CTI论坛(ctiforum.com)(编译/老秦):如果你的呼叫中心是通过电话获取客户的支付卡信息的,那么你很可能会依赖于不充分和过时的做法:停止/启动。
也被称为“暂停和恢复”,Stop/Start指的是呼叫中心阻止支付信息(和其他敏感数据)被呼叫记录的方法。它确切地涉及到它的名字的含义。当客户大声读出他们的支付卡细节时,呼叫记录被停止、暂停或沉默,或者由座席手动或自动地使用计算机电话集成(CTI)。一旦敏感的信息捕捉完成,该记录将重新启动、恢复或取消。在表面上,停止/开始似乎是保护敏感数据的逻辑策略,但实际上,它会带来附加的安全性和遵从性风险,从而危害客户的数据和业务的声誉。
也被称为“暂停和恢复”,Stop/Start指的是呼叫中心阻止支付信息(和其他敏感数据)被呼叫记录的方法。它确切地涉及到它的名字的含义。当客户大声读出他们的支付卡细节时,呼叫记录被停止、暂停或沉默,或者由座席手动或自动地使用计算机电话集成(CTI)。一旦敏感的信息捕捉完成,该记录将重新启动、恢复或取消。在表面上,停止/开始似乎是保护敏感数据的逻辑策略,但实际上,它会带来附加的安全性和遵从性风险,从而危害客户的数据和业务的声誉。
下面是企业应该放弃停止/开始功能的5个理由:
1、只有电话录音了…有时
根据规定,企业不应记录顾客敏感的身份验证数据(SAD),例如三位安全码(CID、CVC2 CVV2,等等)。尽管停止/开始功能打算防止记录这些信息,但是只有呼叫记录本身被从PCI DSS的范围中去掉。如果有任何“不小心”包含了数据的录音,那么呼叫记录系统,以及呼叫中心硬件和软件,都被视为违规。此外,支付数据还会被保存,并存储在各种呼叫中心基础设施和应用程序中--如果出现漏洞,就会导致许多薄弱的链接,导致数据的泄漏。
甚至是自动的停止/开始解决方案也会存在问题。虽然当座席操作支付屏幕或工作流时一些记录会自动停止,但座席仍然能够看到和听到信息并将其输入到屏幕中。虽然卡号码和安全码并没有被记录在案,但该座席可能会因为潜在的诈骗行为而将其写下来。或者,一个折衷的机器可能会有一个键盘记录器在监视和整理信息。此外,附近的窃听者可能会记录或记下客户所不知道的数字,这些人可能会在公共场所大声朗读信息,比如杂货店或拥挤的机场。
2、它为座席提供了滥用的机会
PCI DSS禁止员工在删除记录的卡片数据时进行人工干预。卡片数据必须被自动删除,所以手动停止/启动功能是不兼容的。然而,呼叫中心继续给予座席停止和开始呼叫的自由,这为在通话记录暂停时发生的非法行为创造了机会。这可能包括复制信息或其他非法的尝试。座席还可以提供不道德的建议,或者采取高压销售策略来达到个人或团体的目标。事实上,研究表明,公司内部人员约占安全事件的50%,使得座席诈骗成为真正的威胁。
为了阻止诈骗行为,许多呼叫中心实行“干净房间”的策略,员工被严格监控,不允许使用手机、互联网或电子邮件,不允许书写材料、纸张甚至是包带入。毫无疑问,这些苛刻的做法会导致员工士气低落,员工流失率高。
当然,并不是所有的停止/启动功能都是故意的。即使一个看似简单的错误也能使信息处于危险之中。例如,座席可能无意中忘记停止记录,意外地记录了敏感的客户数据。这违反了遵从法规,包括PCIDSS,如果安全代码被记录,它会使支付数据容易被破坏。只需要一个座席忘记对敏感信息进行“停止”就足以造成重大损失。
3、不完整的录音会影响质量控制工作
就像座席可能忘记暂停一样,他们也可能忘记重启。目前还没有任何交易发生的证据,但这段录音可能会遗漏一些至关重要的信息,这些信息可能被要求处理交易纠纷,或证明质量保证和遵守监管程序。如果没有完整的录音,可能会让企业容易受到诉讼,或者声称在录音被停止时,座席行为不当。没有完整的录音,企业没有证据表明在录音暂停的那段时间,座席和打电话者之间发生了什么。有了完整的记录,所有各方都确信一个完整的记录存在并解决冲突将会更快更容易。而且,有一个完整的通话记录可以成为员工培训的宝贵工具。最后,完整的通话记录保护座席免遭不诚实的指控,保护企业免遭不诚实座席的破坏!
4、客户的旅程和体验受到负面影响
在手动停止/启动功能中,座席必须在过程中采取额外的步骤,这增加了平均处理时间(AHT)。读取多个卡号,错误按键/重复按键数字和失败的付款可能导致许多启动和停止记录的实例,从而延长呼叫和抬高成本。
是的,像交互式语音应答(IVR)系统这样的技术消除了停止/开始并将座席排除在外,但是它们也会导致更多的沮丧和导致糟糕的客户旅行。这对客户满意度、解决率指标,甚至你的底线都有负面的影响。通常情况下,客户不知道如何使用IVR系统来纠正错误的信息,所以他们会挂断电话。同样,使用IVR对于债务催缴团队来说也是无效的。
5、公司被审计到一个破碎的过程
最让人吃惊的一个方面是,受监管行业的企业必须有100%的电话记录,以证明合规性。因此,许多人被审计到一个破碎的过程。对于保险行业的企业来说尤其如此,在那里,电话录音常常被要求遵守越来越多的法规,甚至是地方或州的法律。其中一个例子是在英国,金融行为监管局(FCA)坚持认为,包括保险经纪人在内的金融公司必须记录完整的对话。该组织主张,在所有需要支付的部门中,完整的录音都是有用的,以确保交易没有争议。
有了这些缺点,很容易确认停止/开始并不仅仅是一个危险的实践,它也是在呼叫中心环境中PCI DSS遵从性的一个部分。
解决方案:去范围你的呼叫中心
不是与破碎的过程作斗争,强迫座席采取极端的安全措施,并引入各种新的复杂的技术,更简单的方法是:清理你的呼叫中心。
清除或显着减少适用的PCI DSS控制的数量,是一种更节省时间和成本效益的解决方案--以及更健壮、更全面的策略,以防止诈骗和数据泄露的威胁。清除呼叫中心的最有效的方法是将信用卡信息和其他PII从业务基础设施中删除。通过这一解决方案,客户可以安全地在他们的电话键盘上安全地输入付款卡信息。这些数字与使用DTMF屏蔽的座席(和记录)隔离,并直接发送到支付处理器--从未涉及呼叫中心的系统。与此同时,不需要停止录音,座席可以继续留在线上,与客户进行充分的对话,以确保客户的顺利进行。
采用策略方法来实现DSS的执行,可以让你像往常一样专注于业务,以及保持竞争优势所需的其他IT创新和开发。此外,还可以避免重大的基础设施成本(如干净的房间)和保留被高度激励的员工。通过这种方式,甚至可以减少网络保险和公共责任保险。最重要的是,你会把与声誉受损相关的风险降到最低,并保护你的客户免受昂贵的、引人注目的数据破坏。为什么等待?是时候停止你的呼叫中心“停止/开始”功能并清理它了。你的业务和你的客户都依赖于它。
声明:版权所有 非合作媒体谢绝转载
