MOTO-Zahlungen (Mail Order / Telephone Order) stellen eines der komplexesten Compliance-Szenarien für PCI DSS dar. Wenn ein Callcenter-Agent die Kartendaten eines Kunden verbal entgegennimmt, wird das gesamte Callcenter – Arbeitsplätze, Aufzeichnungssysteme, Telefoninfrastruktur – zur CDE. Die Pflichten sind erheblich. Es gibt jedoch etablierte technische Lösungen – insbesondere DTMF-Tokenisierung – die das Callcenter vollständig aus dem PCI-Scope entfernen.
Was sind MOTO-Zahlungen und warum sind sie ein PCI-Problem
MOTO steht für Mail Order / Telephone Order: Transaktionen, bei denen Kartendaten außerhalb eines physischen Terminals über Briefpost oder Telefon mitgeteilt werden. Im Callcenter-Kontext ist MOTO jedes Mal, wenn ein Agent eine Kartennummer, ein Ablaufdatum und ein CVV von einem Kunden entgegennimmt, um eine Zahlung zu verarbeiten. Dies ist ein „Card Not Present"-Transaktionstyp mit erhöhtem Betrugsrisiko und strengeren PCI-Anforderungen.
Das PCI-Problem entsteht durch die unmittelbare Exposition des Agenten gegenüber sensiblen Kartendaten. Wenn der Agent die PAN hört, sieht und in sein System eingibt, fällt alles, was er berührt, in die CDE: sein Arbeitsplatz-Computer, das CRM-System, das Anrufaufzeichnungssystem (das die PAN im Audio erfasst hat) und alle Netzwerkinfrastrukturkomponenten, durch die diese Daten fließen. PCI DSS legt dann umfangreiche Pflichten für all diese Systeme fest.
DTMF-Tokenisierung: das Callcenter aus dem PCI-Scope entfernen
Die effektivste Lösung zur Verwaltung von PCI-DSS-Compliance für MOTO-Zahlungen ist DTMF-Tokenisierung. Anstatt dem Agenten die Kartennummer verbal mitzuteilen, wird der Anruf kurz an ein sicheres System übertragen, das den Kunden bittet, die Kartenziffern über die Telefontastatur einzugeben. Die DTMF-Töne (die durch Drücken der Tasten erzeugt werden) werden direkt von der PCI-DSS-zertifizierten Infrastruktur von PCI Proxy EU erfasst, ohne jemals durch das Audio zu passieren, das der Agent hört.
Die PAN wird vom PCI Proxy EU Vault tokenisiert und nur ein Token an das CRM-System des Agenten zurückgegeben. Der Agent sieht nie die echte Kartennummer: Er sieht nur eine Bestätigung, dass die Zahlung sicher erfasst wurde, und den Token, den er für die Auftragsverarbeitung verwenden kann. Das Callcenter tritt aus dem PCI-Scope aus: keine Compliance-Pflichten für Agentenarbeitsplätze, keine PAN in Anrufaufzeichnungen, keine umfangreichen physischen Sicherheitsprotokolle.
Welches SAQ gilt für MOTO-Callcenter?
Das SAQ, das auf ein MOTO-Callcenter angewendet wird, hängt davon ab, wie Kartendaten verarbeitet werden. Wenn Agenten PANs hören und in ein System eingeben, gilt typischerweise SAQ C oder SAQ D, mit Dutzenden von Anforderungen für physische Sicherheit, Zugangskontrolle und Netzwerkverwaltung. Wenn DTMF-Tokenisierung implementiert ist und Agenten niemals Zugang zu PANs haben, kann das Callcenter für SAQ B-IP (für DTMF-Lösungen) oder in einigen Architekturen für einfachere SAQs qualifizieren.
Der Acquirer ist der richtige Ansprechpartner zur Bestimmung des korrekten SAQ basierend auf der spezifischen Architektur. Es ist wichtig, den spezifischen Zahlungsfluss, die verwendete DTMF-Lösung und deren Zertifizierungsstatus mit dem Acquirer zu teilen, um sicherzustellen, dass das ausgewählte SAQ korrekt ist und die tatsächliche Compliance-Exposition widerspiegelt.
Häufig gestellte Fragen
Was ist der Unterschied zwischen MOTO und regulären Telefonzahlungen?
„MOTO" ist eine spezifische Transaktionskategorie, die von Kartennetzwerken erkannt wird: Sie zeigt an, dass der Karteninhaber nicht physisch anwesend war und die Karte nicht im Terminal eingeführt oder kontaktlos gelesen wurde. Alle Telefonzahlungen, bei denen ein Agent Kartendaten entgegennimmt, sind MOTO. Diese Klassifizierung beeinflusst die Gebühren (MOTO hat typischerweise höhere Interchange-Gebühren) und die Pflichten (keine Chip-und-PIN-Verifikation, strengere Regeln für Aufzeichnung und Dokumentation).
Müssen wir Anrufaufzeichnungen löschen, die PANs enthalten?
Wenn bestehende Aufzeichnungen PANs enthalten, stellt dies einen PCI-DSS-Verstoß dar. PCI DSS verbietet ausdrücklich das Speichern sensibler Authentifizierungsdaten nach der Autorisierung, einschließlich PANs in Audioform. Die Korrekturmaßnahme erfordert die Identifizierung und sichere Vernichtung dieser Aufzeichnungen gemäß einem dokumentierten Datenlöschverfahren. Für die Zukunft eliminiert DTMF-Tokenisierung das Problem vollständig: Die PAN ist nie im Audio.
Wie beeinflusst DTMF die Kundenerfahrung?
Die Kundenerfahrung mit DTMF ist in der Regel akzeptabel, wenn die Lösung korrekt implementiert ist. Der Agent führt den Kunden durch den Schritt, bei dem er gebeten wird, die Karte über die Tastatur einzugeben, und der Agent bleibt während des gesamten Prozesses aktiv im Gespräch (hört keine Töne, kann aber sehen, ob die Eingabe erfolgreich war). Für technisch weniger versierten Kunden ist eine kurze, klare Erklärung des Agenten ausreichend. Gut konzipierte DTMF-Systeme haben einen Timeout-Mechanismus und ermöglichen einen einfachen Rückgriff, wenn der Kunde Schwierigkeiten hat.
Verwalten Sie MOTO-Zahlungen ohne PCI-Risiko für das Callcenter? Entdecken Sie PCI Proxy EU DTMF.