Блог, версия 5.х, оператор, рынок, Технологии

Безопасный Контакт Центр

Почему современный контакт центр должен соответствовать стандарту PCI-DSS  

Москва, 28 сентября 2021 г.

Современный контакт центр обрабатывает самые разные виды обращений клиентов, в том числе и связанные с обслуживанием финансовых транзакций. Почему в современных условиях контакт центру важно обеспечить защиту финансовых данных клиентов?   

Количество операций , совершаемых безналичным способом постоянно растет, все большее число клиентов совершают покупки он-лайн. За время пандемии в 2020 г. количество он-лайн заказов в России выросло на 78%. По прогнозу Data Insight российский рынок e-commerce вырастет на 34% к 2024 году. 

Рост операций , проводимых он-лайн , влияет на характер обращений, поступающих в контакт центр.  Увеличивается количество обращений, связанных с заказом товаров и услуг, проведением платежей и доставкой заказов. Все это повышает требования к защите информации, обрабатываемой операторами КЦ. 

Все компании, которые хранят, обрабатывают или обеспечивают передачу данных держателей платежных карт должны соответствовать  стандарту PCI DSS (Payment Card Industry Data Security Standard — Стандарт безопасности данных индустрии платежных карт).

Данный стандарт представляет собой набор правил, утвержденных Советом по стандартам безопасности индустрии платежных карт, предназначенный для обеспечения соответствия требованиям в отношении операций по кредитным картам и данных держателей карт. 

Важно, что данному стандарту должны соответствовать не только операции с картами Visa и MasterCard, но и с отечественными картами МИР , которые используются у 42% держателей банковских карт в России (согласно одному из последних исследований). 

Почему требования PCI применяются и к контактным центрам?

Стандарты PCI обеспечивают безопасность данных о держателях карт, которые передаются при совершении покупок (например, номер карты, коды CVV и срок действия). Данные о держателях карт могут использоваться в Контакт центрах при обращениях по разным каналам доступа, поэтому компаниям важно постоянно отслеживать соответствие требованиям PCI.

Необходимость отслеживания объясняется в том числе и высокими штрафами за нарушение. Штрафы за несоблюдение могут быть от 5 000 до 500 000 долларов США. Даже соблюдающие правила компании могут сталкиваться с нарушениями в работе с данными, что влечет за собой штраф от 50 до 90 долларов за скомпрометированные данные держателя карты. Эти штрафы наносят ущерб деятельности компаний, связанным с выплатой больших штрафов и негативно влияют на  репутацию у клиентов, поставщиков и партнеров.

Невыполнение требований PCI DSS может рассматриваться как нарушение локального законодательства о защите персональных данных. Для России это всем известный 152-ФЗ «О персональных данных» . Также сообщается, что может применяться КоАП РФ: пункт 6 статьи 13.12 «Нарушение правил защиты информации» и статья 15.36 «Неисполнение оператором платежной системы требований законодательства РФ о национальной платежной системе».

Широко известным случаем является судебный иск к американской розничной сети  Target в 2013 году после того, как было взломано около 41 миллиона счетов кредитных и дебетовых карт. Target тогда заключила межгосударственное соглашение о компенсации в размере 18,5 миллионов долларов —  крупнейшее за всю историю утечки данных.

Что рекомендует BrightPattern: компания — производитель платформы Облачного Контакт Центра. 

1. Разработайте специальные правила и процедуры 

Небольшим компаниям или компаниям, которые плохо знакомы с требованиями PCI, следует разработать четкие и простые для выполнения политики и процедуры. Поскольку соблюдение требований PCI касается как всех сотрудников контакт-центра, так и используемых систем и приложений, операторы КЦ должны быть обучены правилам и процедурам соблюдения требований PCI. Эти рекомендации необходимо ежегодно обновлять и документировать с учетом появления новых угроз. Правила обычно включают включают обработку инцидентов (нарушений), правила работы за ПК оператора и через мобильные устройства,  политики безопасности данных и т.п. 

2. Обновите документацию

Если в компании есть необходимая документация — важно постоянно ее обновлять. Компании должны документировать все изменения в области безопасности, происходящие в течение года. Рекомендуется делать это ежемесячно на основе отзывов операторов и руководства вовлеченных подразделений. Эта информация будет очень полезна во время  подготовки ежегодного обзора соответствия требованиям PCI.

3. Информируйте всех сотрудников 

Как упоминалось в совете № 1, важно обучать сотрудников политикам и процедурам. Соблюдение требований PCI должно быть встроено в процесс обучения операторов, а постоянное обучение и инструктаж должны проводиться в течении всего года. Курсы повышения квалификации могут быть полезны для переподготовки операторов или ознакомления сотрудников с  изменениями в правилах компании. Важно привить сотрудникам и контролировать соблюдение основ безопасности, включая блокировку компьютера при уходе с рабочего места, частую смену паролей и контроль окружающей обстановки.

4. Используете решения, соответствующие стандарту PCI

Вы можете соответствовать стандарту только если если используемое в КЦ решение ему соответствует. При выборе поставщика убедитесь, что предлагаемое решение соответствует требованиям PCI и прошло независимую проверку на соответствие. Воспользуйтесь всеми преимуществами выбранного решения для улучшения корпоративных правил работы согласно требованиям PCI.

5. Постоянно совершенствуетесь

Соблюдение требований нормативов —  это не тот случай, когда можно всё настроить один раз и забыть об этом.  Соответствие стандартам необходимо постоянно совершенствовать, обновлять и ежегодно пересматривать. Также важно быть в курсе последних требований PCI, поскольку они часто меняются.

Используемая в Контакт Центре программная платформа требует все более высокого уровня безопасности для защиты данных клиентов и предотвращения судебных разбирательств. Разработчик платформы — компания Bright Pattern обеспечивает высочайший уровень соответствия PCI, предоставляя решение, сертифицированное  специализированной компанией CompliancePoint.

Платформа Облачного Контакт Центра включает в себя целый пакет функций, обеспечивающих безопасную работу с данными клиентов: от скрытия персональной информации клиентов до полного легирования всех действий пользователей платформы. Подробнее о соответствии Облачного КЦ требованиям PCI  можно узнать на отдельной странице на сайте компании. Там же можно скачать специальную брошюру о соответствии платформы Облачного КЦ современным требованиям по надежности и безопасности.