A MOTO (Mail Order/Telephone Order) a kártyás fizetések azon kategóriája, amelyben az ügyfél fizikailag nincs jelen – a megrendelés és a fizetés postán vagy telefonon történik. A MOTO fizetéseket kezelő call centerek számára a PCI DSS különleges követelményeket támaszt a kártyaadatok telefonos környezetben való védelmére vonatkozóan. Ez az útmutató ismerteti a konkrét kötelezettségeket és megoldásokat.
Mi a MOTO és miben különbözik az e-kereskedelemtől?
A MOTO (Mail Order/Telephone Order) olyan tranzakciók összessége, amelyekben a kártyaadatokat telefonon vagy postán adják meg. Az e-kereskedelemmel ellentétben, ahol az ügyfél maga adja meg kártyaadatait interneten, a MOTO esetén az ügyfélszolgálati ügynök közvetítőként lép fel az ügyfél és a fizetési rendszer között. Ez a különbség specifikus biztonsági kockázatot teremt: az ügynök hozzáfér az ügyfél kártyaadataihoz, ami insider-threat kockázatot és hangrögzítési problémákat generál.
PCI DSS hatókör MOTO-környezetekben
A MOTO-környezet az e-kereskedelemhez hasonlóan a PCI DSS hatókörébe kerül. A CDE komponensei a MOTO call centerben: kártyaadatokat tartalmazó hangot továbbító telefonrendszerek (PBX, VoIP), hangrögzítő rendszerek (ha rögzítik a kártyaadatokat), ügynökök munkaállomásai, amelyeken a kártyaadatokat beviszik, az ezeket a komponenseket összekötő hálózatok. Mindegyik komponens PCI DSS-kontrollt igényel. Hagyományos modell esetén a teljes call center-környezet bekerülhet a CDE hatókörébe.
SAD-adatok rögzítésének tilalma: 3.3.2. követelmény
A PCI DSS 3.3.2. követelménye megtiltja az érzékeny hitelesítési adatok (SAD) engedélyezés utáni tárolását – beleértve a hangrögzítő rendszerekben való rögzítésüket is. A CVV/CVC, ha az ügyfél kimondja a felvétel során, PCI DSS-megsértést jelent. A SAD-adatok rögzítésekből való eltávolítása kötelező. Megoldások: a rögzítés szüneteltetése a kártyaadatok megadásakor (nem optimális: az ügynök manuális beavatkozását igényli és hiányokat okoz a felvételekben), DTMF tokenizáció: a billentyűzeten beírt számjegyek eltávolításra kerülnek a hangfolyamból a rögzítés előtt.
DTMF tokenizáció megvalósítása a PCI Proxy EU-val
A DTMF tokenizáció megvalósítása a telefonrendszer PCI Proxy EU-val való integrálását igényli. A folyamat: az ügyfél felhívja a call centert, az ügynök elindítja a fizetési folyamatot, a telefonrendszer DTMF-gyűjtési módba kapcsolja az ügyfelet, az ügyfél a billentyűzetén adja meg a kártyaadatokat, a PCI Proxy EU elfogja és tokenizálja a PAN-t a DTMF-folyamból, elnémítja a számjegyeket (hogy az ügynök és a felvétel ne hallhassa az adatokat), átadja a tokent a call center rendszerének, az ügyfél visszakerül az ügynökkel való beszélgetésbe. Az egész folyamat 30–60 másodpercet vesz igénybe, és az ügyfél számára átlátható.
SAQ MOTO-környezetekben: melyik kérdőívet válassza?
A megfelelő SAQ MOTO-környezetekben az alkalmazott technológiától függ: SAQ B: lenyomattermékek (fizikai kártyák) vagy önálló terminál MOTO esetén – nem internetre kapcsolt virtuális termináloknál. SAQ B-IP: IP-hálózaton csatlakoztatott PCI-PTS eszközöket használó MOTO-kereskedők számára. SAQ C-VT: dedikált számítógépen böngészőn keresztül virtuális terminált használó MOTO-kereskedők számára. SAQ D: a call center rendszerein keresztül közvetlen PAN-feldolgozást végző környezetek esetén. A DTMF tokenizáció PCI Proxy EU-val alacsonyabb SAQ-ra való jogosultságot eredményezhet.
DTMF tokenizáció bevezetése call centerébe
A PCI Proxy EU integrálódik telefonos infrastruktúrájával, és eliminálja a kártyaadatokat a call centerből. Lépjen kapcsolatba velünk.
Konzultáljon szakértőnkkel