Jak bezpiecznie przetwarzać dane z kart kredytowych podczas rozmowy telefonicznej?

Według raportu Consumer Sentinel Network Data Book 2014 autorstwa amerykańskiej Federalnej Komisji ds. Handlu, której zadaniem jest ochrona konsumentów i zapobieganie nieuczciwym praktykom biznesowym, aż 54% reklamacji w USA dotyczących nadużyć związanych z nieautoryzowanym użyciem kart płatniczych dotyczy kontaktu telefonicznego.

Jak nowoczesne technologie - zgodnie z obowiązującymi normami - zabezpieczają transakcje przez telefon przed oszustwem?

PCI DSS (Payment Card Industry Data Security Standard) to zespół norm bezpieczeństwa stworzonych przez Payment Card Industry Security Standards Council w 2004 roku.

Różne środowiska, organizacje płatnicze, wydawcy kart, przedsiębiorcy akceptujący płatności kartami i centra autoryzacyjne, które przechowują lub przetwarzają dane z kart kredytowych lub innych kart płatniczych, muszą przestrzegać tych norm. Przepisy PCI SSC nie zastępują prawa lokalnego lub krajowego, ale powinny być przestrzegane przez firmy korzystające z usług wydawców American Express, Visa, MasterCard i innych.

W marcu 2011 roku normy PCI SSC zostały doprecyzowane o zalecane procedury bezpieczeństwa przy przetwarzaniu kart w contact center (Suplement „Protecting Telephone-based Payment Card Data”)

Regulacja ta jest problemem dla wielu call centers, ponieważ często są one zobowiązane do rejestrowania i przechowywania rozmów telefonicznych z tytułu innych przepisów. Natomiast PCI DSS zakłada, że ​​nie można nagrywać ani przechowywać kodu weryfikacyjnego lub kodu autoryzacji karty kredytowej, który posiadacz karty czyta w celu weryfikacji karty (numer ten jest nazywany CVV2, CVC2, CID lub CAV2).

W sytuacji, gdy nagrywając rozmowę, nagrywamy zarówno osobę podającą dane z karty jak i kod weryfikacyjny i jeśli informacje takie mogą być w jakikolwiek sposób odsłuchane lub odzyskane, jest to naruszenie norm PCI DSS.

Istnieje kilka opcji działania zgodnie z PCI DSS. Najpierw jednak przyjrzyjmy się, jakie regulacje obowiązują w contact center.

• Naruszeniem PCI DSS jest przechowywanie wszystkich danych wrażliwych (danych uwierzytelniających kartę, kodów walidacji) otrzymanych w wyniku autoryzacji, nawet jeśli są zaszyfrowane.

• Czyli zakazane jest używanie dowolnej formy zapisu cyfrowego dźwięku w celu przechowywania danych wrażliwych, jeśli te dane mogą być sprawdzone/przetwarzane.

• Jeśli takie nagrania nie mogą być eksplorowane, ich przechowywanie jest możliwa do momentu walidacji karty. Zapis ten nokautuje nagrywanie rozmów i Speech Analitycs w call center

• Żadne dane z paska magnetycznego lub PIN nie mogą być przechowywane. Możesz zapisać PAN (akronim dla “primary account number”, czyli numer karty), ale musi to być szyfrowane lub niemożliwe do odczytania.

Na stronie 10 suplementu z marca 2011 po zapisie "Zwróć szczególną uwagę na wrażliwe dane uwierzytelniające" jest napisane tłustym drukiem, "Przechowywanie nie jest dozwolone". Szyfrowane, czy nie.

Oznacza to obowiązek wstrzymania nagrywania rozmowy, gdy przekazywane są poufne informacje oraz wznowienie nagrywania rozmowy po ich otrzymaniu. Istnieją dwa podstawowe sposoby na wstrzymanie rozmowy, czyli działania zgodnie ze standardami PCI DSS.

• Konsultant może zrobić to ręcznie.
• Odbywa się to automatycznie.

Przeanalizujmy te dwa przypadki.

Inicjowane przez agenta wstrzymania i wznawiania nagrywania rozmowy.

Niektórzy producenci oferują technologię, która wstrzymuje nagrywanie na określony czas, gdy agent kliknie w pauzę. Lepsza jest opcja, w której konsultant nie musi pamiętać, aby wznowić nagrywanie (szczerze mówiąc, o wznowieniu zapomina więcej osób, niż o włączeniu pauzy). Często klient, zamiast podać numer, zaczyna zdanie od „Oj przepraszam, pomyliłem się….” i mija czas zanim zostaną odczytane prawidłowe dane do nagrania przez system.

Problemem takich systemów ręcznych jest to, że nie są one w pełni zgodne z PCI DSS. Zgodnie z wytycznymi Rady Bezpieczeństwa Standardów PCI, call center musi usunąć poufne dane autoryzacji "automatycznie (bez ręcznej interwencji personelu)."

Jeśli nagrywamy połączenia głosowe i chcemy odsłuchać takie rozmowy dla potrzeb czy to jakościowych czy marketingowych i jeśli nie posiadamy systemów opartych o IVR (Interactive Voice Response) i DTMF (Dual Tone Multi Frequency) pozostaje nam tylko jedna możliwość - automatyzacja.

Automatyczne wstrzymywanie i wznawianie nagrywania.

APR (automated privacy control) to najlepsze obecnie rozwiązanie. Polega ono na tym, że w momencie gdy konsultant ma wyświetlony określony ekran, aplikację lub pole, nagrywanie zostaje automatycznie wstrzymane do momentu wyjścia z tego miejsca.

Niektóre systemy są przystosowane do monitorowania, których aplikacji agent aktualnie używa i automatycznego wyzwalania pauzy i wznawiania nagrania.

Niestety, nic nie jest bez wad. Połączenie pulpitu aplikacji umożliwiającej wprowadzenie danych płatności z technologią rejestracji może być trudne, jeśli nie zbuduje się jej od podstaw. Niektórzy producenci oferują produkty, które omijają tę przeszkodę. Mogą również wystąpić spory z klientami, nadużycia i oszustwa, jeśli informacje nie są zapisywane w ogóle.

Jeśli chodzi o połączenia głosowe, APR jest obecnie najlepszym dostępnym rozwiązaniem zgodnym z PCI DSS.

Jeśli jesteś zainteresowana/y, jaki wpływ ma PCI DSS na pracę konsultantów oraz na nagrywanie i przechowywanie nagrań, pobierz dokument „PCI DSS compliance in Contact Centers” z przedmową Donny Fluss, prezesa firmy doradczej DMG Consulting specjalizującej się w strategiach biznesowych zorientowanych na klienta, procesach i technologiach call center.