Conformidade da PCI no Zoom Contact Center

Produtos usados

Zoom Contact Center (ZCC) Zoom Contact Center (ZCC)

Discutir os requisitos da Indústria de Cartões de Pagamento (PCI) muitas vezes pode começar com um café. Se você já participou dessas conversas, os resultados são frequentemente subjetivos, o que leva ao desejo geral de reduzir o escopo de um ambiente tanto quanto possível. Com a solução que o Zoom e a PCI Pal implementaram, o café se torna opcional. Nesta postagem, exploraremos a implementação, seus benefícios e como sua organização pode ser capaz de reduzir o escopo dos seus processos corporativos.

A PCI Security Standards Council estabeleceu um conjunto de diretrizes que regulam o manuseio de informações de cartão de crédito em vários ambientes. Há diretrizes publicadas pelo conselho que definem os requisitos para um comerciante (a empresa que está coletando pagamentos). O foco principal dos padrões é proteger os dados do titular do cartão (CHD), pois eles são compartilhados em vários sistemas. O comerciante utilizará vários fornecedores e provedores de soluções para processar a venda.

Todos esses componentes levam a um Atestado de Conformidade (AOC) de apoio. O AOC permite que o comerciante aproveite as afirmações de vários fornecedores para formar seu próprio AOC. Dependendo do projeto da solução e da quantidade de transações, pode haver um grande esforço para remediar e manter um Ambiente de titular do cartão (CHE).

Figura 1: combinação de AOCs dos fornecedores para dar suporte a um AOC de cliente e a um design compatível com a PCI

Ao discutirmos a implementação e como ela pode beneficiar uma organização, é importante estar atento ao fluxo geral de dados do titular do cartão. Se os dados do titular do cartão estiverem presentes, podem ser necessárias auditorias de conformidade. Com a solução Zoom destacada abaixo, o comerciante tem a opção de minimizar esse ambiente e seus custos associados.

Veremos como o Zoom e a PCI Pal trabalham juntos nos bastidores para permitir que os clientes alcancem a conformidade com a PCI no Zoom Contact Center.

A solução aproveita o Zoom App Marketplace e as Zoom Partner Solutions para permitir chamadas em conformidade com a PCI em um ambiente. Há muitas maneiras diferentes de abordar a conformidade e, com a solução detalhada abaixo, há oportunidades de reduzir o escopo de um ambiente.

Para os fins desta seção, vamos nos concentrar em duas entidades principais: o Agente e o Consumidor. O agente é um indivíduo que usa o Zoom Contact Center e que receberá compromissos por meio de um canal de voz, vídeo ou mensagem e deve receber pagamentos do consumidor de forma segura. O consumidor é o iniciador da interação, que é o titular do cartão de pagamento. Embora os canais de pagamento baseados em texto estejam disponíveis, vamos nos concentrar nos compromissos por meio do canal de voz no exemplo.

Ao ligar para o Zoom Contact Center, o consumidor é direcionado pelos menus e interações com base no design da fila administrativa antes de ser encaminhado para o agente designado. Após o início da interação, há dois segmentos de fluxo de mídia que permitem que o agente e o consumidor se comuniquem entre si por meio de um canal de voz: (1) a mídia é enviada do consumidor para a infraestrutura PSTN e ZCC e (2) a mídia é enviada entre a infraestrutura ZCC e o cliente do agente. Esse também é um exemplo de uma chamada tradicional para o Zoom Contact Center.

