PCI準拠

支払いカード業界（PCI）の要件について話すときは、しばしばコーヒーを片手に始まります。こうした会話に携わったことがあるなら、結果が主観的になりがちで、可能な限り環境のスコープを縮小したいという一般的な要望につながることが多いのをご存じでしょう。ZoomとPCI Palが実装したソリューションを使えば、コーヒーは必須ではなくなります。本記事ではその実装、利点、そして組織がビジネスプロセスのスコープを縮小できる可能性について解説します。

PCIの背景

PCIセキュリティ基準審議会は、さまざまな環境におけるクレジットカード情報の取り扱いを規定する一連のガイドラインを策定しています。ガイドラインが 公開されており 審議会によって、支払いを収集する事業者（マーチャント）の要件が定義されています。基準の主な焦点は、複数のシステムにまたがって共有されるカード保有者データ（CHD）を保護することです。マーチャントは販売処理のためにさまざまなベンダーやソリューションプロバイダーを活用します。

これらすべてのコンポーネントは、支援するコンプライアンス適合確認書（AOC）につながります。AOCにより、マーチャントはさまざまなベンダーの主張を組み合わせて独自のAOCを作成できます。ソリューション設計や取引量によっては、カード保有者環境（CHE）を修復および維持するためにかなりの労力が必要になる可能性があります。

実装とそれが組織にもたらす利点を議論する際には、カード保有者データの全体的なフローに注意を払うことが重要です。カード保有者データが存在する場合、コンプライアンス監査が必要になることがあります。以下に示すZoomのソリューションを利用すれば、マーチャントはこの環境とそれに伴うコストを最小化するオプションを持てます。

以下では、ZoomとPCI Palがどのように連携して動作し、Zoom Contact Centerで顧客がPCI準拠を達成できるようにするかを見ていきます。

ソリューション概要

このソリューションは、 Zoom App Marketplace および Zoomパートナーソリューション を活用して、環境内でPCI準拠の通話を実現します。コンプライアンスへのアプローチは多様であり、以下に詳述するソリューションによって環境のスコープを最小化する機会が生まれます。

このセクションでは、エージェントとコンシューマーという2つの主要なエンティティに焦点を当てます。エージェントはZoom Contact Centerを使用する個人で、音声、ビデオ、またはメッセージングチャネルを通じてやり取りを受け、コンシューマーから安全に支払いを受け取る必要があります。コンシューマーはそのやり取りを開始する支払いカード保有者です。テキストベースの支払いチャネルも利用可能ですが、ここでは例として音声チャネルでのやり取りに焦点を当てます。

コンシューマーがZoom Contact Centerに電話をかけると、管理用キュー設計に基づいてメニューややり取りを経て、指定されたエージェントへルーティングされます。やり取りが開始された後、エージェントとコンシューマーが音声チャネルで互いに通信できるメディアフローのセグメントは2つあります：(1) コンシューマーからPSTNおよびZCCインフラストラクチャへ送信されるメディア、(2) ZCCインフラストラクチャとエージェントのクライアント間で送信されるメディア。これは従来のZoom Contact Centerへの着信通話の例でもあります。

初回通話が確立されると、エージェントは支払いが回収されるまでコンシューマーと通信できます。その段階でエージェントはPCI Pal Zoomアプリ内から(3) 支払い回収を開始するためのセッションを起動します。ZoomとPCI PalのAPIを組み合わせて使用し、SIPがPSTNプロバイダ、PCI Pal、およびZoom間で追加の通話経路をオーケストレーションするために使用されます。これらの通話経路は、Zoomとエージェントがカード保有者データを処理、送信、保存する負担を軽減する方法でメディア交渉を促進します。初回の通話経路(4)はPSTNプロバイダとZoom間で接続されたままです。追加の通話経路(5)がZoomからPCI Palへの間で確立されます。通話経路(4)と(5)が正常に接続されると、メディア(6)はPSTNプロバイダとPCI Palの間で直接交渉されます。メディアがPCI Pal内にある間にカード保有者データは除去されます。PCI Palは関連するメディアストリームを伴うシグナリングをZoomに送り返します(7)。受信後、Zoomはフローをエージェントに再接続します(8)。

PSTNからPCI Palへのこのメディアフロー(6)にはカード保有者データが含まれており、PCI Pal環境に入る際にフィルタリングされます。メディアはZoomへ(7)渡され、最終的にエージェントへ(8)届きます。このメディアパスは支払い処理の期間のみ有効であり、通常は数分しかかかりません。この間、エージェントはコンシューマーとの通信を維持できます。メディアがZoomに到達する前にカード保有者データが除去されるため、録音などのサービスはコンプライアンスのスコープを拡大することなく体験全体で維持できます。

支払いが完了すると、追加の接続は自動的に削除され、メディアは元のセットアップに戻ります：PSTNからZoomへ(1)、およびZoomから元のエージェントへ(2)。エージェントは必要に応じて追加の支払いフローを確立することができます。

ソリューションの要点

すぐには明白でない項目の一つは、Zoom Contact Centerのサービスを通話で利用できる点です。メディアがZoomに到達する前にカード保有者データが除去されることで、録音、文字起こし、センチメント分析から監督機能の品質管理に至るまで、Zoom Contact Centerの機能を活用できます。

上記のアーキテクチャはZoom Contact Centerに固有であり、複数の設計上の利点があります。他の設計では、支払い情報が必要になる可能性のあるすべての通話が支払いプロセッサに接続されることが求められる（例：シグナリング）場合があります。コアのルーティングエンジンとしてZoomに接続する設計では、支払いプロセッサに接続する必要がある通話のみが統合システムに接続され、必要な期間だけ接続されます。これにより、支払いが必要でない限り通話フローは通常通りに動作でき、予期せず支払いが必要になった場合でもより滑らかな動作が可能になります。

多くの他のフローはセキュアな支払いソリューションを通じて継続的に接続されます。レイテンシーの考慮を除けば、オンデマンドソリューションのもう一つの付加的な利点は障害ドメインに関する点です。 これらのシステムは高い稼働率を持っていますが,直列に接続されたシステムは合成されたSLAを持ちます。Zoom Contact Centerに実装されたソリューションでは、統合に問題が発生した場合でも、さまざまなシステムがコンシューマーをエージェントにつなげる能力を維持することができます。

最後に、Zoomのプラットフォームベースの設計により、これらの統合はZoom Contact Centerユーザー以外にも活用できます。ユーザーがZoom Contact Centerのキューに関連付けられていない場合でも、Zoom Phoneは類似の機能を提供できます。

独自の利点に加えて、PCI Palとの統合とエージェントのワークフロー評価により、組織がPCIスコープを制限できる可能性があります。

結びに

支払いをサポートするコンタクトセンターを実装するためにコンプライアンスと技術的要件のバランスを取るには、適切なナビゲーションが必要です。Zoom Contact CenterとPCI Palの統合により、コンプライアンスの複雑さを軽減するためのさらなる柔軟性が得られます。管理者の観点から統合がどのように構成されるかに焦点を当てた記事を今後さらに投稿していきます。