Conformité avec la norme PCI dans Zoom Contact Center

Solutions utilisées

Zoom Contact Center (ZCC) Zoom Contact Center (ZCC)

Une discussion sur les exigences de l’industrie des cartes de paiement (PCI) commence souvent avec un café. Si vous avez déjà participé à ce genre de conversation, les résultats sont souvent subjectifs, ce qui amène généralement à vouloir réduire au maximum la portée d’un environnement. Avec la solution mise en place par Zoom et PCI Pal, le café devient facultatif. Dans cet article, nous explorons cette mise en œuvre, ses avantages et dans quelle mesure votre organisation peut réduire la portée de ses processus commerciaux.

Le Conseil des normes de sécurité PCI a établi un ensemble de lignes directrices qui régissent le traitement des informations relatives aux cartes de crédit dans divers environnements. Certaines lignes directrices publiées par le conseil définissent les exigences pour un commerçant (l’entreprise qui perçoit les paiements). L’objectif principal des normes est de protéger les données du titulaire de la carte (CHD, pour Card Holder Data) lorsqu’elles sont partagées entre plusieurs systèmes. Le commerçant fait appel à divers fournisseurs et prestataires de solutions pour traiter la vente.

Tous ces éléments aboutissent à une attestation de conformité (AOC). L’AOC permet au commerçant de s’appuyer sur les assertions de divers fournisseurs pour former sa propre attestation. Selon la façon dont la solution a été conçue et le nombre de transactions, l’assainissement et la maintenance de l’environnement du titulaire de la carte (CHE, pour Card Holder Environment) peuvent représenter un effort considérable.

Figure 1 : combinaison d’AOC de fournisseurs pour soutenir une AOC de client et une conception conforme à la norme PCI

Concernant la mise en œuvre et les avantages qu’elle peut apporter à une organisation, il est important de garder à l’esprit le flux global des données relatives aux titulaires de cartes. Si ces données sont présentes, des audits de conformité peuvent être nécessaires. Avec la solution Zoom présentée ci-dessous, un commerçant a la possibilité de minimiser cet environnement et les coûts associés.

Nous verrons comment Zoom et PCI Pal travaillent ensemble en coulisses pour permettre aux clients d’appliquer la norme PCI dans Zoom Contact Center.

La solution tire parti de Zoom App Marketplace et des solutions partenaires de Zoom pour permettre des appels conformes à la norme PCI au sein d’un environnement donné. Il existe de nombreuses façons d’aborder la conformité, et la solution décrite ci-dessous permet de minimiser la portée d’un environnement.

Pour les besoins de cette section, nous nous concentrerons sur deux entités principales : l’agent et le consommateur. L’agent est une personne qui utilise Zoom Contact Center et qui reçoit des engagements par le biais d’un canal vocal, vidéo ou de messagerie et qui doit recevoir les paiements du consommateur de manière sécurisée. Le consommateur est l’initiateur de l’engagement et le détenteur de la carte de paiement. Bien qu’il existe des canaux de paiement basés sur le texte, nous nous concentrerons dans cet exemple sur les engagements via le canal vocal.

Lorsqu’il appelle Zoom Contact Center, le consommateur est dirigé vers les menus et les interactions en fonction de la conception de la file d’attente administrative avant d’être acheminé vers l’agent désigné. Une fois que l’engagement a commencé, il y a deux segments de flux de médias qui permettent à l’agent et au consommateur de communiquer l’un avec l’autre via un canal vocal : (1) les médias sont envoyés du consommateur au RTPC et à l’infrastructure ZCC, et (2) les médias sont envoyés entre l’infrastructure ZCC et le client de l’agent. Ceci est également un exemple d’appel traditionnel dans Zoom Contact Center.

