Oggi ho sentito di un call center che non ti è permesso portare i cellulari o prendere la carta. Si presume che questo sia un reclamo PCI. È vero? Qual è il ragionamento? Questo sembra eccessivo. Hanno detto che è per proteggere le informazioni sulle carte di credito, ma di solito i rappresentanti del servizio clienti (ad esempio quelli di Starbucks) non devono farlo.
Versione breve:
Il PCI-DSS non richiama esplicitamente i passi che descrivi. Tuttavia, questi sono passaggi di buon senso che sono ragionevolmente compresi da diversi requisiti PCI-DSS. Non sono affatto rari e li ho visti come requisiti per gli accordi contrattuali non-PCI-DSS da parte di terzi in un ambiente di elaborazione delle carte.
Versione lunga:
Tecnicamente , il PCI-DSS prescrive solo la sicurezza per "il sistema componenti, "non persone:
The PCI DSS security requirements apply to all system components included in or connected to the cardholder data environment.
Detto questo, un sacco di DSS si basa su politiche che hanno un impatto su cose diverse dai componenti del sistema. I seguenti requisiti potrebbero essere ragionevolmente interpretati come affrontati dalle due misure (divieto di dati incontrollati / dispositivi di telecamere nel CDE, controllo sull'uso della carta nel CDE) che descrivi:
7.3 Ensure that security policies and operational procedures for restricting access to cardholder data are documented, in use, and known to all affected parties.
Mentre 7.3 non dice come dovrebbero essere implementate le restrizioni , si dice che dovresti avere restrizioni sull'accesso come parte della tua politica. Il controllo del telefono / fotocamera e della carta nel CDE è una restrizione ragionevole.
9.5 Physically secure all media: Verify that procedures for protecting cardholder data include controls for physically securing all media (including but not limited to computers, removable electronic media, paper receipts, paper reports, and faxes).
La conservazione della carta dall'uscita dal CDE è una forma di protezione dei supporti cartacei e impedire l'accesso ai telefoni cellulari / fotocamere è il controllo dei "supporti elettronici rimovibili".
12.3 Develop usage policies for critical technologies and define proper use of these technologies. (... tablets, removable electronic media, e-mail usage and Internet usage.)
Noterai anche che i call center spesso impediscono l'accesso a Internet e alla posta elettronica, per lo stesso motivo: sono metodi che i dipendenti possono utilizzare per ottenere i numeri di carta dall'ambiente.
Questi requisiti non sono "eccessivi", sono piuttosto standard. Possono causare problemi "reali" (ad es. Non solo inconvenienti agli umani), ad esempio, come si inviano i link per la reimpostazione della password ai dipendenti del call center che non hanno accesso all'e-mail? Come si verifica l'identità tramite callback o si imposta l'autenticazione multifactor senza token soft se non ci sono smartphone personali? Ma forniscono un vero valore di sicurezza.
Ecco perché vedrai questi requisiti come parte delle norme PCI-DSS e come parte degli accordi contrattuali.
Confrontate il callcenter con Starbucks su come devono gestire le carte di credito. La grande differenza è che Starbucks gestisce le carte di credito in un modo completamente diverso rispetto a un callcenter.
I barbieri di Starbucks non gestiscono i dati della tua carta di credito in alcun modo. Quello che succede è che inserisci la tua carta di credito in una macchina fornita dalla banca di Starbuck, il segnale viene inviato direttamente alla banca e ritorna dalla banca alla macchina. Starbucks non gestisce mai in alcun modo i dettagli della tua carta di credito.
Non sono a conoscenza di come l'app Starbucks gestisce le carte di credito, ma la spiegazione logica è che questi dettagli sono memorizzati localmente nel dispositivo o sui server Starbucks. In nessun caso il barista di Starbucks viene in contatto con le credenziali della carta di credito. E nemmeno il rappresentante del servizio clienti che si occupa del supporto del conto Starbucks. Al massimo, possono vedere le ultime 4 cifre della tua carta di credito, nessuna data di scadenza e nessun codice CVC.
gowenfawr ha sottolineato che a volte i camerieri sfiorano la tua carta di credito attraverso un dispositivo portatile. Si tratta ovviamente di una grave violazione delle regole di conformità PCI, ma questo non ha nulla a che fare con la conformità PCI e tutte con attività criminali regolari. In questo caso, tecnicamente parlando Starbucks è ancora conforme allo standard PCI poiché non è Starbucks a rubare le tue credenziali, ma i camerieri.
Inoltre, se vedi qualcuno scremare una carta di credito, segnalala immediatamente al gestore. Quasi ogni azienda si preoccupa abbastanza dei propri clienti che licenzieranno immediatamente l'autore del reato. E ovviamente contatta l'emittente della tua carta di credito e digli che credi che la tua carta sia stata compromessa. Revocheranno la vecchia carta e ne emetteranno una nuova.
Ciò che state ascoltando riguarda una politica di sicurezza dell'azienda o del call center come precauzione per prevenire la perdita dei dati del titolare della carta. Ho sentito parlare di altre società che fanno la stessa cosa su set di dati leggermente diversi. Ci sono molti arresti ogni anno di lavoratori dei call center che accettano carte di credito, quindi è probabile che si tratti semplicemente di un controllo di sicurezza per ridurre i rischi di sicurezza (i dispositivi wireless compromessi sono un altro problema che viene in mente).
Per quanto riguarda il commento del coffee shop. Probabilmente le persone nella caffetteria non hanno accesso a quasi tutte le carte di credito del database a cui si rivolgono i lavoratori dei call center cui ti riferisci.
Puoi scaricare gratuitamente lo standard PCI dal loro sito web.
Lo standard fa riferimento a una varietà di controlli, ma ci sono molti modi per implementare ciascuno di questi controlli. Il call center in questione potrebbe fare questo come parte della loro struttura di controllo PCI, ma sospetto che stiano semplicemente facendo questo per ridurre i rischi e la superficie di attacco in generale.