PCI-naleving in Zoom Contact Center

Gebruikte producten

Zoom Contact Center (ZCC) Zoom Contact Center (ZCC)

Het bespreken van de vereisten van de Payment Card Industry (PCI) kan vaak beginnen met een kop koffie. Als je deze gesprekken ooit hebt gevoerd, zijn de resultaten vaak subjectief, wat leidt tot de algemene wens om een omgeving zoveel mogelijk te ontsluieren. Met de oplossing die Zoom en PCI Pal hebben geïmplementeerd, wordt koffie optioneel. In dit bericht gaan we dieper in op de implementatie, de voordelen en hoe je organisatie je bedrijfsprocessen zou kunnen ontsluieren.

De PCI Security Standards Council heeft een aantal richtlijnen opgesteld die de omgang met creditcardgegevens in verschillende omgevingen regelen. Er zijn richtlijnen gepubliceerd door de raad die de vereisten voor een handelaar (het bedrijf dat betalingen incasseert) definiëren. De belangrijkste focus van de standaarden is om de gegevens van de kaarthouder (CHD) te beschermen wanneer deze over meerdere systemen worden gedeeld. De verkoper maakt gebruik van verschillende verkopers en oplossingsproviders om de verkoop te verwerken.

Al deze componenten leiden tot een ondersteunende Attestation of Compliance (AOC). De AOC stelt de handelaar in staat om de verklaringen van verschillende leveranciers te gebruiken om zijn eigen AOC te vormen. Afhankelijk van het ontwerp van de oplossing en de hoeveelheid transacties, kan het een behoorlijke inspanning zijn om een kaarthouderomgeving (CHE) te herstellen en te onderhouden.

Afbeelding 1: AOC's van verkopers combineren om een AOC van de klant en een PCI-conform ontwerp te ondersteunen

Bij het bespreken van de implementatie en hoe een organisatie hiervan kan profiteren, is het belangrijk om rekening te houden met de algehele stroom van kaarthoudergegevens. Als er kaarthoudergegevens aanwezig zijn, kunnen er nalevingscontroles nodig zijn. Met de Zoom-oplossing die hieronder wordt beschreven, heeft een handelaar de mogelijkheid om deze omgeving en de bijbehorende kosten te minimaliseren.

We bespreken hoe Zoom en PCI Pal achter de schermen samenwerken om klanten in staat te stellen PCI-naleving te bereiken in Zoom Contact Center.

De oplossing maakt gebruik van de Zoom App Marketplace en Zoom-partneroplossingen om PCI-conforme gesprekken binnen een omgeving mogelijk te maken. Er zijn veel verschillende manieren om naleving te benaderen en met de hieronder beschreven oplossing zijn er mogelijkheden om de reikwijdte van een omgeving te minimaliseren.

In dit gedeelte concentreren we ons op twee primaire entiteiten: de agent en de consument. De agent is een persoon die Zoom Contact Center gebruikt en die opdrachten ontvangt via een spraak-, video- of berichtkanaal en die betalingen van de consument op een veilige manier moet accepteren. De Consument is de initiatiefnemer van de overeenkomst die de betaalkaarthouder is. Hoewel er ook betaalkanalen op basis van tekst beschikbaar zijn, zullen we ons in het voorbeeld richten op engagements via het spraakkanaal.

Wanneer hij het Zoom Contact Center opbelt, wordt de Consument door de menu's en interacties geleid op basis van het administratieve wachtrijontwerp, voordat hij naar de aangewezen Agent wordt geleid. Nadat de opdracht is gestart, zijn er twee mediastroomsegmenten waarmee de agent en de consument via een spraakkanaal met elkaar kunnen communiceren: (1) er wordt media verstuurd van de consument naar het PSTN en de ZCC-infrastructuur, en (2) er wordt media verstuurd tussen de ZCC-infrastructuur en de client van de agent. Dit is ook een voorbeeld van een traditioneel gesprek in Zoom Contact Center.

