# Conformità PCI

Discutere i requisiti dell'industria delle carte di pagamento (PCI) spesso può cominciare prendendo un caffè. Se avete mai affrontato queste conversazioni, i risultati sono spesso soggettivi, il che porta al desiderio generale di ridurre il più possibile l'ambito di un ambiente. Con la soluzione implementata da Zoom e PCI Pal, il caffè diventa opzionale. In questo post esploreremo l'implementazione, i suoi vantaggi e come la vostra organizzazione potrebbe essere in grado di ridurre l'ambito dei vostri processi aziendali.

### Contesto sul PCI

Il PCI Security Standards Council ha stabilito un insieme di linee guida che regolano la gestione delle informazioni delle carte di credito all'interno di vari ambienti. Esistono linee guida [pubblicate](https://www.pcisecuritystandards.org/standards/) dal consiglio che definiscono i requisiti per un commerciante (la società che raccoglie i pagamenti). L'obiettivo principale degli standard è proteggere i dati del titolare della carta (CHD) mentre vengono condivisi tra più sistemi. Il commerciante si appoggia a vari fornitori e provider di soluzioni per elaborare la vendita.

Tutti questi componenti portano a una relativa Attestazione di Conformità (AOC). L'AOC consente al commerciante di sfruttare le dichiarazioni dei vari fornitori per formare la propria AOC. A seconda del design della soluzione e della quantità di transazioni, potrebbe esserci un notevole impegno per risanare e mantenere un ambiente contenente i dati del titolare della carta (CHE).

<figure><img src="https://media.zoom.com/images/assets/zcc.png/Zz1mODBkMWFhMDU4YWExMWVmODU2N2FhYzY3NmNhNjhlMg==" alt="Combining Vendor AOC&#x27;s to support a Customer AOC and a PCI Compliant Design" width="563"><figcaption><p>Combinare le AOC dei fornitori per supportare una AOC del cliente e un design conforme al PCI</p></figcaption></figure>

Mentre discutiamo l'implementazione e come può beneficiare un'organizzazione, è importante essere consapevoli del flusso complessivo dei dati del titolare della carta. Se sono presenti dati del titolare della carta, potrebbero essere richiesti audit di conformità. Con la soluzione Zoom evidenziata di seguito, un commerciante ha l'opzione di minimizzare questo ambiente e i relativi costi.

Esamineremo come Zoom e PCI Pal lavorano insieme dietro le quinte per consentire ai clienti di raggiungere la conformità PCI in Zoom Contact Center.

### Panoramica della soluzione

La soluzione sfrutta [Zoom App Marketplace](https://marketplace.zoom.us/apps/MxNTkUxtQYSja9I-2YbMwQ?optimizely_user_id=efe7866fa2ae9ac46f7e6b8bb8e98da9) che [Zoom Partner Solutions](https://partner.zoom.us/solutions/pcipal/?optimizely_user_id=efe7866fa2ae9ac46f7e6b8bb8e98da9) per abilitare chiamate conformi al PCI all'interno di un ambiente. Esistono molti modi diversi per affrontare la conformità e, con la soluzione descritta di seguito, ci sono opportunità per ridurre l'ambito di un ambiente.

Ai fini di questa sezione ci concentreremo su due entità principali: l'Agente e il Consumatore. L'Agente è un individuo che utilizza Zoom Contact Center, riceverà interazioni tramite un canale voce, video o messaggistica ed è tenuto a raccogliere pagamenti dal Consumatore in modo sicuro. Il Consumatore è l'iniziatore dell'interazione ed è il titolare della carta di pagamento. Sebbene siano disponibili canali di pagamento basati su testo, nell'esempio ci concentreremo sulle interazioni attraverso il canale vocale.

Quando chiama Zoom Contact Center, il Consumatore viene guidato attraverso i menu e le interazioni basate sul design della coda amministrativa prima di essere instradato all'Agente designato. Dopo l'inizio dell'interazione ci sono due segmenti di flusso multimediale che consentono all'Agente e al Consumatore di comunicare tra loro tramite un canale vocale: (1) i media vengono inviati dal Consumatore al PSTN e all'infrastruttura ZCC, e (2) i media vengono inviati tra l'infrastruttura ZCC e il client dell'Agente. Questo è anche un esempio di una chiamata tradizionale verso Zoom Contact Center.