Figure 2 : configuration initiale de l’appel téléphonique

Une fois l’appel initial établi, l’agent peut communiquer avec le consommateur jusqu’à ce que le paiement soit encaissé. A ce moment-là, l’agent, dans l’application Zoom de PCI Pal, (3) lance une session pour commencer la collecte du paiement. En utilisant une combinaison des API de Zoom et de PCI Pal, SIP est utilisé pour orchestrer des étapes d’appel supplémentaires entre le fournisseur PSTN, PCI Pal et Zoom. Ces étapes d’appel facilitent la négociation du support d’une manière qui libère Zoom et l’agent du traitement, de la transmission et du stockage des données du titulaire de la carte. La branche d’appel initiale (4) reste connectée entre le fournisseur RTPC et Zoom. Une branche d’appel supplémentaire (5) est établie entre Zoom et PCI Pal. Lorsque les segments d’appel (4) et (5) sont connectés avec succès, le support (6) est négocié directement entre le fournisseur RTPC et PCI Pal. Pendant que le support est dans PCI Pal, les données du titulaire de la carte sont supprimées. PCI Pal envoie la signalisation avec un flux de média associé à Zoom (7). Une fois reçu, Zoom reconnecte le flux à l’agent (8).

Ce flux médiatique du PSTN à PCI Pal (6) contient des données relatives aux titulaires de cartes et est filtré dès son entrée dans l’environnement PCI Pal. Le média est renvoyé à Zoom (7) et finalement à l’agent (8). Ce chemin médiatique n’est actif que pendant la durée du processus de paiement, qui ne dure généralement que quelques minutes. L’agent a la possibilité de maintenir la communication avec le consommateur pendant cette période. Les données du titulaire de la carte étant supprimées du support avant d’arriver à Zoom, des services tels que l’enregistrement peuvent être maintenus tout au long de l’expérience sans augmenter le champ d’application de la conformité.

Figure 3 : paiement en cours

Une fois le paiement effectué, les connexions supplémentaires sont automatiquement supprimées et le média est établi dans la configuration d’origine : du RTC à Zoom (1) et de Zoom à l’agent d’origine (2). Un agent peut établir des flux de paiement supplémentaires si nécessaire.

Figure 4 : le flux initial est rétabli

L’un des éléments qui peut ne pas être immédiatement évident est la disponibilité des services de Zoom Contact Center pour les appels. La suppression des données du titulaire de la carte avant que le média ne parvienne à Zoom permet à l’interaction de bénéficier des fonctions de Zoom Contact Center, depuis l’enregistrement, la transcription et l’analyse des sentiments jusqu’à la gestion de la qualité pour les fonctions de supervision.

L’architecture décrite ci-dessus est unique à Zoom Contact Center et présente de nombreux avantages. D’autres conceptions exigent que tout appel susceptible de nécessiter des informations de paiement soit connecté au processeur de paiement (par exemple, la signalisation). Avec la conception qui se connecte à Zoom en tant que moteur de routage principal, seuls les appels qui doivent se connecter à un processeur de paiement s’établiront dans les systèmes intégrés et seulement pour la durée nécessaire. Cela permet aux flux d’appels de fonctionner normalement tant qu’un paiement n’est pas nécessaire, ainsi qu’un fonctionnement plus fluide si un paiement doit être effectué de manière inattendue.

De nombreux autres flux se connectent en permanence via la solution de paiement sécurisé. Outre les considérations de latence, l’autre avantage supplémentaire de la solution à la demande concerne les domaines de défaillance. Alors que ces systèmes ont des temps de disponibilité élevés, les systèmes connectés en série ont des accords de niveau de service (SLA) combinés. Avec la solution mise en œuvre dans Zoom Contact Center, les différents systèmes ont la capacité de continuer à connecter le consommateur à l’agent en cas de problème d’intégration.

Enfin, la conception de la plateforme Zoom permet de tirer parti de ces intégrations pour les utilisateurs qui ne font pas partie de Zoom Contact Center. Zoom Phone possède des fonctionnalités similaires qui peuvent être utilisées si l’utilisateur n’est pas associé à une file d’attente Zoom Contact Center.

Outre ces avantages uniques, l’intégration à PCI Pal et l’évaluation des flux de travail de l’agent peuvent permettre à votre organisation de limiter la portée de ses obligations PCI.

L’équilibre entre la conformité et les besoins technologiques pour mettre en œuvre un centre de contact prenant en charge les paiements nécessite d’être bien orienté. Grâce à l’intégration de Zoom Contact Center à PCI Pal, il existe une flexibilité supplémentaire pour aider à réduire les complexités liées à la conformité. Nous publierons d’autres articles sur la façon dont l’intégration est configurée du point de vue de l’administrateur.