Presentación de PowerPoint
Transcripción
Presentación de PowerPoint
Grabación PCI DSS © Copyright 2014 | Weber Solutions Spain - Colombia Weber Solutions – Professional Services Team Madrid • Noviembre 2014 INDICE Normativa PCI DSS ¿Qué implica? Grabación PCI, métodos Que no es PCI DSS en grabación Ejemplo práctico © Copyright 2014 | Weber Solutions Spain - Colombia Para aumentar los controles sobre los propietarios de información de tarjetas de pago y prevenir el fraude, la Industria de Tarjeta de Pago, PCI (Payment Card Industry) ha desarrollado una serie de Estándares de Seguridad de Datos, DSS (Data Security Standard) La información de las Tarjetas de Pago se divide en 2 Grupos: Datos de identificación del cliente, como nombre y dirección Datos confidenciales de autentificación, especialmente el código de seguridad impreso los datos de la banda magnética. © Copyright 2014 | Weber Solutions Spain - Colombia Desarrolle y mantenga redes y sistemas seguros Proteger los datos del titular de la tarjeta Mantener un programa de administración de vulnerabilidad Implementar medidas sólidas de control de acceso Supervisar y evaluar las redes con regularidad Mantener una política de seguridad de información Requisito 1: Requisito 2: Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta No utilizar contraseñas de sistemas y otros parámetros de seguridad provistos por los proveedores Requisito 3: Proteja los datos del titular de la tarjeta que fueron almacenados Requisito 4: Cifrar la transmisión de los datos del titular de la tarjeta en las redes publicas abiertas Requisito 5: Utilizar y actualizar con regularidad los programas o software antivirus Requisito 6: Desarrolle y mantenga sistemas y aplicaciones seguras Requisito 7: Restrinja el acceso a los datos del titular de la tarjeta según la necesidad de saber que tenga la empresa. Requisito 8: Identifique y autentifique el acceso a los componentes del sistema Requisito 9: Restringir el acceso físico a los datos del titular de la tarjeta Requisito 10: Rastree y supervise todos los accesos a los recursos de red a los datos de los titulares de las tarjetas Requisito 11: Pruebe con regularidad los sistemas y procesos de seguridad. Requisito 12: Mantenga una política que aborde la seguridad de la información para todo el personal. © Copyright 2014 | Weber Solutions Spain - Colombia 4 INDICE Normativa PCI DSS ¿Qué implica? Grabación PCI, métodos Que no es PCI DSS en grabación Ejemplo práctico © Copyright 2014 | Weber Solutions Spain - Colombia Cualquier empresa o negocio que permita el pago de tarjetas por llamada telefónica y las graba se ven directamente afectados por la Sección 3.2 de PCI DSS. Esto significa que NO se puede almacenar ningún dato de autentificación, en ningún formato, una vez finalizada la autorización. Esta directiva se extiende a los Contact Center que utilicen grabación de llamadas. Datos de cuentas Elemento de datos Almacenamiento permitido Datos almacenados ilegibles según el Requisito 3.4 Número de cuenta principal (PAN) Sí Sí Nombre del titular de la tarjeta Sí No Sí No Código de servicio Datos del titular de Fecha de vencimiento la tarjeta Contenido completo de la pista1 Datos CAV2/CVC2/CVV2/CID2 confidenciales de autenticación2 PIN/Bloqueo de PIN3 Sí No No No se pueden almacenar según el Requisito 3.2 No No se pueden almacenar según el Requisito 3.2 No No se pueden almacenar según el Requisito 3.2 1. Contenido completo de la pista que se encuentra en la banda magnética, datos equivalentes que se encuentran en el chip o en cualquier otro dispositivo 2. La cifra de tres o cuatro dígitos en el anverso o reverso de la tarjeta de pago 3. El número de identificación personal ingresado por el titular de la tarjeta durante una transacción con tarjeta presente o el bloqueo de PIN cifrado presente en el mensaje de la transacción. © Copyright 2014 | Weber Solutions Spain - Colombia Desarrolle y mantenga redes y sistemas seguros Requisito 1: Instalar y mantener una configuración de firewall para proteger los datos del titular de la tarjeta Requisito 2: No utilizar contraseñas de sistemas y otros parámetros de seguridad provistos por los proveedores Sistemas no conectados a Internet Pasos recomendados: Configuración