为什么PCI合规性对联络中心来说是个大问题？

当你认为欺诈可以潜在地占金融服务公司的两到百分之三的底线时，支付卡提供商和他们的商家正瞄准诸如持卡人不存在欺诈的问题就不足为奇了。

这就是领先的卡运营商联手创建支付卡行业数据安全标准（PCI DSS）的原因，该标准是一套旨在打击支付卡欺诈的全行业要求和流程。

如今的英国联络中心处理数以百万计的基于卡的金融交易——这涉及广泛的行业，而不仅仅是金融服务。PCI DSS有助于更大限度地降低欺诈的可能性，这对联络中心来说具有良好的商业意义。支付卡行业（PCI）早在2007年就推出了数据安全标准（DSS），以保护商家免受日益增加的欺诈风险。PCI DSS是安全策略、技术和网络变化的组合，旨在通过减少系统暴露来更大限度地减少欺诈。

PCI compliance解决的主要问题是数据存储，因此将信用卡号和三位数安全代码存储在本地是违法的，这两种代码一起可用于进行欺诈交易。

强制合规从2010年10月1日起，英国的每个商户都必须遵守，但目前只有1级和2级商户必须遵守。这些级别适用于您的业务流程每年的交易量。级超过600万英镑，第二级超过100-600万英镑，第三级超过20000-100万英镑，第四级超过20000英镑。

如果您的业务处于较低水平，那么错过10月的最后期限将导致罚款，罚款金额可能在1万英镑左右，Visa和万事达卡将每月持续罚款，直到达到合规要求。在极端情况下，商家甚至可能会丢失他们的商户代码，这实际上终止了他们的交易能力。

所有联络中心是否都意识到自己在该领域的责任？越来越多，但我们仍然感到惊讶的是，有多少英国联络中心运营商仍然不确定支付卡行业合规标准的具体内容，以及它们对客户交易的影响。根据一系列研讨会期间收集的数据，三分之一的受访者认为他们的联系中心运营仍然不符合PCI标准，另有三分之一的人不确定他们目前的PCI状态。

PCI标准特别适用于呼叫中心环境，在该环境中，许多组织由于不正确地捕获和存储被禁止的客户卡数据（如帐户PIN块和CVV2安全代码）而未能通过PCI DSS合规性审计。对于出于FSA合规性原因必须记录通话，但在交换敏感支付卡数据期间没有任何持续停止记录的手段的企业来说，这显然是一个特别令人担忧的问题。

不遵守PCI数据安全标准的处罚是什么？违规操作可能会失去接受信用卡交易的权利或被罚款。例如，在美国，万事达卡最近更新了其商户合规计划，对第四次违反PCI DSS的商户处以更高40万美元的罚款。

“据估计，欺诈行为可能占金融服务公司利润的2%至3%，持卡人不存在欺诈行为目前证明是支付卡提供商及其商户面临的一个关键挑战。然而，作为一个行业，呼叫中心行业在帮助组织满足其PCI合规义务方面仍有大量工作要做萨比奥的导演亚当·福克纳评论道。

联络中心应采取哪些措施确保符合行业标准？许多联系中心未能通过PCI合规性审核，因为他们保存和存储禁止的客户卡数据，如账户PIN和CVV2安全代码。出于FSA合规性原因而必须记录通话的企业应首先考虑制定流程，以便在交换敏感支付卡数据期间，能够持续暂停记录。

涉及哪些成本？明确确保您的运营部门禁止存储客户的信用卡详细信息——特别是用于验证信用卡不存在交易的信用卡验证码（打印在支付卡正面或背面的三位或四位数字）——将产生与之相关的项目成本。虽然涉及到呼叫中心技术，但全面的PCI DSS合规性是一个广泛的话题，还可能涉及安全、通话记录、网络、服务器和数据库管理和控制流程等问题。

实现此类法规遵从性的关键技术是什么？从联系中心的角度来看，您特别需要查看合规或高质量的记录平台，这些平台会自动记录客户说出其卡的详细信息，从而造成潜在的违规行为。

主要目标应该是通过静音并将信用卡数据输入排除在屏幕记录之外，避免首先记录信用卡数据。

这里的一个创新方法是在此时将呼叫控制权移交给自动信用卡支付系统。这就解决了这个问题，因为可以为呼叫的自动分支停用呼叫记录，并在代理收回呼叫时重新启动。反过来，由于明显的安全优势——我们正在创造积极的客户体验——特别是对于那些不愿意向代理透露信用卡详细信息的人，客户会接受这程。

通过IVR系统实现安全支付

安全支付解决方案的一个示例结合了自助服务和通话记录技术，为这一挑战提供了一个综合解决方案。该解决方案承认，在关键的支付阶段，您不能依靠实时代理始终暂停交互记录，因此，通过将客户转移到安全、支持语音的信用卡支付线路，可以避免代理处理敏感客户数据（以及潜在欺诈风险）的需要。

特定字段上的对话静音使用API进行的定制开发还可以在应用程序中完成特定字段时自动启动/停止记录或静音对话（取决于适当的电话环境）

删除意外卡数据主要目标不是在个字段中记录持卡人信息位置由于人为错误而存储的特殊持卡人数据只能通过两人完整性机制进行访问。

PCI要求安装并维护防火墙配置，以保护持卡人数据。不要使用供应商提供的系统密码和其他安全参数的默认值保护存储的持卡人数据加密跨开放网络的持卡人数据传输，公共网络使用并定期更新防病毒软件开发和维护安全系统和应用程序按业务需要限制对持卡人数据的访问为每个有计算机访问权限的人分配一个的ID限制对持卡人数据的物理访问跟踪和监控对网络资源和持卡人数据的所有访问定期测试安全系统和流程维护一项针对员工和承包商信息安全的政策进一步阅读如果你访问PCI官方网站，你会发现关于寻找QSA和经批准的评估师名单的建议

，尽管越来越多的呼叫中心开始意识到PCI合规性，但围绕实施成本仍存在很多困惑，公平地说，这一点还没有得到明确的传达。任何关心成本和合规程度的呼叫中心都应该接受自我评估问题aire发现了官方PCI网站官方PCI网站

通话记录指南通话记录数据保护法的法律影响和通话记录撰稿人萨比奥·詹姆斯·金（Sabio James King）的迈克·安德鲁斯（Mike Andrews）尼斯的迈克·默利（Mike Murley）ASC电信的约翰·伍德（John Wood）C