Afbeelding 2: Initiële telefoongesprekconfiguratie

Nadat het eerste gesprek tot stand gebracht is, kan de agent met de consument communiceren totdat de betaling geïnd moet worden. Op dat moment start de agent, binnen de PCI Pal Zoom App, (3) een sessie om te beginnen met het innen van de betaling. Met behulp van een combinatie van Zoom en PCI Pal API's wordt SIP gebruikt om extra gespreksdelen tussen de PSTN-provider, PCI Pal en Zoom te orkestreren. Deze gespreksgroepen vergemakkelijken de mediaonderhandelingen op een manier die Zoom en de agent ontlast van het verwerken, verzenden en opslaan van gegevens van de kaarthouder. De eerste poot van de oproep (4) blijft verbonden tussen de PSTN-provider en Zoom. Een extra verbinding (5) wordt tot stand gebracht tussen Zoom en PCI Pal. Wanneer de oproeppoot (4) en (5) met succes verbonden zijn, wordt er direct tussen de PSTN-provider en PCI Pal over media (6) onderhandeld. Terwijl de media zich binnen PCI Pal bevinden, worden de gegevens van de kaarthouder verwijderd. PCI Pal stuurt de signalering met een bijbehorende mediastroom terug naar Zoom (7). Na ontvangst verbindt Zoom de stroom opnieuw met de Agent (8).

Deze mediastroom van PSTN naar PCI Pal (6) bevat kaarthoudergegevens en wordt gefilterd wanneer het de PCI Pal-omgeving binnenkomt. De media wordt teruggestuurd naar Zoom (7) en uiteindelijk naar de agent (8). Dit mediapad is alleen actief voor de duur van het betalingsproces, dat meestal maar een paar minuten duurt. De agent kan gedurende deze tijd met de consument blijven communiceren. Omdat de gegevens van de kaarthouder van de media zijn verwijderd voordat ze bij Zoom aankomen, kunnen diensten zoals opnemen gedurende de hele ervaring worden gehandhaafd zonder dat de compliance-omvang toeneemt.

Afbeelding 3: Betaling in behandeling

Nadat de betaling is voltooid, worden de extra verbindingen automatisch verwijderd en wordt media opgezet in de oorspronkelijke opstelling: van PSTN naar Zoom (1) en van Zoom naar de oorspronkelijke medewerker (2). Een medewerker kan indien nodig extra betalingsstromen opzetten.

Afbeelding 4: Oorspronkelijke stroom wordt hersteld

Een van de zaken die misschien niet meteen duidelijk is, is de beschikbaarheid van Zoom Contact Center-diensten voor het gesprek. Door de kaarthoudergegevens te verwijderen voordat de media bij Zoom aankomt, kan de interactie profiteren van de functies van Zoom Contact Center, van opname, transcripties en sentimentanalyse tot Kwaliteitsbeheer voor toezichtfuncties.

De hierboven beschreven architectuur is uniek voor Zoom Contact Center, met meerdere ontwerpvoordelen. Andere ontwerpen vereisen dat elke oproep die mogelijk betalingsinformatie nodig heeft, verbinding moet maken met de betalingsverwerker (bijv. signalering). Met het ontwerp dat aansluit op Zoom als de core routing engine, zullen alleen de oproepen die een verbinding met een betalingsverwerker nodig hebben, naar de geïntegreerde systemen worden geleid, en alleen voor de duur die nodig is. Dit zorgt voor flexibiliteit van de gespreksstromen om normaal te werken tenzij er een betaling nodig is, en voor een soepelere werking als er onverwacht een betaling moet worden gedaan.

Veel andere stromen maken continu verbinding via de beveiligde betalingsoplossing. Afgezien van de latency-overwegingen, is het andere extra voordeel van de on-demand oplossing de uitvaldomeinen. Terwijl deze systemen zeer beschikbare uptimes hebben, hebben systemen die in serie zijn verbonden gecombineerde SLA's. Met de oplossing die in Zoom Contact Center is geïmplementeerd, hebben de verschillende systemen de mogelijkheid om de consument nog steeds met de agent te verbinden, mocht een integratie een probleem hebben.

Tot slot maken de platformgebaseerde ontwerpen van Zoom het mogelijk om deze integraties te gebruiken voor niet-Zoom Contact Center-gebruikers. Zoom Phone heeft vergelijkbare mogelijkheden die kunnen worden gebruikt als de gebruiker niet is gekoppeld aan een wachtrij van Zoom Contact Center.

Naast de unieke voordelen kan de integratie met PCI Pal en het beoordelen van de workflows van de medewerker je organisatie in staat stellen om haar PCI-reikwijdte te beperken.

Het in evenwicht brengen van de behoeften op het gebied van naleving en technologie om een contactcenter te implementeren dat betalingen ondersteunt, vereist een goede navigatie. Met de integratie van Zoom Contact Center met PCI Pal is er extra flexibiliteit om de complexiteit van de naleving te verminderen. We zullen nog meer artikelen plaatsen over hoe de integratie vanuit het oogpunt van de beheerder wordt geconfigureerd.