Cumplimiento de PCI en Zoom Contact Center

Productos utilizados

Zoom Contact Center (ZCC) Zoom Contact Center (ZCC)

Hablar sobre los requisitos del sector de tarjetas de pago (PCI) a menudo puede comenzar tomando un café. Si alguna vez participó en estas conversaciones, los resultados suelen ser subjetivos, lo que lleva al deseo general de reducir el alcance de un entorno tanto como sea posible. Con la solución que Zoom y PCI Pal han implementado, el café se convierte en algo opcional. En esta publicación, exploraremos la implementación, sus beneficios y cómo su organización puede ser capaz de reducir el alcance de sus procesos comerciales.

El Consejo de Estándares de Seguridad de PCI ha establecido un conjunto de directrices que regulan el manejo de la información de tarjetas de crédito en distintos entornos. Hay directrices publicadas por el consejo que definen los requisitos para un comerciante (la compañía que realiza los cobros). El objetivo principal de los estándares es proteger los datos del titular de la tarjeta (CHD), ya que se comparten entre varios sistemas. El comerciante utilizará varios proveedores y proveedores de soluciones para procesar la venta.

Todos estos componentes conducen a una certificación de cumplimiento (AOC). La AOC permite al comerciante utilizar las afirmaciones de varios proveedores para formar su propia AOC. Dependiendo del diseño de la solución y de la cantidad de transacciones, podría suponer un gran esfuerzo remediar y mantener un entorno de titulares de tarjetas (CHE).

Figura 1: Combinación de la AOC de proveedor para respaldar una AOC de cliente y un diseño conforme con PCI

Cuando hablamos de la implementación y de cómo puede beneficiar a una organización, es importante tener en cuenta el flujo general de los datos del titular de la tarjeta. Si esos datos están presentes, puede ser necesario realizar auditorías de cumplimiento. Con la solución de Zoom que se destaca a continuación, un comerciante tiene la opción de minimizar este entorno y sus costes asociados.

Veremos cómo Zoom y PCI Pal colaboran entre bambalinas para permitir a los clientes cumplir con la normativa PCI en Zoom Contact Center.

La solución aprovecha Zoom App Marketplace y las soluciones para socios de Zoom para permitir llamadas conformes con PCI dentro de un entorno. Hay muchas formas diferentes de abordar el cumplimiento, y con la solución que se detalla a continuación hay oportunidades para minimizar el alcance de un entorno.

A efectos de esta sección nos centraremos en dos entidades principales: el Agente y el Consumidor. El Agente es una persona que utiliza el Centro de Contacto de Zoom y que recibirá compromisos a través de un canal de voz, vídeo o mensajería y que debe aceptar los pagos del Consumidor de forma segura. El Consumidor es el iniciador del compromiso que es el titular de la tarjeta de pago. Aunque existen canales de pago basados en texto, en el ejemplo nos centraremos en los compromisos a través del canal de voz.

Al llamar al Centro de Contacto Zoom, el Consumidor es dirigido a través de los menús e interacciones basados en el diseño de la cola administrativa antes de ser encaminado al Agente designado. Una vez iniciada la interacción, hay dos segmentos de flujo de medios que permiten al Agente y al Consumidor comunicarse entre sí a través de un canal de voz: (1) los medios se envían desde el Consumidor a la RTC y a la infraestructura ZCC, y (2) los medios se envían entre la infraestructura ZCC y el cliente del Agente. Este es también un ejemplo de una llamada tradicional al Centro de Contacto Zoom.

