Presentación de PowerPoint

Transcripción

Grabación PCI DSS
© Copyright 2014 | Weber Solutions Spain - Colombia
Weber Solutions – Professional Services Team
Madrid • Noviembre 2014
INDICE
Normativa PCI DSS
¿Qué implica?
Grabación PCI, métodos
Que no es PCI DSS en grabación
Ejemplo práctico
Para aumentar los controles sobre los propietarios de información de
tarjetas de pago y prevenir el fraude, la Industria de Tarjeta de Pago,
PCI (Payment Card Industry) ha desarrollado una serie de Estándares
de Seguridad de Datos, DSS (Data Security Standard)
La información de las Tarjetas de Pago se divide en 2 Grupos:
Datos
de identificación del cliente, como nombre y dirección
Datos confidenciales de autentificación, especialmente el código de
seguridad impreso los datos de la banda magnética.
Desarrolle y mantenga
redes y sistemas
seguros
Proteger los datos del
titular de la tarjeta
Mantener un
programa de
administración de
vulnerabilidad
Implementar medidas
sólidas de control de
acceso
Supervisar y evaluar
las redes con
regularidad
Mantener una política
de seguridad de
información
Requisito 1:
Requisito 2:
Instalar y mantener una configuración de firewall para proteger los
datos del titular de la tarjeta
No utilizar contraseñas de sistemas y otros parámetros de seguridad
provistos por los proveedores
Requisito 3:
Proteja los datos del titular de la tarjeta que fueron almacenados
Requisito 4:
Cifrar la transmisión de los datos del titular de la tarjeta en las redes
publicas abiertas
Requisito 5:
Utilizar y actualizar con regularidad los programas o software antivirus
Requisito 6:
Desarrolle y mantenga sistemas y aplicaciones seguras
Requisito 7:
Restrinja el acceso a los datos del titular de la tarjeta según la
necesidad de saber que tenga la empresa.
Requisito 8:
Identifique y autentifique el acceso a los componentes del sistema
Requisito 9:
Restringir el acceso físico a los datos del titular de la tarjeta
Requisito 10:
Rastree y supervise todos los accesos a los recursos de red a los datos
de los titulares de las tarjetas
Requisito 11:
Pruebe con regularidad los sistemas y procesos de seguridad.
Requisito 12:
Mantenga una política que aborde la seguridad de la información para
todo el personal.
4
INDICE
Normativa PCI DSS
¿Qué implica?
Ejemplo práctico
Cualquier empresa o negocio que permita el pago de tarjetas por llamada telefónica y
las graba se ven directamente afectados por la Sección 3.2 de PCI DSS.
Esto significa que NO se puede almacenar ningún dato de autentificación, en ningún
formato, una vez finalizada la autorización. Esta directiva se extiende a los Contact
Center que utilicen grabación de llamadas.
Datos de cuentas
Elemento de datos
Almacenamiento
permitido
Datos almacenados ilegibles según el Requisito 3.4
Número de cuenta principal (PAN)
Sí
Sí
Nombre del titular de la tarjeta
Sí
No
Sí
No
