我们的专家小组解释了您需要了解的有关PCI合规性的所有信息，从成本到日常维护。

什么是PCI合规性？如果你使用信用卡付款，你需要符合PCI标准。

符合PCI是指确保在安全的环境中处理所有细节（信用卡号和3位CSV号）。

所有组织都必须遵守支付卡行业数据安全标准（PCI DSS）——每年更新其认证。这包括那些信用卡处理完全由第三方处理的人。

背景

PCI DSS是一组最简单的要求，旨在确保所有处理、存储或传输支付卡信息的公司，无论是信用卡、借记卡还是预付卡，都能在安全的环境中处理、存储或传输支付卡信息。

创建该标准是为了加强对持卡人数据的控制，以减少欺诈。该标准创建于2004年，在过去的11年中，发布了修订版，以澄清最新版本3.1的要求和位置，该版本于2015年4月发布。

由一些主要支付卡品牌设立，目前覆盖美国运通、Discover、JCB、万事达卡和Visa国际的所有支付卡。它由支付卡行业安全标准委员会管理。

PCI DSS的主要要求：

安装并维护防火墙配置，以保护持卡人数据不要使用供应商提供的系统密码和其他安全参数默认值保护存储的持卡人数据跨开放公共网络加密持卡人数据传输使用并定期更新防病毒软件或程序开发和维护安全系统和应用程序根据业务需要限制对持卡人数据的访问需要知道为每个有计算机访问权限的人分配一个的ID限制对持卡人数据的物理访问跟踪和监控对网络资源和持卡人数据的所有访问定期测试安全系统和流程维护一项针对所有人员信息安全的政策请注意这是一个简化的列表——但是，完整的要求非常广泛。

PCI法规遵从性之所以重要，有很多原因。它不仅让客户相信他们的支付卡数据是安全的，还让合作伙伴和股东放心，并确保员工免受任何潜在敏感客户信息的影响。与存储、处理和传输持卡人数据的任何其他组织一样，

联系中心必须符合PCI合规规定。某些部分的敏感持卡人信息（如PIN码或完整磁条数据）无法存储，即使是以最安全的方式。

PCI不是政府法律。但是，如果一个组织希望处理信用卡以方便其客户，不遵守PCI和该品牌的规定可能会直接影响该组织这样做的能力，并因此对其业务产生不利影响。

我如何成为PCI兼容者？一个良好的初始步骤是与您的银行接触并了解他们的期望。PCI DSS合规性是一项持续的活动，而不是一次性的活动。必须每年评估支付交易流程。一个简单的规则是——如果你不需要存储它，就不要存储它。

根据许多因素，需要不同级别的认证：

级别1认证自我认证服务提供商认证如果您从未遭受过违规行为，并且您正在内部执行所有卡处理，或者正在使用已获得级别1认证的第三方的服务，则您只能自我认证。

第三方认证必须是最新的，并包含在名为AoC（合规性证明）的正式文件中。

和

的区别就在这里“合规”和“认证”之间的关系变得至关重要。如果您使用被宣布为“合规”的第三方解决方案，则卡的详细信息可能永远不会到达您的联系中心设备或人员，这使得您不可能遭受本地违规。但是，如果提供商确实侵犯了您的卡数据，您仍将对所遭受的损失负责。

如果服务提供商获得认证，他们将自费接受独立检查，以确保不可能发生违约，并将由该第三方的专业赔偿承担责任。

您与外包商的合同应反映这一责任链。

为了维护PCI合规性，每年都需要完成一系列行动，包括：

培训员工遵守PCI DSS程序，确保您只保留必要的数据并确保其安全。（注意：有些东西在任何时期都无法存储。可以存储的信息不需要加密，但必须是安全的。）监控和控制对电子商务环境的访问（即确保您对电子商务环境有安全控制）。对于使用托管解决方案的人来说，需求列表要短得多；但是，该托管解决方案必须能够提供其1级认证文档。

PCI合规申请应通过PCI安全标准委员会提出。

潜在违规的后果可能很严重，可能会像影响任何其他渠道一样影响电话卡交易。

为了确保在接受电话交易时不会捕获或存储个人授权信息，以下是一些需要考虑的选项：

1。自动支付

符合PCI标准的交互式语音应答（IVR）支付系统可以将您的代理从处理敏感支付细节的过程中删除。

当需要付款时，客户会被转移到一个已经符合PCI标准的系统，在那里他们可以输入自己的详细信息并付款。

这里潜在的缺点是，对于销售产品的组织，甚至是那些处理慈善捐款的组织，例如，向IVR系统的移交可能会对销售产生影响。将调用者移交给自动化系统会使代理脱离循环，减少已完成事务的数量。

