PCI-Compliance in Zoom Contact Center

Verwendete Produkte

Zoom Contact Center (ZCC) Zoom Contact Center (ZCC)

Gespräche über die Anforderungen der Zahlungskartenbranche (Payment Card Industry, PCI) sind häufig langwierig. Wenn Sie jemals an einem solchen Gespräch beteiligt waren, wissen Sie, dass die Ergebnisse zudem oft subjektiv sind. Die meisten Unternehmen möchten um dieses Thema am liebsten einen großen Bogen schlagen. Die neue Lösung von Zoom und PCI Pal scheint diesem Dilemma ein Ende zu setzen. In diesem Beitrag befassen wir uns mit der Lösung, ihren Vorteilen und die Möglichkeiten für Ihr Unternehmen, Geschäftsprozesse konform zu gestalten.

Das PCI Security Standards Council hat eine Reihe von Richtlinien erstellt, die den Umgang mit Kreditkarteninformationen in verschiedenen Umgebungen regeln. Es gibt Richtlinien, die vom Rat veröffentlicht wurden und Anforderungen an einen Händler (das Unternehmen, das Zahlungen einzieht) definieren. Der Hauptfokus der Standards liegt auf dem Schutz von Karteninhaberdaten (CHD), da sie von mehreren Systemen gemeinsam genutzt werden. Der Händler nutzt verschiedene Anbieter und Lösungen, um den Verkauf abzuwickeln.

Alle diese Komponenten führen zu einer unterstützenden Konformitätsbescheinigung (Attestation of Compliance, AOC). Die AOC ermöglicht es dem Händler, die Aussagen verschiedener Anbieter zu einer eigenen AOC zusammenzufassen. Abhängig vom Design der Lösung und der Anzahl der Transaktionen können Gestaltung und Pflege eines Card Holder Environment (CHE) recht aufwendig sein.

Abbildung 1: Kombinieren von Hersteller-AOCs zur Unterstützung einer Kunden-AOC und eines PCI-konformen Designs

Wenn wir über die Implementierung und den Nutzen für ein Unternehmen sprechen, ist es wichtig, den Fluss der Karteninhaberdaten insgesamt im Auge zu behalten. Sind Daten von Karteninhabern vorhanden, können Compliance-Prüfungen erforderlich sein. Mit der unten hervorgehobenen Zoom-Lösung hat ein Händler die Möglichkeit, diese Umgebung und die damit verbundenen Kosten zu minimieren.

Wir untersuchen die nicht sichtbaren Schnittstellen zwischen Zoom und PCI Pal, mit denen Kunden die PCI-Compliance in Zoom Contact Center erreichen können.

Die Lösung nutzt Zoom App Marketplace und Zoom-Partnerlösungen, um PCI-konforme Anrufe innerhalb einer Umgebung zu ermöglichen. Dazu gibt es verschiedene Ansätze. Die unten beschriebene Lösung bietet Möglichkeiten, eine Umgebung konform zu gestalten.

Für die Zwecke dieses Abschnitts konzentrieren wir uns auf zwei Hauptpersonen: den Agenten und den Kunden. Der Agent ist eine Person, die Zoom Contact Center nutzt, die Aufträge über einen Sprach-, Video- oder Messaging-Kanal entgegennimmt und Zahlungen vom Kunden auf sichere Weise entgegennehmen muss. Der Verbraucher ist der Initiator des Auftrags und der Inhaber der Zahlungskarte. Obwohl textbasierte Zahlungskanäle verfügbar sind, konzentrieren wir uns in diesem Beispiel auf Interaktionen über den Sprachkanal.

Bei einem Anruf im Zoom Contact Center wird der Kunde durch die Menüs und Interaktionen geleitet, die auf dem Design der administrativen Warteschlange basieren, bevor er an den zuständigen Agenten weitergeleitet wird. Nachdem das Gespräch begonnen hat, gibt es zwei Medienflusssegmente, die es dem Agenten und dem Kunden ermöglichen, über einen Sprachkanal miteinander zu kommunizieren: (1) Medien werden vom Kunden an das PSTN und die ZCC-Infrastruktur gesendet, und (2) Medien werden zwischen der ZCC-Infrastruktur und dem Client des Agenten gesendet. Dies ist auch ein Beispiel für einen herkömmlichen Anruf bei Zoom Contact Center.