de Firewall específica para cada sistema y cliente Lista de puertos TCP/UDP Cuentas y contraseñas específicos por sistema © Copyright 2014 | Weber Solutions Spain - Colombia Proteger los datos del titular de la tarjeta Requisito 3: Proteja los datos del titular de la tarjeta que fueron almacenados Requisito 4: Cifrar la transmisión de los datos del titular de la tarjeta en las redes publicas abiertas Encriptación de los medios End-to-End, AES 256 Cambio periódico de claves con gestor interno de claves Pasos recomendados: Comunicación de cliente Segura (https, sftp, ssl) Control de Privacidad Pausa de la grabación © Copyright 2014 | Weber Solutions Spain - Colombia Maintain a Vulnerability Management Program Requisito 5: Utilizar y actualizar con regularidad los programas o software antivirus Requisito 6: Desarrolle y mantenga sistemas y aplicaciones seguras Pasos recomendados: Programa de soporte de actualización de Parches y Software Certificación y soporte de Antivirus Inspección de sistemas por expertos independientes de seguridad © Copyright 2014 | Weber Solutions Spain - Colombia Implementar medidas sólidas de control de acceso Requisito 7: Restrinja el acceso a los datos del titular de la tarjeta según la necesidad de saber que tenga la empresa. Requisito 8: Identifique y autentifique el acceso a los componentes del sistema Requisito 9: Restringir el acceso físico a los datos del titular de la tarjeta Soporte de LDAP Pasos recomendados: Administración de usuarios basados en Perfiles Audit trail Integridad doble para todas las aplicaciones © Copyright 2014 | Weber Solutions Spain - Colombia Supervisar y evaluar las redes con regularidad Requisito 10: Rastree y supervise todos los accesos a los recursos de red a los datos de los titulares de las tarjetas Requisito 11: Pruebe con regularidad los sistemas y procesos de seguridad. Pasos recomendados: Monitorización sobre: Login, Busqueda, Reproducción, Monitorización, Configuración,… Audit trail © Copyright 2014 | Weber Solutions Spain - Colombia INDICE Normativa PCI DSS ¿Qué implica? Grabación PCI, métodos Que no es PCI DSS en grabación Ejemplo práctico © Copyright 2014 | Weber Solutions Spain - Colombia Apagar el grabador © Copyright 2014 | Weber Solutions Spain - Colombia Transfiriendo las llamadas a una IVR Cliente atendido por Agente Agente Transfiere llamada a IVR para validación de tarjeta Agente recibe confirmación y retoma la llamada Agente confirma compra 1. 2. 4 3. Cliente Agente 1 4. 3 2 IVR Gateway Pago Banco La IVR no se graba, por lo que la validación de datos no es almacenada en el grabador © Copyright 2014 | Weber Solutions Spain - Colombia Pausa/mute sobre una grabación: 3 4 Cliente Agente 1 2 Gateway Pago 1. 2. Una vez que se inicia el proceso de validación de la tarjeta El grabador recibe una orden de pausa/mute por: Screenscan Aplicación que detecta acciones en la pantalla API Desarrollo con API del fabricante © Copyright 2014 | Weber Solutions Spain - Colombia 3. 4. Banco Cliente atendido por Agente Agente valida la información de la tarjeta Agente recibe confirmación Agente confirma compra Asesor asistido de supresión de DTMF (ASC Secure Plus) ◦ Cumplimiento de PCI DSS sobre: Cualquier plataforma de grabación El Agente Parte de su RED ◦ Beneficios Un ROI rápido al reducir los niveles SAQ(1) de 4 a 1 Fidelidad del cliente por adoptar procesos seguros SAQ: PCI DSS SAQ es una herramienta de validación que le permite comprobar si cumple con la normativa PCI DSS © Copyright 2014 | Weber Solutions Spain - Colombia ASC Secure Plus Paso 1 Paso 4 Paso 2 Paso 5 Paso 3 Paso 6 A la hora de realizar el pago, el asistente abre una ventana de pago El asistente guía al cliente a través del pago, pidiendo la información necesaria El sistema recoge la información de la Tarjeta © Copyright 2014 | Weber Solutions Spain - Colombia Los datos se mandan al banco El asistente recibe confirmación y codigo de autorización del cliente El pago es realizado al beneficiario ASC Secure Plus © Copyright 2014 | Weber Solutions Spain - Colombia INDICE Normativa PCI DSS ¿Qué implica? Grabación PCI, métodos Que no es PCI DSS en grabación Ejemplo práctico © Copyright 2014 | Weber Solutions Spain - Colombia Pausa manual de una grabación