似乎我们似乎是数据安全已成为大量组织的事后的观点。它已经成为几乎是常规的消息,可以了解一个新的数据违规,其中一些名字会非常让您感到惊讶。刚刚在2018年,组织包括梅西奇’S,Adidas,Delta,Panera Bread,甚至亚马逊报告了客户数据已被违反。

无论您的业务规模还是业内服务,安全就是当前数字气候中的绝对必不可少的。不幸的是,恶意演员在那里,不断开发捕获和销售客户数据的新方法。

当然,这导致这些客户的大规模辐射,以及组织也遭到破坏。缺乏信任,潜在的财务后果不一定是比投资适当保护您的组织更好的选择’s data.

当涉及联系中心或通过电话或通过电话付款付款的任何业务 企业VoIP.,组织应绝对确保其流程,应用程序,数据和软件符合全局PCI安全标准。

什么是PCI安全标准合规性?

虽然PCI安全标准未通过任何官方法律或法规设置在石头中 PCI安全标准委员会 (PCI SSC)已成为一个“global forum”为了促进经费支付账户安全的开发,提升和传播商定的安全标准—最初由美国运通,探索金融服务,JCB国际,万事达卡和Visa Inc.。

PCI SSC是全球范围,行业宽阔的安全理事会。这个想法是,该行业可以在本局中融合在一起,开发和建立一套法规和安全标准,以保护付款账户信息—像信用卡信息和敏感的客户数据等信息,如社会安全号码。

PCI SSC已建立PCI安全合规标准,以确保组织遵守同意的一套法规,以保护客户信用卡付款信息和敏感信息。

PCI兼容企业必须符合这些商定的安全要求,并遵守年度评估,以确保不断确保合规性。在一天结束时,如果您的组织处理任何形式的付款信息,那么PCI合规性几乎是必需品。

由于没有法律授权PCI合规性,因此不符合要求的组织’T面临任何形式的法律后果。但是,如果数据泄露 发生,那么组织可能会受到PCI SSC两者的财务后果,以及客户和客户受到违规影响的客户。

PCI认证的重点是什么?

在一天结束时,通过确保组织内的PCI符合性,该业务不仅保护其客户和用户数据,而且该组织也受到潜在巨大的金融出现和后果。

PCI合规性的主要目标是为组织建立全球标准,以同意并遵守,以近年来违反大量数据违规行为。根据PCI SSC:

  • “持续或盗窃的持卡人数据将来自客户到支付机构的整个支付卡生态系统,到收到付款的组织。”
  • 当客户数据泄露时,他们很快就会对这些商家和金融机构失去信任
  • 如果他们的信息是恶意用的,客户也可以面对金融辐射。信用可能会受到负面影响,一旦违反数据,它可能很难重新获得数据
  • 随着商家和金融机构失去信誉,他们最终将失去业务。如果他们不相信他们的信息将安全和保护,客户将只是在其他地方携带他们的业务。

如果您的组织经历了数据泄露,并且没有采取适当的措施来防止攻击或建立恢复计划,尽管缺乏法律规定,但可能存在一些重大的反弹和后果。

当然的组织将使客户失去信心,并选择在其他地方做的业务,这导致销售和收入减少,企业可能需要支付重新发布新的付款卡或欺诈损失的费用,而事物将来只会变得更加困难。

在数据泄露后,组织将面临更高的随后合规成本,潜在的法律成本和结算,罚款和处罚以及终止接受支付卡的能力。在一天结束时,数据泄露最终可能导致企业不得不闭门。

在数字时代的安全性需求

随着组织将其通信和流程转移到云中,包括数据存储(特别是客户数据,如CRM Info),安全性变得更大的关注。

一般的大型数据是非常有利可图的,恶意演员寻求利用这些信息。但是,当数据被存档并且仅在内部和现场使用时,攻击者访问此信息将更加困难。但是,正如我们开始将我们的主要数据存储和业务流程转移到云端,我们已经开始向安全引入新的必要性。

由于数据现在未存储在现场,而是在云中存储,因此必须在多个前端保护此数据。您的组织必须确保数据良好的手,以及您使用的任何工具的提供者(商业VoIP,CRM或Cloud Contact Center平台)可确保其服务器上的数据受到保护和安全。

