# PCI-naleving

Het bespreken van de vereisten van de Betaling Card Industry's (PCI) kan vaak beginnen met het pakken van een kop koffie. Als u ooit aan deze gesprekken hebt deelgenomen, zijn de resultaten vaak subjectief, wat leidt tot de algemene wens om de scope van een omgeving zo veel mogelijk te verkleinen. Met de oplossing Zoom die PCI Pal heeft geïmplementeerd, wordt koffie Optioneel. In deze post onderzoeken we de implementatie, de voordelen ervan en hoe uw Organisatie mogelijk uw Zakelijk processen kunt verkleinen.

### Achtergrond over PCI

De PCI Security Standards Council heeft een reeks richtlijnen opgesteld die de omgang met creditcardgegevens binnen verschillende omgevingen reguleren. Er zijn richtlijnen [gepubliceerd](https://www.pcisecuritystandards.org/standards/) door de raad die de vereisten voor een handelaar (het bedrijf dat betalingen int) vaststelt. De primaire focus van de normen is het beschermen van Card Holder Data (CHD), aangezien deze over meerdere systemen wordt gedeeld. De handelaar zal gebruikmaken van verschillende leveranciers en oplossingsaanbieders om de verkoop te verwerken.

Al deze componenten leiden tot een ondersteunende Attestation of naleving (AOC). De AOC stelt de handelaar in staat om gebruik te maken van de verklaringen van verschillende leveranciers om hun eigen AOC op te stellen. Afhankelijk van het ontwerp van de oplossing en het aantal transacties kan het een vrij grote inspanning vergen om een Card Holder Environment (CHE) te herstellen en te onderhouden.

<figure><img src="https://media.zoom.com/images/assets/zcc.png/Zz1mODBkMWFhMDU4YWExMWVmODU2N2FhYzY3NmNhNjhlMg==" alt="Combining Vendor AOC&#x27;s to support a Customer AOC and a PCI Compliant Design" width="563"><figcaption><p>Het combineren van Vendor AOC's ter ondersteuning van een Customer AOC en een PCI-conform ontwerp</p></figcaption></figure>

Terwijl we de implementatie bespreken en hoe deze een Organisatie kan helpen, is het belangrijk om aandacht te hebben voor de algehele stroom van de kaarthoudersgegevens. Als kaarthoudersgegevens presenteren, kunnen nalevingsaudits vereist zijn. Met de hieronder uitgelichte Zoom-oplossing heeft een handelaar de mogelijkheid om deze omgeving en de bijbehorende kosten te minimaliseren.

We zullen bekijken hoe Zoom en PCI Pal achter de schermen samenwerken om Klanten Inschakelen zodat zij PCI-naleving kunnen bereiken in Zoom contactcenter.

### Oplossingsoverzicht

De oplossing maakt gebruik van de [Zoom App Marketplace](https://marketplace.zoom.us/apps/MxNTkUxtQYSja9I-2YbMwQ?optimizely_user_id=efe7866fa2ae9ac46f7e6b8bb8e98da9) en [Zoom Partner Oplossingen](https://partner.zoom.us/solutions/pcipal/?optimizely_user_id=efe7866fa2ae9ac46f7e6b8bb8e98da9) om PCI-conforme gesprekken binnen een omgeving mogelijk te maken. Er zijn veel verschillende manieren om naleving aan te pakken, en met de hieronder beschreven oplossing zijn er mogelijkheden om de omvang van een omgeving te minimaliseren.

Voor de doeleinden van deze sectie richten we ons op twee primaire entiteiten: de Agent en de Consument. De Agent is een persoon die Zoom contactcenter gebruikt en interacties ontvangt via een voice-, video- of berichtenverkeer-kanaal en verplicht is betalingen van de Consument op een veilige manier te ontvangen. De Consument is de initiatiefnemer van de interactie en is de kaarthouder van de betaling. Hoewel op tekst gebaseerde betalingskanalen beschikbaar zijn, richten we ons in het voorbeeld op interacties via het spraakkanaal.

Na bellen naar Zoom contactcenter wordt de Consument via de menu’s en interacties geleid op basis van het administratieve wachtrijontwerp voordat deze naar de aangewezen Agent wordt doorgestuurd. Nadat de interactie is gestart, zijn er twee mediastroomsegmenten die de Agent en Consument in staat stellen met elkaar te communiceren via een spraakkanaal: (1) media wordt verzonden van de Consument naar de PSTN- en ZCC-infrastructuur, en (2) media wordt verzonden tussen de ZCC-infrastructuur en de client van de Agent. Dit is ook een voorbeeld van een traditioneel bellen naar Zoom contactcenter.

