PCIコンプライアンス

お支払いカード業界（PCI）の要件について話し合うときは、まずコーヒーを手にするところから始まることがよくあります。こうした会話に参加したことがある方なら、その結果が主観的になりがちで、そのため環境からできるだけスコープを外したいという一般的な希望につながることをご存じでしょう。Zoom と PCI Pal が実装したこのソリューションでは、コーヒーはオプションになります。この投稿では、実装、その利点、そしてあなたの組織がビジネス・プロセスをどのようにスコープ外にできる可能性があるかを見ていきます。

PCI の背景

PCI セキュリティ基準協議会は、さまざまな環境内でクレジットカード情報の取り扱いを規定する一連のガイドラインを策定しています。ガイドラインがあり、 公表された これらのガイドラインは、販売事業者（お支払いを収集する会社）に対する要件を定義しています。標準の主な焦点は、カード保有者データ（CHD）が複数のシステムをまたいで共有される際に、それを保護することです。販売事業者は、販売を処理するためにさまざまなベンダーやソリューション提供者を活用します。

これらすべての要素は、支援的なコンプライアンス適合証明（AOC）につながります。AOC により、販売事業者はさまざまなベンダーの主張を活用して、自身の AOC を形成できます。ソリューションの設計や取引件数によっては、カード保有者環境（CHE）の是正と維持にかなり大きな労力が必要になる場合があります。

実装と、それが組織にどのようなメリットをもたらすかを説明するにあたり、カード保有者データの全体的な流れに注意を払うことが重要です。カード保有者データが提示されている場合、コンプライアンス監査が必要になることがあります。以下で紹介する Zoom ソリューションでは、販売事業者はこの環境とそれに伴うコストを最小化するオプションがあります。

Zoom と PCI Pal が舞台裏でどのように連携し、Zoom コンタクトセンターでお客様が PCI コンプライアンスを達成できるよう有効にするのかを見ていきます。

ソリューション概要

このソリューションは、 Zoom App Marketplace と Zoom パートナー ソリューション を活用して、環境内で PCI コンプライアントな通話を有効にします。コンプライアンスへのアプローチにはさまざまな方法がありますが、以下で詳述するソリューションでは、環境の対象範囲を最小化できる可能性があります。

このセクションでは、2つの主要なエンティティ、Agent と Consumer に焦点を当てます。Agent は、Zoom コンタクトセンターを利用する個人であり、音声、ビデオ、またはメッセージ チャネルを通じてエンゲージメントを受信し、Consumer からお支払いを安全に受け取る必要があります。Consumer は、支払いカード保有者であるエンゲージメントの開始者です。テキストベースのお支払いチャネルは利用可能ですが、この例では音声チャネル全体のエンゲージメントに焦点を当てます。

Zoom コンタクトセンターに通話すると、Consumer は、指定された Agent にルーティングされる前に、管理用キュー設計に基づいてメニューとインタラクションを通じて案内されます。エンゲージメントが開始された後、Agent と Consumer が音声チャネルを介して互いに通信できる 2 つのメディアフロー区間があります。(1) メディアは Consumer から PSTN および ZCC インフラストラクチャへ送信され、(2) メディアは ZCC インフラストラクチャと Agent のクライアント間で送信されます。これは、Zoom コンタクトセンターへの従来の通話の例でもあります。

最初の通話が確立されると、Agent はお支払いが回収されるまで Consumer と通信できます。その時点で、PCI Pal Zoom アプリ内の Agent は、(3) セッションを起動してお支払いの回収を開始します。Zoom と PCI Pal の API を組み合わせて使用することで、SIP を使って PSTN プロバイダー、PCI Pal、Zoom 間の追加の通話レッグを調整します。これらの通話レッグは、Zoom と Agent がカード保有者データを処理、送信、保存する必要がなくなるような方法でメディアネゴシエーションを容易にします。最初の通話レッグ (4) は PSTN プロバイダーと Zoom の間で接続されたままです。追加の通話レッグ (5) が Zoom から PCI Pal へ確立されます。通話レッグ (4) と (5) が正常に接続されると、メディア (6) は PSTN プロバイダーと PCI Pal の間で直接ネゴシエートされます。メディアが PCI Pal 内にある間に、カード保有者データは削除されます。PCI Pal は、関連するメディアストリームを伴うシグナリングを Zoom に送り返します (7)。受信後、Zoom はフローを Agent に再接続します (8)。

PSTN から PCI Pal へのこのメディアフロー (6) にはカード保有者データが含まれており、PCI Pal 環境に入る際にフィルタリングされます。メディアは Zoom (7) に戻され、最終的に agent (8) に送られます。このメディアパスがアクティブになるのは、お支払いプロセスの期間中のみで、通常は数分しかかかりません。Agent は、この間も Consumer との通信を維持できます。Zoom に到達する前にカード保有者データがメディアから削除されるため、録音などのサービスは、コンプライアンスの対象範囲を拡大することなく、エクスペリエンス全体を通して維持できます。

お支払いが完了すると、追加の接続は自動的に削除され、メディアは元のセットアップで確立されます。PSTN から Zoom へ (1)、および Zoom から元の Agent へ (2) です。Agent は、必要に応じて追加のお支払いフローを確立できます。

解決策の要点

すぐには明らかでないかもしれない項目の1つは、通話に対する Zoom コンタクトセンターサービスの利用可否です。メディアが Zoom に到達する前に Card Holder Data を削除することで、録音、文字起こし、センチメント分析から、監督機能向けの Quality Management まで、やり取りは Zoom コンタクトセンターの機能を活用できます。

上記で説明したアーキテクチャは、複数の設計上の利点を持つ、Zoom コンタクトセンターに固有のものです。他の設計では、お支払い情報を必要とする可能性のある任意の通話を、お支払い処理装置（例：シグナリング）に接続することが必要になります。Zoom への接続中を中核のルーティングエンジンとする設計では、お支払い処理装置に接続する必要がある通話のみが統合システムへ確立され、しかも必要な期間に限られます。これにより、お支払いが必要でない限り通話フローは通常どおり動作できる柔軟性が得られるとともに、予期せずお支払いを受け付ける必要が生じた場合でも、よりスムーズに運用できます。

多くの他のフローは、安全なお支払いソリューションを通じて継続的に接続されています。遅延の考慮事項は別として、オンデマンドソリューションのもう1つの追加メリットは、障害ドメインに関するものです。 これらのシステムは非常にオンラインな稼働時間を持っています、システムが直列に接続されている場合、SLAは合算されます。Zoom コンタクトセンターでソリューションが実装されると、各システムに連携の問題が発生した場合でも、消費者をエージェントへ引き続き接続できるようになります。

最後に、Zoomのプラットフォームベースの設計により、これらの統合をZoom コンタクトセンター以外のユーザーにも活用できます。ユーザーがZoom コンタクトセンターのキューに関連付けられていない場合でも、Zoom Phoneには同様の機能があります。

独自のメリットに加え、PCI Palとの連携とエージェントのワークフローの評価により、組織がPCI Scopeを制限できるように有効にする場合があります。

最後に

支払いをサポートするコンタクトセンターを導入するためのコンプライアンスと技術要件のバランスを取るには、適切な進め方が必要です。Zoom コンテクトセンターの PCI Pal との連携により、コンプライアンス上の複雑さを軽減するためのさらなる柔軟性が得られます。今後、連携が管理者の視点からどのように設定されるかに焦点を当てた記事を公開する予定です。