Código de servicio
Datos del titular de
Fecha de vencimiento
la tarjeta
Contenido completo de la pista1
Datos
CAV2/CVC2/CVV2/CID2
confidenciales
de autenticación2
PIN/Bloqueo de PIN3
Sí
No
No
No se pueden almacenar según el Requisito 3.2
No
No
1. Contenido completo de la pista que se encuentra en la banda magnética, datos equivalentes que se encuentran en el chip o en
cualquier otro dispositivo
2. La cifra de tres o cuatro dígitos en el anverso o reverso de la tarjeta de pago
3. El número de identificación personal ingresado por el titular de la tarjeta durante una transacción con tarjeta presente o el bloqueo
de PIN cifrado presente en el mensaje de la transacción.
Desarrolle y mantenga redes y sistemas seguros
Requisito 1:
Instalar y mantener una configuración de firewall para proteger los datos del titular de la
tarjeta
Requisito 2:
No utilizar contraseñas de sistemas y otros parámetros de seguridad provistos por los
proveedores
 Sistemas no conectados a Internet
Pasos
recomendados:
 Configuración de Firewall específica para cada sistema y cliente
 Lista de puertos TCP/UDP
 Cuentas y contraseñas específicos por sistema
Proteger los datos del titular de la tarjeta
Requisito 3:
Proteja los datos del titular de la tarjeta que fueron almacenados
Requisito 4:
Cifrar la transmisión de los datos del titular de la tarjeta en las redes publicas abiertas
 Encriptación de los medios End-to-End, AES 256
 Cambio periódico de claves con gestor interno de claves
Pasos
recomendados:
 Comunicación de cliente Segura (https, sftp, ssl)
 Control de Privacidad
 Pausa de la grabación
Maintain a Vulnerability Management Program
Requisito 5:
Utilizar y actualizar con regularidad los programas o software antivirus
Requisito 6:
Desarrolle y mantenga sistemas y aplicaciones seguras
Pasos
recomendados:
 Programa de soporte de actualización de Parches y Software
 Certificación y soporte de Antivirus
 Inspección de sistemas por expertos independientes de seguridad
Implementar medidas sólidas de control de acceso
Requisito 7:
Restrinja el acceso a los datos del titular de la tarjeta según la necesidad
de saber que tenga la empresa.
Requisito 8:
Identifique y autentifique el acceso a los componentes del sistema
Requisito 9:
Restringir el acceso físico a los datos del titular de la tarjeta
 Soporte de LDAP
Pasos
recomendados:
 Administración de usuarios basados en Perfiles
 Audit trail
 Integridad doble para todas las aplicaciones
Supervisar y evaluar las redes con regularidad
Requisito 10:
Rastree y supervise todos los accesos a los recursos de red a los datos
de los titulares de las tarjetas
Requisito 11:
Pruebe con regularidad los sistemas y procesos de seguridad.
Pasos
recomendados:
 Monitorización sobre: Login, Busqueda, Reproducción,
Monitorización, Configuración,…
 Audit trail
INDICE
Normativa PCI DSS
¿Qué implica?
Ejemplo práctico

