Hoy escuché acerca de un centro de llamadas al que no se le permite traer teléfonos celulares o sacar papel. Esto es supuestamente para ser una queja de PCI. ¿Es esto cierto? ¿Cuál es el razonamiento? Esto parece una exageración. Dijeron que es para proteger la información de la tarjeta de crédito, pero generalmente los representantes de servicio al cliente (por ejemplo, los de Starbucks) no tienen que hacer esto.
Versión corta:
El PCI-DSS no llama explícitamente los pasos que describe. Sin embargo, esos son pasos de sentido común que están razonablemente abarcados por varios requisitos de PCI-DSS. No son nada infrecuentes y los he visto como requisitos para acuerdos contractuales que no son PCI-DSS por parte de terceros en un entorno de procesamiento de tarjetas.
Versión larga:
Técnicamente , PCI-DSS solo prescribe seguridad para el "sistema componentes, "no personas:
Los requisitos de seguridad de las PCI DSS se aplican a todos los componentes del sistema incluido o conectado al entorno de datos del titular de la tarjeta.
Dicho esto, una gran cantidad de DSS toca políticas que afectan a otras cosas además de los componentes del sistema. Los siguientes requisitos podrían interpretarse razonablemente como que se abordan en las dos medidas (prohibición de datos / dispositivos de cámara no controlados en el CDE, control sobre el uso del papel en el CDE) que usted describe:
7.3 Asegúrese de que las políticas de seguridad y los procedimientos operativos para restringir el acceso a los datos del titular de la tarjeta estén documentados, en uso y conocido por todas las partes afectadas.
Si bien 7.3 no dice cómo deberían implementarse las restricciones de , dice que debe tener restricciones en cuanto al acceso como parte de su política. El control del teléfono / cámara y el papel en el CDE es una restricción razonable.
9.5 Proteja físicamente todos los medios: verifique que los procedimientos para proteger los datos del titular de la tarjeta incluyen controles para asegurar físicamente todos los medios (incluyendo pero no limitado a computadoras, medios electrónicos extraíbles, recibos en papel, informes en papel y faxes).
Evitar que el papel salga del CDE es una forma de asegurar los medios de papel, y evitar que los teléfonos celulares / cámaras ingresen es el control de los "medios electrónicos extraíbles".
12.3 Desarrolle políticas de uso para tecnologías críticas y defina el uso adecuado de estas tecnologías. (... tabletas, extraíbles electrónicas medios de comunicación, uso del correo electrónico y uso de Internet.)
También notará que los centros de llamadas a menudo no permiten el acceso a Internet y al correo electrónico, por la misma razón: son métodos que los empleados podrían usar para obtener números de tarjetas del medio ambiente.
Estos requisitos no son 'excesivos', son bastante estándar. Pueden causar problemas "reales" (por ejemplo, no solo molestar a los seres humanos); por ejemplo, ¿cómo envía por correo electrónico los vínculos de restablecimiento de contraseña a los empleados del centro de llamadas que no tienen acceso al correo electrónico? ¿Cómo verifica la identidad por devolución de llamada o configura la autenticación multifactor sin tokens si no hay teléfonos inteligentes personales? Pero sí proporcionan un valor de seguridad real.
Es por eso que verá estos requisitos como parte de la política impulsada por PCI-DSS y como parte de los acuerdos contractuales.
Compara el centro de llamadas con Starbucks en la forma en que deben manejar las tarjetas de crédito. La gran diferencia es que Starbucks maneja las tarjetas de crédito de una manera completamente diferente en comparación con un callcenter.
Los barristas de Starbucks no manejan los datos de su tarjeta de crédito de ninguna manera. Lo que sucede es que inserta su tarjeta de crédito en una máquina provista por el banco de Starbuck, la señal se envía directamente al banco y regresa del banco a la máquina. De ninguna manera Starbucks maneja los datos de su tarjeta de crédito por sí mismos.
No tengo conocimiento de cómo la aplicación Starbucks maneja las tarjetas de crédito, pero la explicación lógica es que estos detalles se almacenan localmente en su dispositivo o en los servidores de Starbucks. En ninguno de los dos casos, el barrista de Starbucks entra en contacto con sus credenciales de tarjeta de crédito. Y tampoco lo hace el representante de servicio al cliente que se ocupa del soporte de cuentas de Starbucks. A lo sumo, pueden ver los últimos 4 dígitos de su tarjeta de crédito, sin fecha de vencimiento y sin código CVC.
gowenfawr señaló que, a veces, los empleados de servicio pasan por su tarjeta de crédito a través de un dispositivo portátil. Esto es obviamente una violación masiva de las reglas de cumplimiento de PCI, pero esto no tiene nada que ver con el cumplimiento de PCI y todo con actividades delictivas normales. En este caso, técnicamente hablando, Starbucks sigue siendo compatible con PCI ya que no es Starbucks lo que le roba sus credenciales, sino el personal de servicio.
Además, si alguna vez ve a alguien hojear una tarjeta de crédito, infórmeselo al gerente de inmediato. Casi todas las compañías se preocupan lo suficiente por sus clientes como para despedir al infractor de inmediato. Y, obviamente, póngase en contacto con el emisor de su tarjeta de crédito y dígales que cree que su tarjeta se ha comprometido. Revocarán la tarjeta antigua y emitirán una nueva.
Lo que está escuchando es sobre una política de seguridad de la empresa o centro de llamadas como precaución para evitar la pérdida de datos del titular de la tarjeta. He oído hablar de otras compañías que hacen lo mismo con conjuntos de datos ligeramente diferentes. Cada año hay muchos arrestos de trabajadores del centro de llamadas que aceptan tarjetas de crédito, por lo que es probable que sea simplemente un control de seguridad para ayudar a reducir varios riesgos de seguridad (los dispositivos inalámbricos comprometidos son otro problema que se nos ocurre)
Sobre el comentario de la cafetería. Las personas en la cafetería probablemente no tengan acceso a tantas tarjetas de crédito como a la base de datos a la que acceden los trabajadores del centro de llamadas al que se refiere también.
Puede descargar el estándar PCI real de su sitio web de forma gratuita.
El estándar hace referencias a una variedad de controles, pero hay muchas maneras de implementar cada uno de estos controles. El centro de llamadas en cuestión puede estar haciendo esto como parte de su estructura de control de PCI, pero sospecho que simplemente están haciendo esto para reducir los riesgos y la superficie de ataque en general.