Essere conformi al PCI DSS, formalmente noto come Standard di Sicurezza dei Dati del Settore delle Carte di Pagamento, significa seguire un insieme di linee guida create per garantire che tutte le aziende che accettano, elaborano, memorizzano o trasmettono informazioni relative alle carte di credito mantengano un ambiente sicuro. Questi standard sono stati creati nel 2004 dalle principali società di carte di credito, quali Visa, Mastercard e American Express, per proteggere le aziende e i consumatori dalle violazioni dei dati e dalle frodi.
PCI DSS, da cosa è composto
Il PCI DSS comprende dodici requisiti organizzati in sei obiettivi principali, che coprono vari aspetti, dalla costruzione e manutenzione di una rete sicura all’implementazione di solide misure di controllo degli accessi.
Perché è fondamentale per le aziende?
- Sicurezza: l’obiettivo principale dello standard è quello di proteggere i dati sensibili dei titolari di carta da furti e usi impropri
- Fiducia: la conformità rassicura i clienti in merito alla tutela delle informazioni personali, che devono essere gestite in modo sicuro
- Rischi legali e finanziari: la non conformità può comportare multe significative, sanzioni legali e la perdita della possibilità di elaborare pagamenti con carta di credito
- Reputazione: una violazione dei dati può danneggiare gravemente la reputazione di un’azienda, intaccando anche la fiducia dei clienti.
Determinare la conformità PCI nei contact center
Per verificare che i fornitori di Contact Center as a Service (CCaaS) siano conformi al PCI DSS, è necessario prendere in considerazioni i seguenti aspetti:
- Crittografia dei dati: le aziende devono assicurarsi che i dati dei titolari di carta siano crittografati sia in transito sia a riposo, rendendoli illeggibili per terze parti non autorizzate
- Piano di risposta agli incidenti: le organizzazioni devono essere informate in merito al piano di risposta a possibili incidenti del fornitore. Bisogna valutare la capacità di reagire rapidamente a una violazione di dati, mitigare i danni e notificare le parti coinvolte
- Registrazione delle chiamate e oscuramento dei dati: le aziende devono verificare che il contact center utilizzi tecnologie per oscurare automaticamente le informazioni sensibili dalle registrazioni delle chiamate e dalle trascrizioni. Inoltre, le organizzazioni sono tenute a essere in grado di registrare selettivamente le chiamate, escludendo le parti che contengono informazioni sui pagamenti.
- Audit e monitoraggio regolari: le aziende devono avere la conferma che vengano effettuati regolarmente audit di sicurezza e valutazioni delle vulnerabilità. Inoltre, il monitoraggio continuo degli accessi non autorizzati e la compilazione di registri completi sono pratiche cruciali
- Formazione dei dipendenti: le organizzazioni devono assicurarsi che i contact center offrano formazione continua ai propri dipendenti sulla conformità PCI, aggiornandoli sulle migliori pratiche per la sicurezza dei dati
- Controlli di accesso: le aziende devono inoltre verificare che il fornitore limiti l’accesso ai dati sensibili solo a coloro che ne hanno necessariamente bisogno. Per questo, l’implementazione dell’autenticazione a più fattori e l’assegnazione di ID univoci per ogni persona sono essenziali
- Elaborazione sicura dei pagamenti: le organizzazioni devono disporre, al loro interno, di funzionalità come la tokenizzazione, che sostituisce i dati sensibili della carta con identificatori univoci (token) che non possono essere utilizzati al di fuori del contesto specifico della transazione
- Certificazione di conformità: infine, le aziende sono tenute a richiedere prova della conformità PCI. Un fornitore CCaaS affidabile dovrebbe essere in grado di fornire certificazioni e audit di terze parti che dimostrano l’adesione al PCI DSS.
Conclusioni
Vent’anni fa, affrontare il tema dei PCI per i contact center significava parlare una nuova lingua. Tuttavia, analizzare passo dopo passo i requisiti dello standard può aiutare gli stakeholder a comprendere l’importanza e l’essenzialità di garantire che gli ecosistemi Contact Center as a Service li rispettino. Sebbene richieda un certo impegno iniziale, sapere che i dati dei clienti sono sicuri e che le aziende stanno supportando i consumatori dà la certezza che non si verificheranno violazioni nell’ambiente CCaaS.
È quindi essenziale che tutte le aziende che operano nell’ambito delle carte di credito approfondiscano i requisiti prima di scegliere un fornitore CCaaS: la salvaguardia dei clienti e dell’organizzazione stessa è fondamentale, oggi come mai prima.