在没有掌握手中的数据之上,然后通过互联网传输数据,并在组织上共享’S设备。数据必须在传输中加密,并在这些单个端点上保护。随着云软件使我们能够更加移动,甚至有更多的端点和设备与网络和平台相连于之前— and 这些设备中的每一个都是攻击的潜在弱点。

由于数据不断地传输,共享,存储,编辑,存档和移动,因此在该信息可以被盗的过程中出现了更多的弱点—因此,在云解决方案和数字商务时代,对安全的需求处于一个新的水平。

联系中心的PCI合规性

虽然任何处理客户支付信息的组织应尝试执行PCI合规性,但特别是必须要小心的呼叫中心和联络中心。由于他们的业务几乎完全围绕客户和客户收集支付帐户信息,因此接触中心面临着针对恶意攻击的巨大风险。

联系中心通过电话常常与客户和客户交往,最近通过在线聊天或甚至短信短信。每次客户或客户端都将任何形式的付款或识别到代理商,必须保障该信息。

由于联系中心尤其也利用了更多数量的云平台,从CRM解决方案中存储和访问此数据 呼叫中心软件 对于商业VoIP工具,有时甚至进一步进一步融入人工智能和劳动力优化,需要捆绑在一起的很多松散目的。

联络中心的两个主要问题应该专注于包括:

  • 保护数据从未经授权的访问。非常坦率的。不允许访问数据的那些不应该能够,这将是确保即使是最基本的数据安全级别的第一步。这当然从简单的安全实践开始,例如仅向管理员提供密码,常规更改密码,使用物理认证方法,并保护所有设备和接入点。
  • 客户信任。任何组织的一个主要方面都是债券 客户与业务之间的信任。顾客’S大量权衡他们的组织经验,并选择与提供最佳体验的人进行业务。在处理任何金额或甚至只是敏感的数据(思考HIPAA)时,客户希望了解他们的信息受到保护,并且他们不会伤害与您的组织进行业务。

这两个担心当然齐头并进。当客户’S数据是无担保的,违反,他们最终会对您的业务失去信任。为确保数据安全是确保客户’S将继续信任您的业务。

在一天结束时,防止任何形式的违规行为,并确保您的客户,他们的数据是安全的,可以在创造信任的债券方面可以很长的路要走。联系中心,每天都有大量的数据和大量的交互,必须特别小心,并应确保PCI遵守过程的每一步。

PCI业务VoIP的合规性

当涉及VoIP时,PCI DSS“没有明确参考VoIP的使用。” However, this doesn’T意味着只要您的组织正在利用业务VoIP服务,他们就在清楚。事实上,PCI DSS确实有自己的常见问题解答部分,突出了使用VoIP的使用。

现在,这确实有点棘手,但我们将尝试概述你需要知道的东西的JIST。 PCI对VoIP的合规性深入了解,并远远地定义不同形式的传输(内部或外部)以及这些传输的来源。

主要的外卖是:

为了满足PCI合规性,组织必须确保拥有任何形式的互联网数据或IP网络流量,其中包含任何形式的付款帐户信息。简单地说,通过“包含支付卡帐户数据的VoIP流量传输的付款帐户数据在适用的PCI DSS控件范围内。”

由于VoIP通过互联网将声音的声音发送为 数据包,然后,该数据根据PCI合规安全标准而受,因为它现在是通过传输的信息,并存储在您的组织中’s network.

但这个故事并不是’真的结束了那里。当涉及到VoIP呼叫的来源时,事情会变得有点棘手,以及如何传输数据:

  • 内部传输 –VoIP流量包含在组织中共享的付款卡帐户数据’S网络必须符合PCI。在组织内部存储,处理或传输的任何数据’S网络必须符合合规性。
  • 外部传输 –实体将支付卡信息转移到其他业务(例如,服务提供商或付款处理器)实体 ’用于这些传输的系统和网络必须符合符合条件。意思是,如果您的业务将VoIP调用呼叫向其他业务或实体发送付款数据,则必须安全地保护该连接并符合PCI。
  • 来自持卡人的外部传输 –当VoIP用于持卡人和组织之间的支付卡账户数据的传输时,这是该业务的’用于传输的系统和网络必须符合标准。

这真的只是它的瘦,PCI SSC在这些不同的场景中非常详细。但是,确保您的VoIP通信的最简单方法是PCI符合PCI,无论源或目的地都要治疗所有呼叫,应尽可能安全地满足PCI合规性。

如果您想进一步阅读,您可以了解更多有关VoIP合规性和非常具体的法规和方案的更多信息 PCI SCC’s website.

