PCI-Compliance

Die Diskussion über die Anforderungen des Payment Card Industry (PCI) beginnt oft damit, dass man sich einen Kaffee holt. Wenn Sie jemals an solchen Gesprächen teilgenommen haben, sind die Ergebnisse häufig subjektiv, was zu dem allgemeinen Wunsch führt, eine Umgebung so weit wie möglich zu verkleinern. Mit der von Zoom und PCI Pal implementierten Lösung wird Kaffee optional. In diesem Beitrag werden wir die Implementierung, ihre Vorteile und wie Ihre Organisation möglicherweise Geschäftsprozesse aus dem Geltungsbereich nehmen kann, untersuchen.

Hintergrund zu PCI

Der PCI Security Standards Council hat eine Reihe von Leitlinien festgelegt, die den Umgang mit Kreditkarteninformationen in verschiedenen Umgebungen regeln. Es gibt Richtlinien veröffentlicht vom Council, die die Anforderungen für einen Händler (das Unternehmen, das Zahlungen entgegennimmt) definieren. Der Hauptfokus der Standards liegt darauf, Card Holder Data (CHD) zu schützen, während es über mehrere Systeme hinweg geteilt wird. Der Händler nutzt verschiedene Anbieter und Lösungsanbieter, um den Verkauf abzuwickeln.

All diese Komponenten führen zu einer unterstützenden Attestation of Compliance (AOC). Die AOC ermöglicht es dem Händler, die Zusicherungen verschiedener Anbieter zu nutzen, um seine eigene AOC zu erstellen. Abhängig vom Lösungsdesign und der Anzahl der Transaktionen kann es einen erheblicher Aufwand sein, eine Card Holder Environment (CHE) zu beheben und aufrechtzuerhalten.

Wenn wir die Implementierung und ihren Nutzen für eine Organisation diskutieren, ist es wichtig, den gesamten Fluss der Cardholder-Daten im Blick zu behalten. Wenn Cardholder-Daten vorhanden sind, können Compliance-Prüfungen erforderlich sein. Mit der unten hervorgehobenen Zoom-Lösung hat ein Händler die Möglichkeit, diese Umgebung und die damit verbundenen Kosten zu minimieren.

Wir werden uns ansehen, wie Zoom und PCI Pal hinter den Kulissen zusammenarbeiten, um Kunden zu ermöglichen, PCI-Konformität im Zoom Contact Center zu erreichen.

Lösungsübersicht

Die Lösung nutzt Zoom App Marketplace als Zoom-Partnerlösungen um PCI-konforme Anrufe innerhalb einer Umgebung zu ermöglichen. Es gibt viele verschiedene Ansätze für Compliance, und mit der unten beschriebenen Lösung bestehen Möglichkeiten, den Umfang einer Umgebung zu minimieren.

Für die Zwecke dieses Abschnitts konzentrieren wir uns auf zwei primäre Entitäten: den Agenten und den Verbraucher. Der Agent ist eine Person, die Zoom Contact Center verwendet, Engagements über einen Sprach-, Video- oder Messaging-Kanal erhält und Zahlungen vom Verbraucher in sicherer Weise entgegennehmen muss. Der Verbraucher ist der Initiator des Engagements und der Zahlungskarteninhaber. Während textbasierte Zahlungs Kanäle verfügbar sind, konzentrieren wir uns im Beispiel auf Engagements über den Sprachkanal.

Beim Anruf im Zoom Contact Center wird der Verbraucher anhand der Verwaltungsschleifen- bzw. Warteschlangen-Designs durch Menüs und Interaktionen geleitet, bevor er an den zugewiesenen Agenten weitergeleitet wird. Nachdem das Engagement begonnen hat, gibt es zwei Medienflusssegmente, die es dem Agenten und dem Verbraucher ermöglichen, über einen Sprachkanal miteinander zu kommunizieren: (1) Medien werden vom Verbraucher an das PSTN und die ZCC-Infrastruktur gesendet, und (2) Medien werden zwischen der ZCC-Infrastruktur und dem Client des Agenten gesendet. Dies ist auch ein Beispiel für einen traditionellen Anruf ins Zoom Contact Center.

