Die Bedeutung der PCI-Konformität kann von Unternehmen, die Kartenzahlungen verarbeiten, nicht übersehen werden. Eine Umfrage des Ponemon Institute ergab, dass 86% der Unternehmen dies als oberste Priorität und fast die Hälfte als die am schwierigsten einzuhaltende Vorschrift ansehen. Warum dieser einschüchternde Ruf?
Die Einhaltung des PCI DSS wird nicht immer gut verstanden, was vielleicht an dessen Komplexität liegt. Wir haben im Laufe der Zeit festgestellt, dass sich dies auf die Art und Weise auswirkt, wie kleine und mittlere Unternehmen ihre Telefonie-Prozesse verwalten. Der Grund dafür ist, dass die Zahlungen am Telefon an die Aufzeichnung der Anrufe sowie an die Optionen gebunden sind, die einem Agenten bei der Interaktion mit dem Kunden zur Verfügung stehen.
Fakten zur PCI-Einhaltung
Die PCI-Standards dienen dem Schutz aller an einer Kartenzahlung beteiligten Parteien. Sie tun dies, indem sie bewährte Verfahren für Händler (Unternehmen, die Zahlungen an Kunden anbieten) festlegen. Dies wiederum verringert das Risiko für die Anbieter von Zahlungskarten (deren Ruf von der Sicherheit ihrer Dienste abhängt) sowie für die ausstellenden Banken.
Wenn Ihr Unternehmen als Händler tätig ist und Kartenzahlungen verarbeitet, fällt es in eine der folgenden Kategorien, je nach dem Volumen der pro Jahr verarbeiteten Zahlungen:
Je nach Ebene gibt es unterschiedliche PCI-Compliance-Anforderungen, um die Verarbeitung sensibler Daten im Zusammenhang mit Kartenzahlungen zu schützen. Der Wert dieser Anforderungen lässt sich am besten daran ablesen, welche Folgen die Nichteinhaltung haben kann:
- Größeres Risiko einer Datenverletzung – es ist wahrscheinlicher, dass Kartendaten gestohlen werden und das Geld der Kunden in Gefahr ist. Ein Händler, der gegen die Bestimmungen verstößt, wird entsprechend seiner vertraglichen Beziehung zu einem Kartenanbieter mit einer Geldstrafe belegt.
- Vertragsstrafen – das Nichterreichen des geforderten Konformitätsniveaus stellt für Zahlungskartenanbieter ein Risiko dar. Durch ihre Beziehung zu einer ausstellenden Bank können den Händlern Geldbußen auferlegt werden, bis sie die erforderliche Höhe erreicht haben.
- Reputationsverlust – Im Falle eines Verstoßes kann die Aufmerksamkeit der Medien dafür sorgen, dass einer Marke erheblicher Schaden zugefügt wird. Dies wirkt sich auch auf die Beziehung des Händlers zum Kartenaussteller aus, wo weitere finanzielle Strafen verhängt werden können.
Die Möglichkeit, Zahlungen per Telefon abzuwickeln, ist an die Einhaltung der PCI-Vorschriften geknüpft, da a) Kartendaten auf irgendeine Weise an den Händler übermittelt werden müssen und b) diese Interaktionen in der Regel für gesetzliche oder branchenspezifische Vorschriften oder für interne Geschäftszwecke aufgezeichnet werden müssen. Im Contact Center wird diese Auswirkung am PCI DSS-Scope gemessen, wobei sich der Gesamtumfang auf alle Geräte und Methoden bezieht, die an der Verarbeitung von Kartendaten beteiligt sind.
Auch hier bezieht sich der Umfang auf die PCI DSS-Stufen. Der Umfang des Contact Center-Betriebs eines Händlers der Stufe 1 würde beispielsweise viele Agenten in einer streng kontrollierten, spezifischen Umgebung umfassen und erfordert die aktuellste Verschlüsselungs- und Datenspeichersicherheit sowie eine jährliche Prüfung vor Ort durch einen qualifizierten Sicherheitsgutachter.
Ein Händler der Stufe 4 mit zwei Agenten, die Kartenzahlungen abwickeln, muss dagegen vielleicht nur seinen Telefondienst verschlüsseln und würde einen Fragebogen zur Selbsteinschätzung ausfüllen, um seinen Umfang zu bestimmen.
Was zu tun ist
Um die Kosten für das Erreichen des richtigen PCI-Zertifizierungsniveaus zu senken, ist es das Ziel, den Umfang zu reduzieren. Um dies zu erreichen, muss sichergestellt werden, dass, wenn Anrufe aufgezeichnet werden müssen, nur nicht-sensible Daten (d.h. keine Kartendaten) gespeichert werden. Die Anrufbearbeitungs-Plattform von babelforce ermöglicht es den Agenten, die Aufzeichnungen zu stoppen und zu starten, so dass diese Daten aus dem Anwendungsbereich herausgenommen werden können.
Im Zusammenhang mit einem Anruf zur Abwicklung einer Kartenzahlung könnte dies etwa so aussehen
- Ein Agent nimmt einen Anruf entgegen und informiert den Kunden über das Aufnahmeverfahren. Der Kunde stimmt zu und die Agenten beginnen mit der Aufnahme.
- Der Anruf erreicht den Punkt, an dem die Kartendaten abgefragt werden müssen, und der Mitarbeiter hält die Aufzeichnung an. Die Daten werden vom Agenten verarbeitet.
- Sobald die sensiblen Daten erfolgreich verarbeitet wurden, setzt der Agent die Aufzeichnung für den Rest des Gesprächs fort.
Es gibt nun zwei Gesprächsaufzeichnungen, die beide möglicherweise noch personenbezogene Daten enthalten. Die Möglichkeit, sie separat zu kennzeichnen, ermöglicht ein einfaches Auffinden im Einklang mit den Datenschutzgesetzen und anderen Vorschriften.
Was aber, wenn dem Agenten ein Fehler unterläuft und er versehentlich einige Kartennummern aufzeichnet? babelforce ermöglicht die Kennzeichnung von Aufzeichnungen, so dass sie zur Überprüfung durch einen Callcenter-Manager markiert werden können.
Eine weitere Funktion, die die Einhaltung der Vorschriften erleichtert, ist die VoIP-Verschlüsselung. SRTP- und SIP-Verschlüsselung gehören zur Standardausstattung der babelforce-Plattform. Das bedeutet, dass die Telefonie für den Teil des Anrufs, bei dem die Daten in das Netzwerk des Händlers gelangen, sicher ist.
Fazit
Aufgrund des operativen Risikos und der Kosten für die Bereitstellung von Telefonzahlungsdiensten haben wir festgestellt, dass sich kleine bis mittelgroße Händler für Telefondienste entscheiden, die die erforderliche Funktionalität zu den niedrigsten Gesamtkosten bieten.
babelforce vereinfacht die Einhaltung von PCI-Richtlinien und integriert sich gleichzeitig tief in andere Geschäftsprozesse. Ihre Agenten sollten in der Lage sein, konforme Zahlungen mit ihren üblichen Helpdesk-/CRM-Tools zu bearbeiten, und die Kontextdaten zu diesen Anrufen sollten auch in BI-Berichten und Dashboards sichtbar gemacht werden.