如果呼叫通过设备，即使没有记录任何数据，则该设备属于PCI合规范围。这里描述的方法仅在所有呼叫都通过IVR支付系统硬件时有效，即使这些呼叫上没有传递任何卡数据。如果IVR支付平台是外部平台，则需要对其进行认证。

2。双音多频抑制双音多频抑制通过捕获双音多频音调并对其进行更改，使持卡人的详细信息（如卡号、到期日期和服务代码）无法被代理识别。详细信息也不会存储在通话记录中。客户可以使用自己的电话键盘输入卡信息，然后更改生成的DTMF音调。

仅数字数据，通常是卡号、到期日期和CVV号码，不会暴露于代理和呼叫中心环境。

优点是通话记录不会暂停，而且代理人和客户应该能够在整个支付过程中进行沟通。

此解决方案通常由云/托管解决方案提供商使用，以防止卡数据到达呼叫中心环境。

3。自动暂停和恢复通过这种方法，PCI合规性是通过确保记录系统在支付过程中停止来实现的——当提供敏感的客户信息时。这可以通过将呼叫记录器与代理桌面或其他transac集成来实现正在使用的其他系统。自动暂停和恢复可确保当代理进入“支付详细信息”屏幕时，会向记录器生成一个触发器，以停止记录。

一旦支付超出支付屏幕，就会生成第二个触发器以重新开始记录。虽然本质上比较罕见，但另一个类似的选择是静音/取消静音通话记录，而不是暂停并恢复；但是，此解决方案取决于当前的记录系统。

此过程仅在尝试实现法规遵从性或认证时缓解呼叫记录器问题。代理和所有使用的设备，如内部电话网络和PC LAN，都在PCI合规流程的范围内。

一个常见的误解是暂停录制会使环境兼容。这只是实现法规遵从性需要解决的众多问题之一（坦率地说，这是一个简单的问题）。

4。网络安全确保整个网络系统符合PCI指南也很重要。这首先是一个有效的防火墙和路由器，以及提供额外保护层的内部进程。

应限制来自不安全网络和主机的所有流量，并且包含持卡人数据的任何网络组件与互联网之间不应存在任何直接访问。您还需要确保只有授权人员才能访问处理卡数据的LAN部分，并且所有访问都经过审核。

这里的关键是要有IT安全策略和程序，以提供整个网络、所有连接以及谁有权做什么的总体可见性。如果没有这种可见性，网络将很容易出现薄弱环节，这些环节可能被网络罪犯和黑客利用。

5。基于角色的安全在任何联系中心环境中，代理和主管桌面都应具有基于角色的登录，以限制接触敏感数据的员工数量，并确保每个员工只能访问他们工作所需的内容。例如，销售代表可能能够查看客户详细信息，但他们可能无法更新或删除这些信息。团队主管可能能够查看分配给他们的团队的绩效，但他们（主管）不应能够查看同一联络中心或项目内其他团队的绩效。

6。对敏感数据

联络中心的限制性访问也应考虑任何工作人员与数据接触的点，以确保适当的安全性和合规性。应限制

对敏感客户和支付数据的访问（例如，通过采用RFID卡系统限制对建筑物关键区域的访问）。所有访问密码也应为强密码（例如，数字、小写和大写字符的混合），并定期更改。

公司还应维护一项解决信息安全问题的政策。

在成为PCI合规者时要注意什么自满的合规不是一个单一的练习，而是一个持续的评估和报告过程。你需要不断地监控和调整你现有的东西，因为欺诈者总是在寻找组织方法中的弱点。

更好的建议是与您的审计员和法律团队合作，以确保您持续掌握问题的最新进展。理想情况下，您应该雇佣一名全职员工，致力于确保始终保持PCI合规性。

意外地用你的通话记录系统

捕捉到了细节。如果你使用的是PCI兼容的IVR系统，你需要注意通话记录。如果你要记录客户输入的详细信息，让客户通过独立系统付款是没有好处的。

处理这一问题的有效方法是单边记录，在支付过程中只记录代理。

您还必须确保在需要时，他能迅速而确定地提出投诉，这可以显著降低公开且未解决投诉对品牌的潜在损害。

这是法规遵从性的真正成本所在。阻止通过设计或未经授权的监控保留卡片细节相当容易。提供基础设施和日志记录来证明这些活动没有发生可能会耗费时间和成本。

不符合PCI的后果是什么？银行和信用卡机构可根据补救违规行为所需的法医研究，对违规组织的月度罚款进行罚款。

和的罚款范围从3500英镑到250000英镑不等。这些罚款并不总是一次性的，还可以按月征收。也可以对每个注册的销售点设备进行罚款，因此，对于一个拥有多台设备的组织来说，如果它们有很多不同的地点，罚款的规模可能会很容易升级。