Proceso por el que un agente puede pausar manualmente una grabación cuando recoge información de la tarjeta Este método no cumple la normativa PCI DSS. En la publicación “Protecting Telephone-based Payment Card Data” de Marzo de 2011 de PCIS SSC se indicaba que la información debía ser borrada de las grabaciones “automáticamente (sin intervención del personal)” Problemas relacionados: Un agente puede olvidar reiniciar la grabación. Un agente puede olvidar pausar la grabación durante la recogida de datos Un agente puede decidir si quiere o no grabar una conversación © Copyright 2014 | Weber Solutions Spain - Colombia Solo encriptación PCI SSC no permite la encriptación como si misma para proteger los datos de una tarjeta en una grabación. La razón es simple: En un Contact Center, Jefes de equipo y Supervisores, por ejemplo, tienen que escuchar grabaciones como parte de su trabajo. Cualquier grabación encriptada puede ser desencriptada para su reproducción. La encriptación es necesaria para proteger las grabaciones contra robos externos, pero esto no garantiza su protección interna. PCI SSC lo deja bien claro: “Es una violación de PCI DSS Requisito 3.2 almacenar cualquier información sensible de autentificación, incluyendo códigos de validación de tarjeta y valores, después de la autorización aunque se hayan encriptado” Protecting Telephone-based Payment Card Data, Marzo de 2011 © Copyright 2014 | Weber Solutions Spain - Colombia Usar Speech Analytics para borrar después de la grabación La teoría detrás de este método es que Speech Analytics puede detectar la información de la tarjeta por busqueda de números, palabras o frases comunes utilizadas en un contexto de pago. El resultado es el borrado de esta información de la grabación. Speech Analytics ha avanzado mucho en los últimos años, ofreciendo grandes ventajas en la operativa de un Contact Center. Sin embargo la teoría se cae cuando se trata que de llamadas con pagos por tarjeta. Es muy difícil detectar y borrar la información de una tarjeta, que esencialmente son números, sin comprometer otras partes de la grabación y una herramienta de speech analytics que deja los 3-4 digitos de seguridad sin borrar no cumple la normativa PCI DSS. © Copyright 2014 | Weber Solutions Spain - Colombia INDICE Normativa PCI DSS ¿Qué implica? Grabación PCI, métodos Que no es PCI DSS en grabación Ejemplo práctico © Copyright 2014 | Weber Solutions Spain - Colombia Customer 3 Data Centers (NAM/LATM + EMEA + APAC) Unify OSV + OSCC ~ total 750 Agent Seats SAP incl. PCI DSS Payment-Middleware Voice & Screen Recording PCI DSS Key Management PCI DSS Recording Control via API-Implementation QM-Suite incl. eLearning © Copyright 2014 | Weber Solutions Spain - Colombia Mar 14, 2012 - Laufwerk:\Pfad\Dateiname 24 Agent selects “Payment cards” (Customer Master Data (VD02) – General Data – Payment Transactions – Payment Cards) © Copyright 2014 | Weber Solutions Spain - Colombia 25 If customer wants to use a stored card Agent can select the card -> no influence on Voice / Screen Recording © Copyright 2014 | Weber Solutions Spain - Colombia 26 If customer wants to use new card, Agent enters “/m” in CC number field and press “F4” © Copyright 2014 | Weber Solutions Spain - Colombia 27 Agent enters CC Number in SAP Payment Middleware -> After pressing “Submit” Voice/Screen Recording is muted © Copyright 2014 | Weber Solutions Spain - Colombia 28 Payment Middleware creates a Token which relates to the CC Number (kept in Middleware). Agent switches back to SAP, removes “/m” from the card number field, and then again presses “F4”. Afterwards, the token appears in the Card Number field of the order. Agent enters CC Verification-Details (like Valid Date; CCV). © Copyright 2014 | Weber Solutions Spain - Colombia 29 © Copyright 2014 | Weber Solutions Spain - Colombia 30 -> After agent applies and returns to SAP Order process, recording is unmuted -> Except CC Number no CC Details (shown or spoken) are recorded PCI DSS Compliant Process © Copyright 2014 | Weber Solutions Spain - Colombia 31 Gracias por su confianza!! Maximizing Budget & Optimizing Experience [email protected] • 902 72 71 70 • www.webersolutions.es © Copyright 2014 | Weber Solutions Spain - Colombia