Cumplimiento PCI

Discutir los requisitos de la Industria de Tarjetas de Pago (PCI) a menudo puede empezar con tomar un café. Si alguna vez ha participado en estas conversaciones, los resultados suelen ser subjetivos, lo que lleva al deseo general de reducir el alcance de un entorno tanto como sea posible. Con la solución que Zoom y PCI Pal han implementado, el café se vuelve opcional. En esta publicación exploraremos la implementación, sus beneficios y cómo su organización puede reducir el alcance de sus procesos comerciales.

Antecedentes sobre PCI

El Consejo de Normas de Seguridad de PCI ha establecido un conjunto de directrices que regulan el manejo de la información de tarjetas de crédito dentro de diversos entornos. Existen directrices publicadas por el consejo que definen los requisitos para un comerciante (la empresa que está recaudando los pagos). El objetivo principal de las normas es proteger los Datos del Titular de la Tarjeta (CHD) a medida que se comparten entre múltiples sistemas. El comerciante aprovechará varios proveedores y solucionadores para procesar la venta.

Todos estos componentes conducen a una Declaración de Cumplimiento (AOC) de apoyo. La AOC permite al comerciante aprovechar las afirmaciones de varios proveedores para formar su propia AOC. Dependiendo del diseño de la solución y de la cantidad de transacciones, podría existir un gran esfuerzo para remediar y mantener un Entorno del Titular de la Tarjeta (CHE).

Al discutir la implementación y cómo puede beneficiar a una organización, es importante tener en cuenta el flujo general de los datos del titular de la tarjeta. Si hay datos del titular de la tarjeta presentes, pueden ser necesarias auditorías de cumplimiento. Con la solución de Zoom destacada a continuación, un comerciante tiene la opción de minimizar este entorno y sus costos asociados.

Analizaremos cómo Zoom y PCI Pal trabajan juntos entre bastidores para permitir que los clientes logren el cumplimiento PCI en Zoom Contact Center.

Resumen de la solución

La solución aprovecha Marketplace de aplicaciones de Zoom como las soluciones de socios de Zoom para permitir llamadas conformes con PCI dentro de un entorno. Hay muchas formas diferentes de abordar el cumplimiento y, con la solución detallada a continuación, existen oportunidades para minimizar el alcance de un entorno.

Para los propósitos de esta sección nos centraremos en dos entidades principales: el Agente y el Consumidor. El Agente es una persona que usa Zoom Contact Center y que recibirá interacciones a través de un canal de voz, vídeo o mensajería y debe aceptar pagos del Consumidor de forma segura. El Consumidor es el iniciador de la interacción que es el titular de la tarjeta de pago. Aunque están disponibles canales de pago basados en texto, nos centraremos en interacciones a través del canal de voz en el ejemplo.

Al llamar a Zoom Contact Center, el Consumidor es dirigido a través de los menús e interacciones según el diseño de la cola administrativa antes de ser enrutado al Agente designado. Tras iniciarse la interacción hay dos segmentos de flujo de medios que permiten que el Agente y el Consumidor se comuniquen entre sí vía un canal de voz: (1) los medios son enviados desde el Consumidor hacia la infraestructura PSTN y ZCC, y (2) los medios son enviados entre la infraestructura ZCC y el cliente del Agente. Este también es un ejemplo de una llamada tradicional a Zoom Contact Center.