司法调查的费用由涉嫌违规的公司承担，商户可对因违规而发生的任何欺诈行为负责。

罚款将在2016年根据全球营业额的百分比征收。

PCI失败意味着失去客户信任，这将影响品牌、客户忠诚度，从而影响底线。

我们都看到了2015年英国一些数据泄露的新闻，以及此后股价的暴跌。如果这还不够的话，那么对违规行为处以的罚款也应该足以让大多数高管看到认真对待该标准的必要性。

预计在2016年也会听到因失败而面临更多惩罚性罚款的消息，因为这些罚款现在将根据一个组织全球营业额的百分比征收。

撤销商户服务如果不符合规定，金融机构可能会被迫终止其与组织的关系，阻止其接受刷卡支付。

商户服务的撤销基本上需要撤销其商户ID。对于任何依赖于从客户处接受卡付款的组织，这是他们支付的最终价格。

客户信心的丧失虽然符合PCI标准非常重要，但不应忽视客户对您的信任。

组织有责任保护每位客户的个人信息。让客户相信，您正在保护他们的高度个人信息，这一点至关重要。

可以从TalkTalk中吸取教训。在2015年10月对该电信公司的网络攻击中，近157000名TalkTalk客户的个人信息遭到黑客攻击，其中15656名客户的银行账号和分类码遭到黑客攻击。

TalkTalk因其客户的个人数据未经加密而遭到抨击，并承认不遵守信用卡支付和数据处理的网络安全标准。网络安全攻击消息传出后，TalkTalk的公司股价在伦敦证券交易所开盘的头几个小时下跌了10%。据估计，数据安全漏洞可能使该公司损失高达3500万英镑。这个数字是在现有和潜在客户的损失以及公司声誉受损的成本被考虑在内之前得出的。他们显然必须努力重建客户的信心和信任。符合PCI DSS的

和表明，一家企业正在尽更大努力确保客户信息的安全，使其不受可能欺诈使用该数据的人的控制。

这里的关键是，合规性甚至认证都不能免除商户违约的后果。

大多数公司都有自我认证的选项，这意味着他们有重新认证ad，理解并遵守PCI指南，并正式提交了声明这一点的文件。如果发生违约，他们仍将承担责任。

如果他们使用的是第三方，他们甚至无法实现自我认证，除非第三方已获得1级认证。为了不对任何违约行为的所有后果承担责任，他们与第三方签订的合同应反映责任的级别和限制。

在呼叫中心实现和维护PCI合规性需要多少预算？符合PCI标准的价格因企业而异，取决于一系列不同的因素，包括业务类型、处理的交易数量、活跃的IT基础设施以及现有的借记卡/信用卡处理和存储程序。

这在很大程度上取决于所需的认证/合规级别。未经认证的

合规性对作为外包商运营的公司没有帮助。一般来说，只有向内部联络中心提供一定程度的信心，使其相信在遵守指导原则的情况下不太可能发生违规行为，这才是有用的。保持PCI合规性的

价格1级认证要求每天为各种PCI特定活动提供大约½个专用工作日，以保持合规性。单是各种反病毒和入侵检测系统的年订阅量就可以达到数万份。实现法规遵从性的

和可以非常简单，只需完成并提交文件，声明所有卡数据都由经过认证的第三方管理。然而，在一级认证的情况下，控制异常繁重，网络基础设施的变化可能需要数年的工时，以及QSA的外部咨询时间。

一家小公司每年可能会花费大约500到5000英镑用于评估、扫描和培训。

用于补救的费用可能在100英镑到10000英镑之间，具体取决于其当前的合规水平。

大型公司每年可能会看到大约50000英镑以上用于评估、扫描和培训。

补救措施可能从10000英镑到100000英镑不等。

从记录的角度来看，您选择实现的技术，PCI合规性的成本取决于选择的解决方案。例如，使用桌面触发的

自动PCI的价格范围约为7000英镑到30000英镑，具体取决于录制解决方案。

对于应用程序接口（API），软件成本也可能有所不同（从7000英镑到20000英镑不等，具体取决于解决方案），但开发API接口本身会产生额外成本。

然而，值得考虑的是，API方法可能并不总是合适的——因为支付应用程序可能是一个外部应用程序。API最适合“自主开发”的支付应用程序。

增加了员工培训和人身安全的总体成本，预算还应考虑以下内容：

员工培训，以确保合规性IT安全物理安全交互分析技术（通过尽可能自动化合规程序，保护组织免受人为错误的影响，并在需要时提供审计跟踪，以证明合规性）您在联络中心做了哪些工作以符合PCI？分享您的建议

，感谢以下对本文的贡献：

Atiq Rehman在商业系统公司、Enghouse Interactive Lucille Needham在Genesys、Kieron James在Nexbridge、Chris Key在Hostcomm、Steve Murray在IP Integration、John Crites在CallMiner、Justin Hamilton Martin在Ultracomms我们还要感谢Darren Sullivan在Ultracomms感谢他在查看本文件时的详细知识