21/10/2011

PCI et enregistrements téléphoniques (call centers)

Les Call-Centers (centres d'appel, services clients) qui acceptent des paiements CB par téléphone sont soumis au standard PCI DSS en tant que Service Provider.

En dehors des aspects humains (turnover, sécurité physique des plateaux téléphoniques), l'enjeu de ce type de certification est la gestion des enregistrements téléphoniques vocaux. En effet, le porteur (le client) indique son numéro de carte (PAN) et son cryptogramme visuel (CVV2). 


Or, si la conversation est enregistrée pour des raisons de qualité, les CVV2 seront stockés ; et c'est une violation du standard PCI DSS.



Pour répondre à ce problème de fond pour les call-centers, le PCI DSS admet que les CVV2 peuvent être stockés sur les enregistrements à condition que ces enregistrements ne puissent pas être analysés par un logiciel afin d'en extraire les numéros sous forme scripturale (le wording exact étant "if that data can be queried").

En d'autres termes :

  • Si les enregistrements sont en MP3/WAV...  : les enregistrements doivent être détruits immédiatement ou être désactivés.
  • Si les enregistrements sont sur des bandes classiques : les enregistrements peuvent être conservés dans un coffre.


La mise en conformité des centres d'appel et des call-centers est un enjeu pour les années avenir, car ces derniers cumulent plusieurs facteurs de risques de fraudes :
  1. Un fort turnover
  2. Offshoring
  3. Enregistrements et écoutes à distance
  4. Vieilles technologies CTI souvent très vulnérables



Aucun commentaire:

Enregistrer un commentaire