<figure><img src="https://media.zoom.com/images/assets/PCI-1.png/Zz1iYzBkZThiODU5NmQxMWVmOGJmOTdhMWVmYWFhYWJhNA==" alt="Initial Phone Call setup" width="563"><figcaption><p>Initiële telefoonbellen-instelling</p></figcaption></figure>

Met het initiële bellen tot stand gebracht, kan de Agent met de Consument communiceren totdat de Betaling moet worden geïnd. Op dat moment start de Agent, binnen de PCI Pal Zoom app, (3) een sessie om te beginnen met het innen van de Betaling. Met behulp van een combinatie van Zoom’s en PCI Pal API’s wordt SIP gebruikt om extra gespreksdelen te orkestreren tussen de PSTN-provider, PCI Pal en Zoom. Deze gespreksdelen vergemakkelijken de mediaverbinding op een manier die Zoom en de agent ontlast van het verwerken, verzenden en opslaan van kaarthoudergegevens. Het initiële gespreksdeel (4) blijft verbonden tussen de PSTN-provider en Zoom. Een extra gespreksdeel (5) wordt tot stand gebracht van Zoom naar PCI Pal. Wanneer de gespreksdelen (4) en (5) succesvol zijn verbonden, wordt media (6) rechtstreeks onderhandeld tussen de PSTN-provider en PCI Pal. Terwijl de media zich binnen PCI Pal bevindt, worden de kaarthoudergegevens verwijderd. PCI Pal stuurt de signalering met een bijbehorende mediastream terug naar Zoom (7). Zodra deze is ontvangen, verbindt Zoom de stroom opnieuw met de Agent (8).

Deze mediastroom van PSTN naar PCI Pal (6) bevat kaarthoudergegevens en wordt gefilterd bij binnenkomst in de PCI Pal-omgeving. De media wordt teruggestuurd naar Zoom (7) en uiteindelijk naar de agent (8). Dit mediatraject is alleen actief gedurende de betaalprocesduur, die doorgaans slechts enkele minuten duurt. De Agent heeft de mogelijkheid om gedurende deze tijd de communicatie met de Consument te onderhouden. Omdat de kaarthoudergegevens uit de media zijn verwijderd voordat deze bij Zoom aankomen, kunnen services zoals opname gedurende de hele ervaring worden gehandhaafd zonder de nalevingsomvang te vergroten.

<figure><img src="https://media.zoom.com/images/assets/PCI-2.png/Zz1iYzIwNzFmNDU5NmQxMWVmOGNhNjdhMWVmYWFhYWJhNA==" alt="Payment in Process" width="563"><figcaption><p>Betaling in behandeling</p></figcaption></figure>

Nadat de betaling is voltooid, worden de extra verbindingen automatisch verwijderd en wordt media tot stand gebracht in de oorspronkelijke configuratie: van de PSTN naar Zoom (1) en van Zoom naar de oorspronkelijke Agent (2). Een Agent kan indien nodig extra betaalstromen tot stand brengen.

<figure><img src="https://media.zoom.com/images/assets/PCI-3.png/Zz1iYmQ5M2UyZTU5NmQxMWVmYjY2MTE2MzE1YTc1N2UyOQ==" alt="Original Flow is re-established" width="563"><figcaption><p>De oorspronkelijke stroom is hersteld</p></figcaption></figure>

### Belangrijkste punten van de oplossing

Een van de zaken die misschien niet meteen duidelijk zijn, is de beschikbaarheid van Zoom contactcenter-services voor het bellen. Het verwijderen van kaartgegevens van de houder voordat de media bij Zoom aankomen, stelt de interactie in staat gebruik te maken van de functies van Zoom contactcenter, van opname, transcripties en sentimentanalyse tot kwaliteitsbeheer voor toezichthoudende functies.

De hierboven beschreven architectuur is uniek voor Zoom contactcenter, met meerdere ontwerpfuncties. Voor andere ontwerpen moet elke bellen die mogelijk Betaling-informatie nodig heeft, verplicht Verbinden met de betalingsverwerker (bijv. signalering). Met het ontwerp dat Verbinden met Zoom als de kern van de Routering-engine, zullen alleen de bellen die moeten Verbinden met een betalingsverwerker tot stand komen met de geïntegreerde systemen en alleen voor de benodigde duur. Dit maakt flexibiliteit van de bellenstromen mogelijk om normaal te functioneren, tenzij Betaling nodig is, evenals een soepelere werking als een Betaling onverwacht moet worden afgenomen.

Veel andere flows verbinden zich persistent via de beveiligde Betaling-oplossing. Afgezien van latency-overwegingen ligt het andere extra voordeel van de on-demandoplossing bij failure domains. [Hoewel deze systemen zeer Beschikbaar zijn, hebben ze een hoge uptime](https://uptime.zoom.us/?optimizely_user_id=efe7866fa2ae9ac46f7e6b8bb8e98da9), systemen die in serie zijn verbonden, hebben gecombineerde SLA's. Met de oplossing die is geïmplementeerd in Zoom contactcenter, hebben de verschillende systemen nog steeds de mogelijkheid om de Consument met de Agent te verbinden mocht een Integratie(s) een probleem hebben.

Ten slotte Toestaan de Platform-gebaseerde ontwerpen van Zoom dat deze integraties kunnen worden benut voor gebruikers die geen deel uitmaken van een Zoom contactcenter. Zoom Phone heeft vergelijkbare mogelijkheden die kunnen worden gebruikt als de gebruiker niet is gekoppeld aan een wachtrij van Zoom contactcenter.

Boven op de unieke voordelen kan Integratie(s) met PCI Pal en het beoordelen van de workflows van de Agent uw Organisatie Inschakelen om uw PCI-scope te beperken.

### Ter afsluiting

Het in evenwicht brengen van de compliance- en technologiebehoeften om een contactcenter te implementeren die betalingen ondersteunt, vereist een goede navigatie. Met Zoom Contact Center's Integratie(s) met PCI Pal is er extra flexibiliteit om compliance-complexiteiten te helpen verminderen. We zullen verdere artikelen plaatsen waarin wordt ingegaan op hoe de integratie is geconfigureerd vanuit het perspectief van de beheerder.