<figure><img src="https://media.zoom.com/images/assets/PCI-1.png/Zz1iYzBkZThiODU5NmQxMWVmOGJmOTdhMWVmYWFhYWJhNA==" alt="Initial Phone Call setup" width="563"><figcaption><p>Impostazione iniziale della chiamata telefonica</p></figcaption></figure>

Con la chiamata iniziale stabilita, l'Agente può comunicare con il Consumatore fino al momento della raccolta del pagamento. A quel punto, l'Agente, all'interno dell'app Zoom PCI Pal, (3) avvia una sessione per iniziare la raccolta del pagamento. Utilizzando una combinazione delle API di Zoom e PCI Pal, SIP viene usato per orchestrare segmenti di chiamata aggiuntivi tra il fornitore PSTN, PCI Pal e Zoom. Questi segmenti di chiamata facilitano la negoziazione dei media in modo da sollevare Zoom e l'agente dall'elaborare, trasmettere e memorizzare i dati del titolare della carta. Il segmento di chiamata iniziale (4) rimane connesso tra il fornitore PSTN e Zoom. Un segmento di chiamata aggiuntivo (5) viene stabilito da Zoom verso PCI Pal. Con i segmenti di chiamata (4) e (5) connessi con successo, i media (6) vengono negoziati direttamente tra il fornitore PSTN e PCI Pal. Mentre i media sono all'interno di PCI Pal, i dati del titolare della carta vengono rimossi. PCI Pal invia la segnalazione con uno stream multimediale associato a Zoom (7). Una volta ricevuto, Zoom ricollega il flusso all'Agente (8).

Questo flusso multimediale dal PSTN a PCI Pal (6) contiene i dati del titolare della carta ed è filtrato all'ingresso nell'ambiente PCI Pal. I media vengono rimandati a Zoom (7) e infine all'agente (8). Questo percorso multimediale è attivo solo per la durata del processo di pagamento, che di solito richiede solo pochi minuti. L'Agente ha la possibilità di mantenere la comunicazione con il Consumatore durante questo tempo. Con i media che hanno i dati del titolare della carta rimossi prima di arrivare a Zoom, servizi come la registrazione possono essere mantenuti per tutta l'esperienza senza aumentare l'ambito di conformità.

<figure><img src="https://media.zoom.com/images/assets/PCI-2.png/Zz1iYzIwNzFmNDU5NmQxMWVmOGNhNjdhMWVmYWFhYWJhNA==" alt="Payment in Process" width="563"><figcaption><p>Pagamento in corso</p></figcaption></figure>

Dopo il completamento del pagamento, le connessioni aggiuntive vengono rimosse automaticamente e i media vengono ristabiliti nella configurazione originale: dal PSTN a Zoom (1) e da Zoom all'Agente originale (2). Un Agente può avviare ulteriori flussi di pagamento secondo necessità.

<figure><img src="https://media.zoom.com/images/assets/PCI-3.png/Zz1iYmQ5M2UyZTU5NmQxMWVmYjY2MTE2MzE1YTc1N2UyOQ==" alt="Original Flow is re-established" width="563"><figcaption><p>Il flusso originale viene ristabilito</p></figcaption></figure>

### Conclusioni sulla soluzione

Uno degli aspetti che potrebbe non essere immediatamente ovvio è la disponibilità dei servizi di Zoom Contact Center per la chiamata. La rimozione dei dati del titolare della carta prima che i media arrivino a Zoom consente all'interazione di sfruttare le funzionalità di Zoom Contact Center, dalla registrazione, trascrizioni e analisi del sentiment fino alla Gestione della Qualità per le funzioni di supervisione.

L'architettura descritta sopra è unica per Zoom Contact Center e offre molteplici vantaggi di progettazione. Altri design richiedono che qualsiasi chiamata che potrebbe necessitare informazioni di pagamento si connetta direttamente al processore di pagamento (ad esempio, la segnalazione). Con il design che utilizza Zoom come motore di instradamento centrale, solo le chiamate che devono connettersi a un processore di pagamento si collegheranno ai sistemi integrati e solo per la durata necessaria. Ciò consente flessibilità nei flussi di chiamata per operare normalmente a meno che non sia necessario un pagamento, oltre a un funzionamento più fluido qualora si debba raccogliere un pagamento inaspettatamente.

Molti altri flussi si connettono in modo persistente attraverso la soluzione di pagamento sicura. A parte le considerazioni sulla latenza, l'altro vantaggio aggiuntivo della soluzione on-demand riguarda i domini di errore. [Sebbene questi sistemi abbiano tempi di attività altamente disponibili](https://uptime.zoom.us/?optimizely_user_id=efe7866fa2ae9ac46f7e6b8bb8e98da9), i sistemi connessi in serie hanno SLA combinati. Con la soluzione implementata in Zoom Contact Center, i vari sistemi hanno la capacità di continuare a collegare il Consumatore all'Agente qualora un'integrazione avesse un problema.

Infine, i design basati sulla piattaforma di Zoom permettono che queste integrazioni siano sfruttate anche per utenti non di Zoom Contact Center. Zoom Phone ha capacità simili che possono essere utilizzate se l'utente non è associato a una coda di Zoom Contact Center.

Oltre ai benefici unici, l'integrazione con PCI Pal e la valutazione dei flussi di lavoro dell'Agente possono consentire alla vostra organizzazione di limitare il proprio ambito PCI.

### In chiusura

Equilibrare le esigenze di conformità e tecnologia per implementare un contact center che supporti i pagamenti richiede una navigazione adeguata. Con l'integrazione di Zoom Contact Center con PCI Pal, c'è ulteriore flessibilità per aiutare a ridurre le complessità della conformità. Pubblicheremo ulteriori articoli incentrati su come l'integrazione è configurata dal punto di vista dell'amministratore.