A call centerek egyike a legnehezebb PCI DSS-megfelelési kihívásoknak: a MOTO (Mail Order/Telephone Order) tranzakciók esetén az ügyfelek kártyaadataikat telefonon közlik, és a hangrögzítő rendszerek ezeket rögzíthetik – ami közvetlen PCI DSS-jogsértést jelent.
A call center PCI DSS-kockázatai
A call centerek PCI DSS szempontból három fő kockázati területtel rendelkeznek: hangrögzítés – ha a hívásrögzítő rendszer rögzíti a kártyaadatokat tartalmazó hívásokat, az SAD (PAN, CVV, lejárati dátum) tárolását jelenti, ami PCI DSS-megsértés; képernyő-rögzítés – ha az ügyfélszolgálati munkatárs képernyőjét rögzítik, és a képernyőn megjelennek a kártyaadatok; "shoulder surfing" – a munkatárs fizikai közelségben lévők láthatják a képernyőn megjelenő kártyaadatokat. Ezek mind PCI DSS 3. követelmény (tárolt kártyaadatok védelme) és 9. követelmény (fizikai hozzáférési kontrollok) kötelezettségeket érintenek.
DTMF-tokenizáció: a call center PCI-megoldása
A DTMF (Dual-Tone Multi-Frequency) tokenizáció az egyetlen technológiai megoldás, amely teljes mértékben megoldja a call center hangrögzítési PCI-problémáját: az ügyfél a telefonbillentyűzetén (keypad) adja meg kártyaadatait – nem szóban mondja el; a DTMF-jelek az IVR (Interactive Voice Response) rendszeren keresztül a PCI Proxy EU-hoz kerülnek; a PCI Proxy EU a DTMF-jeleket tokenizálja; a call center munkatársa csak a tokenizáció eredményét (sikerességét) látja; a hangrögzítő csak a "bip-bip" hangokat rögzíti, amelyekből nem rekonstruálható a kártyaszám; a CRM-rendszerben és a hangrögzítőben kizárólag token tárolódik.
Képernyő-rögzítés és képernyő-maszkolás
Ha a call center képernyő-rögzítést alkalmaz (pl. minőségbiztosítás céljából): a kártyabeviteli felületen az első 6 és utolsó 4 számjegyen kívül minden számjegy maszkolható; a PCI DSS lehetővé teszi a truncated PAN megjelenítését (pl. 4111 **** **** 1234); a kártyabeviteli mezőket PCI-megfelelő módban kell kezelni a CRM-szoftverben (pl. dedicated PCI payment widget).
Call center fizikai biztonsági kontrollok
A call center fizikai biztonsági kontrolljai (PCI DSS 9. követelmény): kártyaadat-kezelő állomások kamerás védelme; a munkatársak képernyőinek elhelyezése (ne legyenek láthatók a nyilvánosság vagy más munkatársak számára, akiknek nincs CDE-hozzáférésük); belépési jogosultság-ellenőrzés a call center területén; papír-alapú kártyaadat-felvétel teljes tilalma.
DTMF-tokenizáció call centereknek
A PCI Proxy EU DTMF-tokenizációja a call centerek hangrögzítési PCI-problémájára nyújt teljes megoldást. Kérjen technikai konzultációt a megvalósítás részleteiről.
Konzultáljon szakértőnkkel