与持卡人之间的外部传输: 如果 VoIP 用于在持卡人和呼叫中心之间传输支付卡账户数据,则这些传输所使用的系统和网络都在范围之内。
  • 1.
  • 2.
  • 3.

点对点加密 P2PE

点对点加密 (P2PE) 可大大减少技术、流程和人员的范围。支付卡数据一经客服代表接收就会被加密,加密后的数据会传输到支付服务商,后者会使用安全密钥对数据进行解密。使用 P2PE 有助于确保企业永远不会接触到银行卡数据。

安全的支付网关

支付网关是一种前端机制,可实时收集、传输和授权客户信息到企业的银行,并在银行处理交易。支付卡交易经过加密后提交给安全的银行网络进行授权结算。

使用支付网关可以大大减轻 PCI 合规性的负担,因为 PCI 合规性的责任在于支付网关。

支付网关的例子有 PayPal、Apple Pay 和 Google Pay 等。对于没有网络和系统基础设施或预算来执行支付交易生命周期的小型企业来说,这些网关可能是理想之选。

外包缩小呼叫中心的 PCI 范围

外包呼叫中心功能可以大大缩小企业的 PCI DSS 范围。第三方提供商管理支付卡交易的生命周期:处理、传输或存储。供应商管理路由器、防火墙、数据库、物理安全和服务器等组件。这就意味着,使用第三方提供商的企业可以卸下满足 PCI 合规性要求的重担。

但是,在外包呼叫中心功能时,企业仍有责任识别和了解服务提供商 PCI DSS 评估范围中包含的服务和系统组件。双方必须明确界定并理解各自的责任。

有效实现呼叫中心 PCI 合规性的其他策略

PCI DSS 第 12 项要求涉及人员培训,并规定了实施步骤。在高层次上,企业呼叫中心应

要求对所有新员工进行安全培训,并对所有人员进行年度培训;
如果资源允许,在座席人员的桌面上弹出有关安全的窗口--他们必须接受才能继续当天的工作;
一开始就对所有 CHD 和 SAD 进行加密,这样就不会以明文形式暴露任何数据;
禁用所有 USB 端口和光盘驱动器。
  • 1.
  • 2.
  • 3.
  • 4.

呼叫中心在支持企业客户群方面发挥着重要作用。要使企业的呼叫中心符合 PCI 规范,就必须执行全部 12 项要求。实施网络分段、数据屏蔽、DTMF 技术以及强有力的可执行政策可以加强企业的安全态势,从而减少企业 PCI 合规性的范围和成本。