您的业​​务如何遵守PCI合规性?

现在我们已经建立了为什么您的业务应该遵守PCI SSC设置的合规标准,我们将在开始进程的正确方向方向指向您的组织。安全最终没有简单的任务,并且需要一个值得注意的研究和比较来真正理解要采取的正确方向。

PCI SSC确实提供了相当基本的要求列表和相关目标,以帮助组织开始:

安全必须被视为投资,现在花费稍后节省。现在花费以保护您的组织,数据和客户,以避免任何潜在的退出数据漏洞。如果没有正确的安全性,它可以真正发生在任何业务中,因为我们实时地看到。到目前为止,我们还没有见过任何安全投诉 接触.

I.确保解决方案和平台是PCI兼容的

正如我已经提到的那样,在这个云平台的这个时代,我们访问和利用的大多数数据甚至没有存储在我们的服务器内,或物理地在与我们工作的相同位置。使用 CRM, Compact Center和Business VoIP平台具体,客户和客户端数据存储在供应商身上’S数据中心,并通过互联网访问。

因此,这是非常重要的,即联系中心至少确保他们使用的工具以及他们订阅的平台,确保某些级别的PCI合规性。这是其他行业使用的过程,例如医院只会使用符合HIPAA的解决方案。

只是为了突出一些主要名称:

II。按照PCI SSC指南确保合规性

不幸的是,对不同金融机构和支付卡品牌的具体要求将根据具体情况而不同。每个组织都有自己的具体 法规和 requirements for PCI Compliance.

验证遵守PCI数据安全标准由个人支付品牌决定。所有人都同意将PCI数据安全标准纳入其数据安全合规性计划的每个技术要求的一部分。支付品牌还认识到合格的安全评估员和批准的PCI安全标准理事会资格的扫描供应商。”

因此,PCI SSC提供了三步过程的粗略轮廓,以确保合规性。

1.评估

评估您的组织’通过识别持卡人数据,以资产库存以及支付卡处理的商业流程以及这些系统内的任何漏洞进行分析,通过识别持卡人数据以及与数据相关的系统和流程相关。

这可以通过范围来完成,其中组织识别位于内部或连接到持卡人数据环境中的所有系统组件的过程。

范围应该是每年的过程,以确保常规检查和维护,因为防止任何潜在违规的最佳方法是主动关闭泄漏出现的漏洞。

组织实际上可以聘请合格的安全评估员。根据PCI SSC,“a 合格的安全评估员 是一个数据安全公司,由PCI理事会合格,以执行现场PCI数据安全标准评估。”这些评估员将验证技术信息,使用独立判断以确认合规标准,在合规过程中提供支持和指导,并产生最终报告以提交给PCI SSC。

2.补救措施

在评估过程之后,现在应该清楚您的组织必须完成哪些潜在漏洞,并准备完整的PCI合规性。虽然这意味着修复任何找到的漏洞,但PCI SSC还建议消除组织中的持卡人数据存储’S服务,数据中心和记录,除非业务运营绝对必要。

3.报告

一旦评估完成,组织采取必要步骤纠正任何问题并收紧安全性,必须遵守报告并提交给适当的银行和卡品牌。

同样,根据该特定品牌的要求,组织可能必须更频繁地提交或遵循特定过程。例如,某些品牌要求组织提交季度提交。

底线

不幸的是,太多的企业和个人将安全视为思想之后,或一次性进程。但是,事实是,保持我们的数据和通信安全HARN’更重要。和 每天出现的新风险和攻击而且更大的数据集变得越来越有利可图,恶意演员,主要的辐射的潜力只是在增长。

PCI数据安全标准可确保组织不仅会颁布安全措施,而且妥善维护和优化它们。随着行业领导者共同努力设定标准合规级别,组织可以帮助更安全的数字时代。

确保您的组织利用PCI兼容的工具,并在必要时满足PCI合规规定,绝对是业务和客户的双赢局面。通过保持数据安全,组织可以保留客户信任,并最终成为他们的业务。