Apagar el grabador

Transfiriendo las llamadas a una IVR
Cliente atendido por Agente
Agente Transfiere llamada a IVR para
validación de tarjeta
Agente recibe confirmación y retoma
la llamada
Agente confirma compra
1.
2.
4
3.
Cliente
Agente
1
4.
3
2
IVR
Gateway
Pago
Banco
La IVR no se graba, por lo que la validación de datos no es
almacenada en el grabador

Pausa/mute sobre una grabación:
3
4
Cliente
Agente
1
2
Gateway
Pago
1.
2.
Una vez que se inicia el proceso de validación de la tarjeta
El grabador recibe una orden de pausa/mute por:
Screenscan  Aplicación que detecta acciones en la pantalla
API  Desarrollo con API del fabricante
3.
4.
Banco
Cliente atendido por Agente
Agente valida la información de la
tarjeta
Agente recibe confirmación
Agente confirma compra

Asesor asistido de supresión de DTMF (ASC Secure Plus)
◦ Cumplimiento de PCI DSS sobre:
 Cualquier plataforma de grabación
 El Agente
 Parte de su RED
◦ Beneficios
 Un ROI rápido al reducir los niveles SAQ(1) de 4 a 1
 Fidelidad del cliente por adoptar procesos seguros
SAQ: PCI DSS SAQ es una herramienta de validación que le permite comprobar si cumple con la normativa PCI DSS
ASC Secure Plus
Paso 1
Paso 4
Paso 2
Paso 5
Paso 3
Paso 6
A la hora de realizar el pago, el asistente abre una
ventana de pago
El asistente guía al cliente a través del pago,
pidiendo la información necesaria
El sistema recoge la información de la Tarjeta
Los datos se mandan al banco
El asistente recibe confirmación y codigo de
autorización del cliente
El pago es realizado al beneficiario
ASC Secure Plus
INDICE
Normativa PCI DSS
¿Qué implica?
Ejemplo práctico
Pausa manual de una grabación
Proceso por el que un agente puede pausar manualmente una grabación cuando recoge información
de la tarjeta
Este método no cumple la normativa PCI DSS. En la publicación “Protecting Telephone-based
Payment Card Data” de Marzo de 2011 de PCIS SSC se indicaba que la información debía ser
borrada de las grabaciones “automáticamente (sin intervención del personal)”
Problemas relacionados:
Un agente puede olvidar reiniciar la grabación.
Un agente puede olvidar pausar la grabación durante la recogida de datos
Un agente puede decidir si quiere o no grabar una conversación
Solo encriptación
PCI SSC no permite la encriptación como si misma para proteger los datos de una tarjeta en una
grabación.
La razón es simple: En un Contact Center, Jefes de equipo y Supervisores, por ejemplo, tienen que
escuchar grabaciones como parte de su trabajo. Cualquier grabación encriptada puede ser
desencriptada para su reproducción.
La encriptación es necesaria para proteger las grabaciones contra robos externos, pero esto no
garantiza su protección interna.
PCI SSC lo deja bien claro: “Es una violación de PCI DSS Requisito 3.2 almacenar cualquier
información sensible de autentificación, incluyendo códigos de validación de tarjeta y valores,
después de la autorización aunque se hayan encriptado” Protecting Telephone-based Payment Card
Data, Marzo de 2011
Usar Speech Analytics para borrar después de la grabación
La teoría detrás de este método es que Speech Analytics puede detectar la información de la tarjeta
por busqueda de números, palabras o frases comunes utilizadas en un contexto de pago.
El resultado es el borrado de esta información de la grabación.
Speech Analytics ha avanzado mucho en los últimos años, ofreciendo grandes ventajas en la
operativa de un Contact Center. Sin embargo la teoría se cae cuando se trata que de llamadas con
pagos por tarjeta.
Es muy difícil detectar y borrar la información de una tarjeta, que esencialmente son números, sin
comprometer otras partes de la grabación y una herramienta de speech analytics que deja los 3-4
digitos de seguridad sin borrar no cumple la normativa PCI DSS.
INDICE
Normativa PCI DSS
¿Qué implica?
Ejemplo práctico
Customer
 3 Data Centers (NAM/LATM + EMEA + APAC)
 Unify OSV + OSCC
 ~ total 750 Agent Seats

SAP incl. PCI DSS Payment-Middleware

Voice & Screen Recording
PCI DSS Key Management
PCI DSS Recording Control via API-Implementation
QM-Suite incl. eLearning



Mar 14, 2012 - Laufwerk:\Pfad\Dateiname
24
Agent selects “Payment cards” (Customer Master Data (VD02) –
General Data – Payment Transactions – Payment Cards)
25
If customer wants to use a stored card Agent can select the card
-> no influence on Voice / Screen Recording
26
If customer wants to use new card, Agent enters “/m” in CC number
field and press “F4”
27
Agent enters CC Number in SAP Payment Middleware
-> After pressing “Submit” Voice/Screen Recording is muted
28
Payment Middleware creates a Token which relates to the CC Number
(kept in Middleware).
Agent switches back to SAP, removes “/m” from the card number field,
and then again presses “F4”. Afterwards, the token appears in the Card
Number field of the order. Agent enters CC Verification-Details (like
Valid Date; CCV).
29
30
-> After agent applies and returns to SAP Order process, recording is
unmuted
-> Except CC Number no CC Details (shown or spoken) are recorded
 PCI DSS Compliant Process
31
Gracias por su confianza!!
Maximizing Budget & Optimizing Experience
[email protected] • 902 72 71 70 • www.webersolutions.es

Presentación de PowerPoint

Transcripción

Documentos relacionados

House for sale in spain