Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Verint : cinq conseils pour atteindre la conformité PCI dans les centres d’appels

mai 2012 par Verint

La norme PCI DSS (Payment Card Industry Data Security Standard), qui vise à protéger les informations sur les cartes de paiement, quel que soit leur format, est bien connue du marché. Tandis que des entreprises mondiales de toutes tailles ont déjà pris le chemin de la conformité PCI, d’autres s’y engagent et cherchent à en savoir plus sur les exigences de la norme et la façon de s’y conformer.

Le centre de contact est une zone de vulnérabilité particulière du point de vue de la sécurité des données. Ces environnements ont tendance à traiter d’énormes volumes de données avec du personnel dont le taux de roulement est relativement élevé. Force est de constater également une prise de conscience croissante parmi les entreprises qui emploient et gèrent des télétravailleurs. Ces employés, comme leurs homologues qui sont sur place, ont accès à de nombreuses informations privées sur les consommateurs, telles que des numéros de carte de crédit, des identifiants personnels et d’autres données sensibles.

Les conseils suivants couvrent les aspects que les centres de contact doivent prendre en compte lorsqu’ils s’engagent sur le chemin de la conformité PCI DSS.

1. Tirer parti des outils et ressources disponibles sur le site Web des normes PCI

La norme elle-même, accompagnée d’une multitude de conseils sous la forme de FAQ et de guides supplémentaires, est disponible sur le site du PCI SSC (PCI Security Standards Council). Un nouveau sujet de préoccupation a surgi récemment autour de la position du SSC, selon laquelle les enregistrements numériques des appels qui contiennent des informations de carte de paiement sont dans le champ de la norme PCI DSS. La plupart des centres de contact enregistrent les appels et les passent en revue dans le cadre de la gestion de la qualité, ce qui est un excellent moyen de repérer les comportements frauduleux et de vérifier le respect de diverses réglementations. Toutefois, les appels enregistrés qui contiennent des informations de carte de paiement spécifiques peuvent aussi être utilisés pour commettre une fraude. En mars 2011, le PCI SSC a publié un guide supplémentaire contenant des recommandations particulières pour la protection des données de carte de paiement stockées via les enregistrements téléphoniques. Ce guide contient un processus décisionnel pour la protection des enregistrements vocaux conformément à la norme PCI DSS 2.0.

2. Communiquer avec les fournisseurs de technologies destinées aux centres de contact

Il est important de prendre contact avec les fournisseurs et de leur demander conseil. Ils peuvent expliquer comment leurs solutions aident à respecter la norme PCI. Le PCI SSC soutient pleinement l’utilisation des technologies de traitement des transactions par carte de crédit. Son objectif est de garantir la conformité de la gestion des informations des systèmes de paiement. Le site du PCI SSC contient une liste d’applications de paiement conformes à la norme PA-DSS (Payment Application Data Security Standard), ce qui signifie qu’elles ont été testées et approuvées en tant que technologies de paiement conformes aux directives de traitement des paiements de la norme PCI DSS. Pour les technologies qui sont dans le champ d’application de la norme PCI DSS, mais qui ne participent pas au traitement des paiements et sont donc exclues de la norme PA-DSS (par exemple, les solutions d’enregistrement des appels), ces fournisseurs devraient néanmoins disposer des ressources nécessaires pour aider à se mettre en conformité avec la norme PCI à l’aide de leur technologie. Les éléments qui doivent être recherchés dans une solution d’enregistrement sont les suivants : chiffrement fort au niveau des fichiers, possibilité de déclencher automatiquement l’arrêt et la reprise de l’enregistrement en fonction de l’activité du poste de travail pour éviter la saisie de données d’authentification sensibles, tels que les codes CVV2 (Card Verification Value).

3. Préserver la confidentialité des données personnelles

Il ne faut pas se limiter à la protection des informations relatives aux cartes de paiement lors du renforcement de la sécurité des données. Il est important de prendre en compte que les éléments de données confidentiels sont identifiés dans diverses lois, et que les données concernant les cartes de crédit ne constituent qu’un élément de cette liste. Lors de l’examen des mécanismes justifiant les coûts et ce qui doit être protégé, il est nécessaire de penser aux autres types de données personnelles : numéros de sécurité sociale, permis de conduire, dates de naissance, noms de jeune fille, dossiers médicaux, etc.

4. Ne pas négliger les questions liées à la configuration physique des locaux

La configuration traditionnelle du centre de contact, qui vise à faciliter la surveillance et l’accès des superviseurs à l’information, pose parfois des problèmes particuliers. Dans le cas d’un travail dans un vaste espace sans cloison, il faut envisager la création d’une « zone étanche » pour les agents du centre de contact autorisés à prendre les numéros de carte de crédit. Le fait que d’autres agents entendent leurs conversations ou voient des informations sensibles à leur écran en regardant par-dessus leur épaule sera ainsi évité.

5. Prendre en compte les agents qui travaillent à domicile

Les télétravailleurs, y compris les agents des centres de contact, peuvent nécessiter des dispositions particulières en vertu de la norme PCI DSS. Si des employés travaillent chez eux et ont accès à des informations relatives aux cartes de paiement, des contrôles et processus de sécurité rigoureux sont indispensables. L’authentification à deux facteurs (avec, par exemple, des « jetons » physiques) est nécessaire pour s’assurer que l’employé autorisé est la personne qui se connecte et accède à des informations sécurisées. Certaines entreprises ont même mis en place une technologie d’analyse vocale pour garantir que la personne au téléphone est l’employé autorisé. Quoiqu’il en soit, des règles de sécurité strictes, un programme de formation et des audits fréquents sont indispensables. L’isolement des agents distants sur un segment distinct du réseau de l’entreprise par un pare-feu permet également de limiter les problèmes de sécurité et de violation de données. Par ailleurs, il ne
faut pas omettre que la surveillance de la qualité est un moyen efficace de garantir l’application par le personnel des processus de conformité PCI.

La norme PCI DSS peut représenter un défi pour les entreprises qui doivent la respecter. Cependant, la plupart des experts en matière de sécurité des données considèrent ces mesures comme le minimum que toute entreprise doit envisager et/ou intégrer dans ses opérations dès lors qu’elle traite des informations personnelles. Les clients en seront reconnaissants et la réputation de l’entreprise peut en dépendre, que la conformité PCI soit ou non une obligation.


Voir les articles précédents

    

Voir les articles suivants