Figura 2: Configuración inicial de la llamada telefónica

Una vez establecida la llamada inicial, el Agente puede comunicarse con el Consumidor hasta que se vaya a cobrar el pago. En ese momento, el Agente, dentro de la aplicación Zoom de PCI Pal, (3) inicia una sesión para comenzar el cobro del pago. Mediante una combinación de las API de Zoom y PCI Pal, se utiliza SIP para orquestar tramos de llamada adicionales entre el proveedor de la RTC, PCI Pal y Zoom. Estos tramos de llamada facilitan la negociación de los medios de forma que liberan a Zoom y al agente del procesamiento, transmisión y almacenamiento de los datos del titular de la tarjeta. El tramo de llamada inicial (4) permanece conectado entre el Proveedor de la RTPC y Zoom. Se establece un tramo de llamada adicional (5) desde Zoom a PCI Pal. Con los tramos de llamada (4) y (5) conectados con éxito, los medios (6) se negocian directamente entre el Proveedor de la RTPC y PCI Pal. Mientras el medio está dentro de PCI Pal, se eliminan los datos del titular de la tarjeta. PCI Pal envía la señalización con un flujo de medios asociado de vuelta a Zoom (7). Una vez recibido, Zoom reconecta el flujo al Agente (8).

Este flujo de medios de PSTN a PCI Pal (6) contiene datos de titulares de tarjetas y se filtra al entrar en el entorno de PCI Pal. Los medios vuelven a pasar a Zoom (7) y, en última instancia, al agente (8). Esta ruta de medios sólo está activa mientras dura el proceso de pago, que normalmente sólo dura unos minutos. El agente tiene la capacidad de mantener la comunicación con el consumidor durante este tiempo. Como los medios tienen los datos del titular de la tarjeta eliminados antes de llegar a Zoom, servicios como la grabación pueden mantenerse durante toda la experiencia sin aumentar el alcance del cumplimiento.

Figura 3: Pago en proceso

Una vez completado el pago, las conexiones adicionales se eliminan automáticamente, y los medios se establecen en la configuración original: de RTPC a Zoom (1) y de Zoom al agente original (2). Un agente puede establecer flujos de pago adicionales según sea necesario.

Figura 4: Se restablece el flujo original

Uno de los puntos que puede no ser inmediatamente obvio es la disponibilidad de los servicios de Zoom Contact Center para la llamada. La eliminación de los datos del titular de la tarjeta antes de que los medios lleguen a Zoom permite que la interacción aproveche las características de Zoom Contact Center, desde la grabación, las transcripciones y el análisis de opiniones hasta la administración de calidad para funciones de supervisión.

La arquitectura descrita anteriormente es exclusiva de Zoom Contact Center, con múltiples ventajas de diseño. Otros diseños requieren que cualquier llamada que pueda necesitar información de pago se conecte al procesador de pagos (por ejemplo, señalización). Con el diseño que conecta con Zoom como motor central de enrutamiento, sólo las llamadas que necesiten conectarse a un procesador de pagos se establecerán en los sistemas integrados y sólo durante el tiempo necesario. Esto permite la flexibilidad de los flujos de llamadas para que funcionen con normalidad a menos que se necesite un pago, así como un funcionamiento más fluido en caso de que sea necesario realizar un pago de forma inesperada.

Muchos otros flujos se conectan de forma persistente a través de la solución de pago seguro. Aparte de las consideraciones de latencia, la otra ventaja añadida de la solución a la carta gira en torno a los dominios de fallo. Mientras que estos sistemas tienen tiempos de actividad de alta disponibilidad, los sistemas conectados en serie tienen SLA combinados. Con la solución implementada en Zoom Contact Center, los distintos sistemas tienen la capacidad de seguir conectando al consumidor con el agente en caso de que una integración tenga un problema.

Por último, los diseños basados en la plataforma de Zoom permiten aprovechar estas integraciones para los usuarios que no son de Zoom Contact Center. Zoom Phone tiene capacidades similares que se pueden utilizar si el usuario no está asociado con una cola de Zoom Contact Center.

Además de los beneficios únicos, la integración con PCI Pal y la evaluación de los flujos de trabajo del agente pueden permitir a su organización limitar su alcance de PCI.

Equilibrar las necesidades de cumplimiento y tecnología para implementar un centro de contacto que admita pagos requiere una navegación adecuada. Gracias a la integración de Zoom Contact Center con PCI Pal, se obtiene una flexibilidad adicional que ayuda a reducir las complejidades del cumplimiento. Publicaremos más artículos centrados en cómo se configura la integración desde el punto de vista del administrador.