Call centery obsługujące płatności telefoniczne (MOTO – Mail Order / Telephone Order) stoją przed unikalnym wyzwaniem PCI DSS: agent rozmawia z klientem, który dyktuje swoje dane karty. Jak zapobiec temu, by dane te trafiały do środowiska call center? Technologie DTMF i IVR, w połączeniu z tokenizacją PCI Proxy EU, oferują kompletne rozwiązanie.
Problem: agent słyszy numer karty
W tradycyjnym modelu płatności telefonicznych klient dyktuje numer karty, datę ważności i CVV agentowi, który wprowadza je do systemu. Ten przepływ danych jest problematyczny z perspektywy PCI DSS: system telefonii jest w zakresie PCI DSS, nagrania rozmów mogą zawierać PAN i CVV (co jest zakazane przez Wymaganie 3.3.2 PCI DSS v4.0), agent ma dostęp do pełnych danych karty, ryzyko insider threat jest wysokie.
Rozwiązanie DTMF: klawiatura zamiast głosu
DTMF (Dual-Tone Multi-Frequency) to technologia, która pozwala klientowi wprowadzać cyfry przez klawiaturę telefonu. System PCI Proxy EU przechwytuje sygnały DTMF bezpośrednio z sieci telefonicznej – zanim dotrą do platformy call center. Klient słyszy prośbę o wprowadzenie danych karty, wprowadza cyfry klawiaturą, PCI Proxy EU przechwytuje i tokenizuje PAN, agent słyszy wyłącznie sygnały 'bip', nie cyfry. System call center otrzymuje tylko token – PAN nigdy nie trafia do środowiska call center.
IVR: w pełni automatyczne zbieranie danych karty
IVR (Interactive Voice Response) pozwala na zbieranie danych karty przez automatyczny system głosowy, bez udziału agenta. Klient jest tymczasowo przełączany na ścieżkę IVR podczas rozmowy z agentem, wprowadza dane karty przez klawiaturę, IVR przekazuje dane do PCI Proxy EU, który tokenizuje PAN, klient jest przełączany z powrotem do agenta z tokenem gotowym do użycia. IVR eliminuje agenta całkowicie z przepływu danych karty.
Wyłączenie call center z zakresu PCI DSS
Prawidłowe wdrożenie DTMF/IVR tokenization z PCI Proxy EU pozwala na wyłączenie call center z zakresu PCI DSS. Warunki wyłączenia: żadne dane karty (PAN, CVV, data ważności) nie trafiają do systemów call center, nagrania rozmów nie zawierają danych karty (DTMF jest wyciszany przed nagraniem), agenci mają dostęp wyłącznie do tokenów. Przy spełnieniu tych warunków, call center może kwalifikować się do SAQ B lub SAQ B-IP, zamiast SAQ D.
Wymagania prawne dotyczące nagrywania rozmów z danymi kart
PCI DSS Wymaganie 3.3.2 wyraźnie zabrania nagrywania, przechowywania lub przesyłania danych uwierzytelniających (CVV, PIN) w żadnej formie po autoryzacji. Nawet przed autoryzacją, nagrania zawierające PAN muszą być chronione zgodnie z wymogami przechowywania PAN (Wymaganie 3.4). RODO dodaje dodatkowe ograniczenia: nagrania zawierające dane kart są danymi osobowymi szczególnie wrażliwymi i wymagają ścisłych podstaw prawnych i mechanizmów ochrony. Eliminacja PAN z nagrań przez DTMF/IVR rozwiązuje oba problemy.
Tokenizacja DTMF dla Twojego call center
PCI Proxy EU integruje się z Twoją infrastrukturą telefoniczną i eliminuje PAN z call center. Skontaktuj się z nami.
Porozmawiaj z ekspertem