Mit dem etablierten Erstgespräch kann der Agent mit dem Verbraucher kommunizieren, bis die Zahlung eingezogen werden soll. An diesem Punkt startet der Agent innerhalb der PCI Pal Zoom App (3) eine Sitzung, um mit der Zahlungserfassung zu beginnen. Unter Verwendung einer Kombination aus den APIs von Zoom und PCI Pal wird SIP verwendet, um zusätzliche Gesprächsbeine zwischen dem PSTN-Anbieter, PCI Pal und Zoom zu orchestrieren. Diese Gesprächsbeine ermöglichen die Medienverhandlung auf eine Weise, die Zoom und den Agenten davon entlastet, Card Holder Data zu verarbeiten, zu übertragen und zu speichern. Das initiale Gesprächsbein (4) bleibt zwischen dem PSTN-Anbieter und Zoom verbunden. Ein zusätzliches Gesprächsbein (5) wird von Zoom zu PCI Pal aufgebaut. Mit den erfolgreich verbundenen Gesprächsbeinen (4) und (5) werden Medien (6) direkt zwischen dem PSTN-Anbieter und PCI Pal verhandelt. Während die Medien bei PCI Pal liegen, werden die Card Holder Data entfernt. PCI Pal sendet die Signalisierung mit einem zugehörigen Medienstrom zurück an Zoom (7). Nach Empfang stellt Zoom den Fluss zum Agenten wieder her (8).

Dieser Medienfluss vom PSTN zu PCI Pal (6) enthält Cardholder-Daten und wird beim Eintritt in die PCI Pal-Umgebung gefiltert. Die Medien werden an Zoom zurückgegeben (7) und letztlich an den Agenten (8). Dieser Medienpfad ist nur für die Dauer des Zahlungsprozesses aktiv, der typischerweise nur wenige Minuten dauert. Der Agent kann während dieser Zeit die Kommunikation mit dem Verbraucher aufrechterhalten. Da die Medien vor dem Eintreffen bei Zoom von Cardholder-Daten bereinigt werden, können Dienste wie Aufzeichnung während des gesamten Vorgangs beibehalten werden, ohne den Compliance-Umfang zu vergrößern.

Nachdem die Zahlung abgeschlossen ist, werden die zusätzlichen Verbindungen automatisch entfernt und die Medien werden in der ursprünglichen Konfiguration wiederhergestellt: vom PSTN zu Zoom (1) und von Zoom zum ursprünglichen Agenten (2). Ein Agent kann bei Bedarf zusätzliche Zahlungsabläufe einleiten.

Schlussfolgerungen zur Lösung

Einer der Punkte, der nicht sofort offensichtlich sein mag, ist die Verfügbarkeit der Zoom Contact Center-Dienste für den Anruf. Die Entfernung der Card Holder Data, bevor die Medien bei Zoom ankommen, erlaubt es, die Funktionen des Zoom Contact Centers zu nutzen, von Aufzeichnung, Transkriptionen und Sentiment-Analyse bis hin zu Quality Management für Überwachungsfunktionen.

Die oben beschriebene Architektur ist einzigartig für Zoom Contact Center und bietet mehrere Designvorteile. Andere Designs verlangen, dass jeder Anruf, bei dem Zahlungsinformationen erforderlich sein könnten, eine Verbindung zum Zahlungsprozessor herstellen muss (z. B. Signalisierung). Durch das Design, das Zoom als zentrales Routing-Engine verbindet, stellen nur die Anrufe, die eine Verbindung zu einem Zahlungsprozessor benötigen, eine Verbindung zu den integrierten Systemen her und nur für die erforderliche Dauer. Dies ermöglicht Flexibilität der Gesprächsabläufe, damit sie normal funktionieren, es sei denn, eine Zahlung ist notwendig, sowie einen reibungsloseren Betrieb, falls unerwartet eine Zahlung entgegengenommen werden muss.

Viele andere Abläufe verbinden sich dauerhaft über die sichere Zahlungslösung. Abgesehen von Latenzüberlegungen besteht der weitere Vorteil der On-Demand-Lösung in den Ausfallbereichen. Während diese Systeme sehr hohe Verfügbarkeitszeiten aufweisen, haben in Serie geschaltete Systeme kombinierte SLAs. Mit der in Zoom Contact Center implementierten Lösung haben die verschiedenen Systeme die Fähigkeit, den Verbraucher weiterhin mit dem Agenten zu verbinden, falls eine Integration ein Problem hat.

Schließlich ermöglichen die plattformbasierten Designs von Zoom, dass diese Integrationen auch für Nicht-Zoom-Contact-Center-Benutzer genutzt werden können. Zoom Phone bietet ähnliche Fähigkeiten, die verwendet werden können, wenn der Benutzer nicht mit einer Zoom Contact Center-Warteschlange verbunden ist.

Zusätzlich zu den einzigartigen Vorteilen kann die Integration mit PCI Pal und die Bewertung der Arbeitsabläufe des Agenten Ihrer Organisation ermöglichen, den PCI-Umfang zu begrenzen.

Abschluss

Die Balance zwischen Compliance- und Technologieanforderungen zur Implementierung eines Contact Centers, das Zahlungen unterstützt, erfordert eine sorgfältige Navigation. Mit der Integration von Zoom Contact Center und PCI Pal besteht zusätzliche Flexibilität, um Compliance-Komplexitäten zu reduzieren. Wir werden weitere Artikel veröffentlichen, die sich darauf konzentrieren, wie die Integration aus der Sicht des Administrators konfiguriert wird.