Figura 2: configuração inicial da chamada telefônica

Com a chamada inicial estabelecida, o Agente é capaz de se comunicar com o Consumidor até que o pagamento seja cobrado. Nesse momento, o agente, dentro do aplicativo Zoom do PCI Pal, (3) inicia uma sessão para começar a cobrança do pagamento. Usando uma combinação de APIs do Zoom e do PCI Pal, o SIP é usado para orquestrar trechos de chamadas adicionais entre o provedor de PSTN, o PCI Pal e o Zoom. Esses trechos de chamada facilitam a negociação de mídia de uma maneira que alivia o Zoom e o agente do processamento, transmissão e armazenamento de dados do titular do cartão. O trecho de chamada inicial (4) permanece conectado entre o provedor de PSTN e o Zoom. Um trecho de chamada adicional (5) é estabelecido do Zoom para o PCI Pal. Com os trechos de chamada (4) e (5) conectados com sucesso, a mídia (6) é negociada diretamente entre o provedor de PSTN e o PCI Pal. Enquanto a mídia está no PCI Pal, os dados do titular do cartão são removidos. O PCI Pal envia a sinalização com um fluxo de mídia associado de volta ao Zoom (7). Uma vez recebido, o Zoom reconecta o fluxo ao Agente (8).

Esse fluxo de mídia da PSTN para o PCI Pal (6) contém dados do titular do cartão e é filtrado ao entrar no ambiente do PCI Pal. A mídia é passada de volta para o Zoom (7) e, por fim, para o agente (8). Esse caminho de mídia só fica ativo durante o processo de pagamento, que normalmente leva apenas alguns minutos. O agente tem a capacidade de manter a comunicação com o consumidor durante esse período. Como a mídia tem os dados do titular do cartão removidos antes de chegar ao Zoom, serviços como a gravação podem ser mantidos durante toda a experiência sem aumentar o escopo de conformidade.

Figura 3: pagamento em processo

Após a conclusão do pagamento, as conexões extras são automaticamente removidas e a mídia é estabelecida na configuração original: da PSTN para o Zoom (1) e do Zoom para o Agente original (2). Um agente pode estabelecer fluxos de pagamento extras, conforme necessário.

Figura 4: o fluxo original é restabelecido

Um dos itens que pode não ser imediatamente óbvio é a disponibilidade dos serviços do Zoom Contact Center para a chamada. A remoção dos dados do titular do cartão antes de a mídia chegar ao Zoom permite que a interação aproveite os recursos do Zoom Contact Center, desde a gravação, transcrições e análise de sentimentos até o gerenciamento de qualidade para funções de supervisão.

A arquitetura descrita acima é exclusiva do Zoom Contact Center, com vários benefícios de design. Outros projetos exigem que qualquer chamada que precise de informações de pagamento seja solicitada a se conectar ao processador de pagamento (por exemplo, sinalização). Com o projeto que se conecta ao Zoom como mecanismo de roteamento principal, apenas as chamadas que precisam se conectar a um processador de pagamento serão estabelecidas nos sistemas integrados e somente pela duração necessária. Isso permite a flexibilidade dos fluxos de chamada para operar normalmente, a menos que um pagamento seja necessário, bem como uma operação mais suave caso um pagamento precise ser feito inesperadamente.

Muitos outros fluxos se conectam persistentemente por meio da solução de pagamento seguro. Além das considerações de latência, o outro benefício adicional da solução sob demanda está relacionado aos domínios de falha. Embora esses sistemas tenham tempos de atividade altamente disponíveis, os sistemas conectados em série têm SLAs combinados. Com a solução implementada no Zoom Contact Center, os vários sistemas têm a capacidade de ainda conectar o consumidor ao agente caso uma integração tenha um problema.

Por fim, os designs baseados na plataforma do Zoom permitem que essas integrações sejam aproveitadas para usuários que não são do Zoom Contact Center. O Zoom Phone tem recursos semelhantes que podem ser usados se o usuário não estiver associado a uma fila do Zoom Contact Center.

Além dos benefícios exclusivos, a integração com a PCI Pal e a avaliação dos fluxos de trabalho do agente podem permitir que sua organização limite o escopo da PCI.

Equilibrar as necessidades de conformidade e tecnologia para implementar uma central de contato que ofereça suporte a pagamentos requer uma navegação adequada. Com a integração do Zoom Contact Center com a PCI Pal, há flexibilidade adicional para ajudar a reduzir as complexidades de conformidade. Publicaremos mais artigos focados em como configurar a integração, do ponto de vista do administrador.