呼叫中心员工和PCI范围-明升体育app下载

如果你的公司经营一个呼叫中心, 你在考虑做PCI评估, 你可能会想两件事:

我要澄清.

如果您的呼叫中心通过电话接受支付/持卡人数据(CHD), 你要么录下电话，要么要求员工在他们的工作站输入CHD, 然后是的, 你的呼叫中心在范围之内.

好消息是，在你的PCI评估中，可以减少呼叫中心的范围. 在某些情况下，这很简单.

呼叫中心常用的PCI缩小范围的四项努力

如果您的呼叫中心员工将信用卡信息输入他们的工作站, 投资点对点加密设备.

这些设备在进入点对CHD进行加密. 然后数据以加密的格式发送，并且只能由接收方解密.

如果您使用这种技术来减少PCI范围，有两件重要的事情需要注意.

首先，确保你使用的设备是真实的 PCI-validated. 如果您没有使用经过pci验证的系统, 你们的QSA不会认为这是一种有效的缩小范围的方法.

第二，记住P2PE必须用于所有处理持卡人数据的设备. 这是一个孤注一掷的命题. So, 确保您确切地知道您的呼叫中心在哪里处理持卡人的数据，并在所有这些点上实现P2PE.

如果你的呼叫中心员工收到了CHD，逻辑上表明他们是通过电话接收的. 而且，如果这些通话在没有正确技术的情况下被记录下来，持卡人的数据也会被记录下来.

如果您想减少您的呼叫中心的范围，您的目标是确保CHD没有被记录.

有一些呼叫录音技术，允许呼叫中心员工在共享CHD时手动暂停录音. 如果你使用这种技术, 重要的是，你还包括程序控制，以确保员工每次都正确执行这一操作.

还有一些技术可以在通话中自动检测CHD, 暂停录音, 然后在CHD被共享后再拿回来.

顺便说一下, 如果您还在录制呼叫中心座席的屏幕视频除了呼叫音频, 您应该验证这些视频是否捕获了CHD的显示，因为代理正在进入这些视频或之后的任何时间. 如果是这样的话, 这被认为是存储的冠心病, 你还需要暂停视频记录以消除存储空间.

快速澄清一下:这并不意味着外包所有的呼叫中心运营(尽管如果您愿意，您可以这样做), 而是外包支付受理呼叫中心的运营.

实际上，这意味着你可以有两个呼叫中心:

一个由你的公司拥有和管理的，不涉及任何CHD(这可能是一个帮助台, 等.)，另一个是你外包的，接受付款信息的.

通过将业务的支付接受方面外包给符合pci的组织, 你就可以把它从PCI scope中移除.

如果存储CHD, 加工过的, 或者通过任何内部托管的网站或桌面软件传输, 这些技术将在范围之内, 而你的组织将负责在他们周围实施控制，以保护冠心病.

然而, 如果这些应用程序托管在兼容pci的基于云的系统上, 您的组织在维护周围的控制方面的责任将会更少. 而不是, 这些责任被转移到基于云的供应商, 您的责任仅限于服务提供商的PCI合规性的年度验证, 除了维护CDE的任何元素的合规性之外，CDE仍在您的控制之下.

缩小范围可能需要预先做大量的工作. 但, 从长远来看, 它会简化你的PCI评估, 以及你的整体网络安全态势.

如果你的组织正在考虑进行PCI评估，明升体育app下载学习我们如何提供帮助. 无论你是在寻找一个评估者还是仅仅是为了增加你符合RoC的可能性的指导, 我们希望收到你的来信.