Centre d’appels et conformité PCI DSS

La conformité des centres d’appels à la norme PCI DSS

Derrière le sigle PCI DSS (pour Payment Card Industry Data Security Standard) se cache une norme extrêmement importante pour la sécurité des utilisateurs de cartes de paiement. Un nombre de croissant d’entreprises s’engagent sur la voie de la conformité avec cette norme, et il s’agit d’une tendance structurelle lourde, que doivent notamment prendre en compte les centres d’appels. D’ailleurs, pour des raisons que nous expliciterons par la suite, ces derniers ont d’autant plus intérêt à devenir rapidement « PCI DSS approved » qu’ils constituent une zone de vulnérabilité potentielle. Afin de rassurer leurs clients, et de conserver leur niveau d’efficacité tout en réduisant les risques de fraudes aux cartes de paiement, les centres d’appels se doivent de connaître tous les tenants et aboutissants de cette nouvelle norme.

Le centre de contact comme carrefour majeur des données personnelles

L’époque est à une prise de conscience collective de l’importance de la préservation des données personnelles, or les centres d’appels enregistrent quotidiennement des milliers de conversations sur des supports numériques, à des fins d’amélioration de la qualité du service fourni. Ces enregistrements contiennent souvent des informations privées (numéro de carte de crédit, ou identifiant et mot de passe, pour ne citer que quelques exemples), que la norme PCI DSS veut sécuriser davantage. Après tout, de nombreux centres connaissent des taux de turnover importants et/ou font appel à des télétravailleurs, qui peuvent avoir ou conserver un accès à des données sensibles dont ils ne devraient pas garder trace.

Utiliser les ressources en ligne et s’appuyer sur les fournisseurs spécialisés

Lorsqu’il est question de mise en conformité avec la norme PCI DSS, la première chose à faire consiste à se renseigner précisément sur son contenu, ce qui est plutôt facile, puisqu’il suffit de se rendre sur le site du PCI Security Standards Council. Ce dernier a d’ailleurs émis des recommandations spécifiques concernant les centres d’appels lorsqu’ils enregistrent un numéro de carte de crédit lors d’une conversation. En outre, ce même site liste des applications en conformité avec la norme PA-DSS, et il convient de s’assurer auprès de ses fournisseurs que leurs technologies font appel à ces systèmes approuvés – à l’instar des chiffrements forts des fichiers, ainsi que des codes CVV2, par exemple.

Veiller sur toutes les données personnelles, en tenant compte des locaux et du télétravail

La norme PCI DSS ne se cantonne cependant pas aux informations de paiement, mais elle englobe toutes les données dites « personnelles », telles que les numéros de sécurité sociale, de cartes d’identité / passeport / permis de conduire, les dates de naissance, ou bien sûr, les dossiers médicaux. En outre, elle implique de mieux séparer les agents ayant été autorisés à recueillir des données de paiement de leurs collègues ne disposant pas de cette accréditation, que ce soit au niveau visuel (en regardant un écran par-dessus une épaule) ou sonore (pour éviter que des conversations confidentielles de cet ordre ne soient entendues de tous). Enfin, les personnes qui travaillent depuis leur domicile doivent faire l’objet d’un renforcement des règles de sécurité, pouvant prendre la forme d’une analyse vocale, ou a minima d’une authentification à deux facteurs. La création d’un réseau spécifique pour les télétravailleurs d’un centre d’appel, distinct de celui du reste de l’entreprise au moyen d’un pare-feu, sécurise également mieux les données.

Share on
next post previous post