Abbildung 2: Ausgangslage zu Beginn des Gesprächs

Nachdem der erste Anruf aufgebaut wurde, kann der Agent mit dem Kunden kommunizieren, bis die Zahlung eingezogen werden soll. Zu diesem Zeitpunkt startet der Agent innerhalb der PCI Pal Zoom App (3) eine Sitzung, um mit dem Zahlungseinzug zu beginnen. Durch eine Kombination der APIs von Zoom und PCI Pal wird SIP verwendet, um zusätzliche Gesprächsabschnitte zwischen dem PSTN-Anbieter, PCI Pal und Zoom zu organisieren. Diese Gesprächsabschnitte erleichtern die Medienaushandlung auf eine Weise, die Zoom und den Agenten von der Verarbeitung, Übertragung und Speicherung der Karteninhaberdaten entlastet. Die erste Gesprächsverbindung (4) bleibt zwischen dem PSTN-Provider und Zoom geschaltet. Ein zusätzlicher Verbindungsweg (5) wird von Zoom zu PCI Pal aufgebaut. Bei erfolgreicher Verbindung von (4) und (5) werden die Medien (6) direkt zwischen dem PSTN-Anbieter und PCI Pal ausgehandelt. Während sich die Medien innerhalb von PCI Pal befinden, werden die Daten des Karteninhabers entfernt. PCI Pal sendet die Signalisierung mit einem zugehörigen Medienstrom zurück an Zoom (7). Nach dem Empfang stellt Zoom die Verbindung zum Agenten wieder her (8).

Dieser Medienfluss vom PSTN zu PCI Pal (6) enthält Karteninhaberdaten und wird beim Eintritt in die PCI Pal-Umgebung gefiltert. Die Medien werden zurück an Zoom (7) und schließlich an den Agenten (8) weitergeleitet. Dieser Medienweg ist nur für die Dauer des Zahlungsvorgangs aktiv, der in der Regel nur wenige Minuten dauert. Der Agent hat die Möglichkeit, während dieser Zeit die Kommunikation mit dem Kunden aufrechtzuerhalten. Da die Daten des Karteninhabers von den Medien entfernt werden, bevor sie bei Zoom ankommen, können Dienste wie die Aufzeichnung während des gesamten Vorgangs aufrechterhalten werden, ohne den Umfang der Compliance zu erhöhen.

Abbildung 3: Zahlung in Bearbeitung

Nachdem die Zahlung abgeschlossen ist, werden die zusätzlichen Verbindungen automatisch entfernt und die Ausgangslage des Medienstroms wird wiederhergestellt: vom PSTN-Anbieter zu Zoom (1) und von Zoom zum Mitarbeiter (2). Ein Mitarbeiter kann bei Bedarf zusätzliche Zahlungsströme einrichten.

Abbildung 4: Ursprünglicher Ablauf wird wiederhergestellt

Es ist möglicherweise nicht sofort ersichtlich, ob Zoom Contact Center-Dienste beim Anruf verfügbar sind. Da die Karteninhaberdaten vor dem Eintreffen der Medien bei Zoom jedoch entfernt werden, kann der Mitarbeiter in der Interaktion die Funktionen von Zoom Contact Center nutzen – von der Aufzeichnung über Transkriptionen und Stimmungsanalysen bis hin zum Qualitätsmanagement für Vorgesetzte.

Die oben beschriebene Architektur ist einzigartig für Zoom Contact Center und bietet zahlreiche Vorteile. Bei anderen Konzepten muss jeder Anruf, der Zahlungsinformationen benötigt, mit dem Zahlungsabwickler verbunden werden (z. B. Signalisierung). Mit dem Design, das Zoom als Kern-Routing-Engine verwendet, werden nur die Anrufe, die eine Verbindung zu einem Zahlungsabwickler benötigen, zu den integrierten Systemen aufgebaut, und zwar nur für die benötigte Dauer. Dies ermöglicht einen flexiblen Betrieb der Anrufe, solange keine Zahlung erforderlich ist, sowie einen reibungsloseren Betrieb, falls unerwartet eine Zahlung erfolgen muss.

Viele andere Ströme werden ständig über die sichere Zahlungslösung verbunden. Abgesehen von den Latenzüberlegungen liegt ein weiterer Vorteil der On-Demand-Lösung im Bereich der Ausfallbereiche. Während diese Systeme hochverfügbare Betriebszeiten haben, haben in Reihe geschaltete Systeme kombinierte SLAs. Mit der in Zoom Contact Center implementierten Lösung sind die verschiedenen Systeme in der Lage, den Kunden weiterhin mit dem Agenten zu verbinden, falls bei der Integration ein Problem auftritt.

Schließlich ermöglichen die plattformbasierten Designs von Zoom die Nutzung dieser Integrationen für Personen, die Zoom Contact Center nicht nutzen. Zoom Phone verfügt über ähnliche Funktionen, die verwendet werden können, wenn der Benutzer nicht mit einer Zoom Contact Center-Warteschleife verknüpft ist.

Zusätzlich zu den einzigartigen Vorteilen kann die Integration für PCI Pal und die Prüfung von Abläufen bei Mitarbeitern es Ihrem Unternehmen ermöglichen, den PCI-Geltungsbereich einzuschränken.

Wenn Ihr Contact Center Zahlungen entgegennehmen muss, müssen Sie die damit verbundenen Compliance- und Technologieanforderungen miteinander in Einklang bringen. Die Integration von Zoom Contact Center für PCI Pal bietet Ihnen zusätzliche Flexibilität, um die Komplexität von Compliance-Anforderungen zu reduzieren. Wir planen, weitere Artikel zu veröffentlichen, in denen wir die Konfiguration der Integration aus Sicht von Administratoren beleuchten.