PCI Proxy für Callcenter und MOTO
PCI-Compliance für Callcenter und MOTO-Zahlungen ohne Klartext-PANs: DTMF-Masking, sicheres IVR und DTMF-Tokenisierung, die Agents außerhalb der Karteninhaberdaten-Umgebung hält – konform mit den für den Telefonkanal geltenden PCI-DSS-Anforderungen.
Agent in einem Live-Anruf
Der Kunde ist in der Leitung. Ihr Agent bearbeitet die Bestellung – noch keine Kartendaten.
Anruf aufgezeichnet – Kartentöne später maskiert
Kunde verwendet die Tastatur
Er gibt Kartendigits auf seinem Telefon ein. Wir fangen die DTMF-Töne ab, bevor sie den Agenten erreichen.
PCI Proxy DTMF abgefangen Token im CRM gespeichert
Ihre Systeme speichern nur den Token. Der Agent sieht und hört die Kartennummer nie.
MOTO-Zahlungsablauf mit PCI Proxy
Mail Order / Telephone Order (MOTO)-Transaktionen stellen eine besondere PCI-Herausforderung dar: Kartendaten werden laut ausgesprochen, von Agents eingegeben und möglicherweise in Anrufaufzeichnungen erfasst. PCI Proxy eliminiert jeden dieser Risikofaktoren.
Kunde ruft an
Der Kunde ruft Ihr Callcenter an, um eine Bestellung aufzugeben oder eine Zahlung durchzuführen
Agent übergibt
Agent klickt „Karte erfassen", der Anruf wird über das sichere IVR von PCI Proxy geleitet
DTMF-Erfassung
Kunde gibt Ziffern über die Tastatur ein. DTMF-Töne werden maskiert – der Agent hört gleichmäßige Töne
Tokenisiert
PCI Proxy tokenisiert die PAN und gibt einen Token an den Bildschirm des Agents zurück
Zahlung verarbeitet
Agent bestätigt die Bestellung und der Token wird zur Zahlung an Ihren PSP weitergeleitet
Agents sehen
nie die
Kartennummer
0
Berührungspunkte des Agents mit der rohen PAN
DTMF-Masking und sicheres IVR arbeiten zusammen, um vollständige Kartendatenisolierung zu gewährleisten.
Das Grundprinzip von PCI Proxy für Callcenter ist einfach: Zu keinem Zeitpunkt sieht, hört oder hat ein menschlicher Agent Zugang zur vollständigen PAN. Zwei Technologien arbeiten zusammen, um dies zu erreichen.
DTMF-Masking
Wenn der Kunde seine Kartennummer über die Telefontastatur eingibt, fängt PCI Proxy die DTMF-Töne in Echtzeit ab. Die eigentlichen Ziffern werden erfasst und an die Tokenisierungs-Engine gesendet, während der Audio-Stream des Agents flache, gleichmäßige Töne erhält. Auch die Anrufaufzeichnung erfasst nur die maskierten Töne.
Sicheres IVR
Für Umgebungen, in denen DTMF nicht praktikabel ist (VoIP-Qualitätsprobleme, Kundenpräferenz), bietet PCI Proxy ein sicheres IVR-Modul. Der Anruf wird kurz zu einer automatisierten Sprachansage weitergeleitet. Das IVR-Segment wird vollständig aus der Aufzeichnung ausgeschlossen.
Compliance der Anrufaufzeichnung
Vorschriften und PCI DSS verlangen, dass Kartendaten niemals in Anrufaufzeichnungen gespeichert werden. PCI Proxy bietet zwei Ansätze je nach Ihrer Telefonieanlage.
Pause und Fortsetzen
Der klassische Ansatz: Wenn der Agent die Kartenerfassung auslöst, wird die Aufzeichnung pausiert. Nachdem die PAN tokenisiert wurde, wird die Aufzeichnung fortgesetzt. Funktioniert mit jeder Plattform, erfordert aber einen Integrationspunkt mit dem Recorder.
PCI Proxy bietet vorgefertigte Integrationen für Verint, NICE und Genesys Cloud. Für benutzerdefinierte Konfigurationen pausiert und setzt ein einfacher REST-API-Aufruf den Recorder programmatisch fort.
Proxy-Ansatz (Kontinuierliche Aufzeichnung)
Mit DTMF-Masking muss die Aufzeichnung nie pausiert werden. Der Anruf wird kontinuierlich aufgezeichnet, aber der Audio-Stream, der den Recorder erreicht, hat bereits DTMF-Töne durch flaches Audio ersetzt. Die Aufzeichnung ist standardmäßig PCI-konform.
Der ideale Ansatz für Organisationen, die ununterbrochene Aufzeichnungen für Qualitätssicherung, regulatorische Compliance (MiFID II, FCA) oder Streitbeilegung benötigen. Keine Lücken, kein fehlender Kontext und kein PCI-Risiko.
PCI DSS SAQ A-EP für Callcenter
Ohne PCI Proxy muss ein Callcenter, das Kartenzahlungen akzeptiert, in der Regel SAQ D ausfüllen – den umfassendsten PCI-Fragebogen mit über 300 Anforderungen zu Netzwerksegmentierung, Zugangskontrollen, Log-Überwachung, Schwachstellenmanagement und vielem mehr.
Wenn PCI Proxy alle Kartendatenerfassungen und -speicherungen übernimmt, qualifiziert sich Ihr Callcenter für SAQ A-EP. Dieser Fragebogen hat ca. 140 Anforderungen – weniger als die Hälfte von SAQ D – und entfällt die Notwendigkeit interner Netzwerksegmentierung rund um Agenten-Arbeitsplätze.
Für ein Callcenter mit 200 Plätzen entspricht dies typischerweise jährlichen Einsparungen von 80.000–150.000 € bei QSA-Gebühren, Penetrationstests, Sicherheitswerkzeugen und Mitarbeiterschulungen.
Ohne PCI Proxy
SAQ D
300+ Anf.
120.000–250.000 €/Jahr
Mit PCI Proxy
SAQ A-EP
~140 Anf.
30.000–60.000 €/Jahr
60–75%
Durchschnittliche Reduzierung der Compliance-Kosten
Typischer ROI innerhalb des ersten Quartals
Funktioniert mit Ihren bestehenden Systemen
PCI Proxy integriert sich auf SIP-Trunk-Ebene und sitzt zwischen Ihrem Telefonanbieter und der Contact-Center-Plattform. Keine Änderungen an Agenten-Desktops, keine neue Hardware und keine Unterbrechung bestehender Workflows.
Genesys Cloud
Native Integration mit AudioHook und Recording-APIs. Vollständige Unterstützung für Pause-Fortsetzen-Abläufe und DTMF-Masking.
Amazon Connect
Lambda-basierte Integration mit Contact-Flow-Unterstützung. PCI Proxy als Lambda-Funktion in Ihrer AWS-Umgebung einsetzen.
Cisco UCCE
SIP-Trunk-Integration mit CVP und Finesse Desktop. Kompatibel mit bestehenden Cisco-Agenten-Workflows.
Jede SIP-Plattform
Generische SIP-Trunk-Integration für Avaya, Asterisk, FreeSWITCH usw. Wenn es SIP spricht, kann PCI Proxy es als Proxy verwenden.
Sichern Sie Ihre Callcenter-Zahlungen
Entdecken Sie, wie die PCI-Proxy-Tokenisierung funktioniert, oder erfahren Sie, wie Händler und Entwickler integrieren.