Con la llamada inicial establecida, el Agente puede comunicarse con el Consumidor hasta que deba recogerse el pago. En ese momento, el Agente, dentro de la aplicación de Zoom de PCI Pal, (3) inicia una sesión para comenzar la recogida del pago. Usando una combinación de las API de Zoom y PCI Pal, se utiliza SIP para orquestar tramos de llamada adicionales entre el proveedor PSTN, PCI Pal y Zoom. Estos tramos de llamada facilitan la negociación de medios de una manera que libera a Zoom y al agente de procesar, transmitir y almacenar Datos del Titular de la Tarjeta. El tramo de llamada inicial (4) permanece conectado entre el proveedor PSTN y Zoom. Se establece un tramo de llamada adicional (5) desde Zoom hacia PCI Pal. Con los tramos de llamada (4) y (5) conectados con éxito, los medios (6) se negocian directamente entre el proveedor PSTN y PCI Pal. Mientras los medios están dentro de PCI Pal, los Datos del Titular de la Tarjeta se eliminan. PCI Pal envía la señalización con una secuencia de medios asociada de vuelta a Zoom (7). Una vez recibida, Zoom reconecta el flujo al Agente (8).

Este flujo de medios desde PSTN hasta PCI Pal (6) contiene Datos del Titular de la Tarjeta y se filtra al ingresar al entorno de PCI Pal. Los medios se devuelven a Zoom (7) y, posteriormente, al agente (8). Esta ruta de medios sólo está activa durante la duración del proceso de pago, que normalmente toma sólo unos minutos. El Agente tiene la capacidad de mantener la comunicación con el Consumidor durante este tiempo. Al haberse eliminado los Datos del Titular de la Tarjeta antes de llegar a Zoom, servicios como la grabación pueden mantenerse durante toda la experiencia sin aumentar el alcance de cumplimiento.

Después de que se complete el pago, las conexiones adicionales se eliminan automáticamente y los medios se restablecen en la configuración original: desde el PSTN a Zoom (1) y de Zoom al Agente original (2). Un Agente puede establecer flujos de pago adicionales según sea necesario.

Conclusiones de la solución

Uno de los aspectos que puede no ser inmediatamente obvio es la disponibilidad de los servicios de Zoom Contact Center para la llamada. La eliminación de los Datos del Titular de la Tarjeta antes de que los medios lleguen a Zoom permite que la interacción aproveche las funciones de Zoom Contact Center, desde grabación, transcripciones y análisis de sentimiento hasta Gestión de Calidad para funciones de supervisión.

La arquitectura descrita anteriormente es única de Zoom Contact Center, con múltiples beneficios de diseño. Otros diseños requieren que cualquier llamada que pueda necesitar información de pago se conecte al procesador de pagos (por ejemplo, la señalización). Con el diseño que conecta a Zoom como el motor central de enrutamiento, sólo las llamadas que necesiten conectarse a un procesador de pagos se establecerán con los sistemas integrados y solo por la duración necesaria. Esto permite la flexibilidad de que los flujos de llamadas funcionen con normalidad a menos que se necesite un pago, así como una operación más fluida si se debe aceptar un pago de forma inesperada.

Muchos otros flujos se conectan de forma persistente a través de la solución de pago segura. Aparte de consideraciones de latencia, el otro beneficio añadido de la solución bajo demanda está relacionado con los dominios de fallo. Aunque estos sistemas tienen tiempos de disponibilidad muy altos, los sistemas conectados en serie tienen SLA combinados. Con la solución implementada en Zoom Contact Center, los diversos sistemas tienen la capacidad de seguir conectando al Consumidor con el Agente si una integración presenta un problema.

Por último, los diseños basados en la plataforma de Zoom permiten que estas integraciones se aprovechen para usuarios que no son de Zoom Contact Center. Zoom Phone tiene capacidades similares que pueden usarse si el usuario no está asociado a una cola de Zoom Contact Center.

Además de los beneficios únicos, la integración con PCI Pal y la evaluación de los flujos de trabajo del Agente pueden permitir que su organización limite su alcance PCI.

Para concluir

Equilibrar las necesidades de cumplimiento y tecnología para implementar un centro de contacto que admita pagos requiere una navegación adecuada. Con la integración de Zoom Contact Center con PCI Pal, existe flexibilidad adicional para ayudar a reducir las complejidades de cumplimiento. Publicaremos más artículos centrados en cómo se configura la integración desde el punto de vista del administrador.