Почему современный контакт центр должен соответствовать стандарту PCI-DSS
Москва, 28 сентября 2021 г.
Современный контакт центр обрабатывает самые разные виды обращений клиентов, в том числе и связанные с обслуживанием финансовых транзакций. Почему в современных условиях контакт центру важно обеспечить защиту финансовых данных клиентов?
Количество операций , совершаемых безналичным способом постоянно растет, все большее число клиентов совершают покупки он-лайн. За время пандемии в 2020 г. количество он-лайн заказов в России выросло на 78%. По прогнозу Data Insight российский рынок e-commerce вырастет на 34% к 2024 году.
Рост операций , проводимых он-лайн , влияет на характер обращений, поступающих в контакт центр. Увеличивается количество обращений, связанных с заказом товаров и услуг, проведением платежей и доставкой заказов. Все это повышает требования к защите информации, обрабатываемой операторами КЦ.
Все компании, которые хранят, обрабатывают или обеспечивают передачу данных держателей платежных карт должны соответствовать стандарту PCI DSS (Payment Card Industry Data Security Standard — Стандарт безопасности данных индустрии платежных карт).
Данный стандарт представляет собой набор правил, утвержденных Советом по стандартам безопасности индустрии платежных карт, предназначенный для обеспечения соответствия требованиям в отношении операций по кредитным картам и данных держателей карт.
Важно, что данному стандарту должны соответствовать не только операции с картами Visa и MasterCard, но и с отечественными картами МИР , которые используются у 42% держателей банковских карт в России (согласно одному из последних исследований).
Почему требования PCI применяются и к контактным центрам?
Стандарты PCI обеспечивают безопасность данных о держателях карт, которые передаются при совершении покупок (например, номер карты, коды CVV и срок действия). Данные о держателях карт могут использоваться в Контакт центрах при обращениях по разным каналам доступа, поэтому компаниям важно постоянно отслеживать соответствие требованиям PCI.
Необходимость отслеживания объясняется в том числе и высокими штрафами за нарушение. Штрафы за несоблюдение могут быть от 5 000 до 500 000 долларов США. Даже соблюдающие правила компании могут сталкиваться с нарушениями в работе с данными, что влечет за собой штраф от 50 до 90 долларов за скомпрометированные данные держателя карты. Эти штрафы наносят ущерб деятельности компаний, связанным с выплатой больших штрафов и негативно влияют на репутацию у клиентов, поставщиков и партнеров.
Невыполнение требований PCI DSS может рассматриваться как нарушение локального законодательства о защите персональных данных. Для России это всем известный 152-ФЗ «О персональных данных» . Также сообщается, что может применяться КоАП РФ: пункт 6 статьи 13.12 «Нарушение правил защиты информации» и статья 15.36 «Неисполнение оператором платежной системы требований законодательства РФ о национальной платежной системе».
Широко известным случаем является судебный иск к американской розничной сети Target в 2013 году после того, как было взломано около 41 миллиона счетов кредитных и дебетовых карт. Target тогда заключила межгосударственное соглашение о компенсации в размере 18,5 миллионов долларов — крупнейшее за всю историю утечки данных.
Что рекомендует BrightPattern: компания — производитель платформы Облачного Контакт Центра.
1. Разработайте специальные правила и процедуры
Небольшим компаниям или компаниям, которые плохо знакомы с требованиями PCI, следует разработать четкие и простые для выполнения политики и процедуры. Поскольку соблюдение требований PCI касается как всех сотрудников контакт-центра, так и используемых систем и приложений, операторы КЦ должны быть обучены правилам и процедурам соблюдения требований PCI. Эти рекомендации необходимо ежегодно обновлять и документировать с учетом появления новых угроз. Правила обычно включают включают обработку инцидентов (нарушений), правила работы за ПК оператора и через мобильные устройства, политики безопасности данных и т.п.
2. Обновите документацию
Если в компании есть необходимая документация — важно постоянно ее обновлять. Компании должны документировать все изменения в области безопасности, происходящие в течение года. Рекомендуется делать это ежемесячно на основе отзывов операторов и руководства вовлеченных подразделений. Эта информация будет очень полезна во время подготовки ежегодного обзора соответствия требованиям PCI.
3. Информируйте всех сотрудников
Как упоминалось в совете № 1, важно обучать сотрудников политикам и процедурам. Соблюдение требований PCI должно быть встроено в процесс обучения операторов, а постоянное обучение и инструктаж должны проводиться в течении всего года. Курсы повышения квалификации могут быть полезны для переподготовки операторов или ознакомления сотрудников с изменениями в правилах компании. Важно привить сотрудникам и контролировать соблюдение основ безопасности, включая блокировку компьютера при уходе с рабочего места, частую смену паролей и контроль окружающей обстановки.
4. Используете решения, соответствующие стандарту PCI
Вы можете соответствовать стандарту только если если используемое в КЦ решение ему соответствует. При выборе поставщика убедитесь, что предлагаемое решение соответствует требованиям PCI и прошло независимую проверку на соответствие. Воспользуйтесь всеми преимуществами выбранного решения для улучшения корпоративных правил работы согласно требованиям PCI.
5. Постоянно совершенствуетесь
Соблюдение требований нормативов — это не тот случай, когда можно всё настроить один раз и забыть об этом. Соответствие стандартам необходимо постоянно совершенствовать, обновлять и ежегодно пересматривать. Также важно быть в курсе последних требований PCI, поскольку они часто меняются.
Используемая в Контакт Центре программная платформа требует все более высокого уровня безопасности для защиты данных клиентов и предотвращения судебных разбирательств. Разработчик платформы — компания Bright Pattern обеспечивает высочайший уровень соответствия PCI, предоставляя решение, сертифицированное специализированной компанией CompliancePoint.
Платформа Облачного Контакт Центра включает в себя целый пакет функций, обеспечивающих безопасную работу с данными клиентов: от скрытия персональной информации клиентов до полного легирования всех действий пользователей платформы. Подробнее о соответствии Облачного КЦ требованиям PCI можно узнать на отдельной странице на сайте компании. Там же можно скачать специальную брошюру о соответствии платформы Облачного КЦ современным требованиям по надежности и безопасности.