要對信息以及風險進行管控,首先我們要了解
呼叫中心在生產運營中具體有哪些風險點。一般可分為五大類:信息科技風險、合規風險、操作風險、業務策略風險以及聲譽風險,而與客戶個人信息有最直接關系的就是信息科技風險。
20秒內快速接起客戶來電、服務耐心語音優美、一次性解決客戶問題等等這些都是影響客戶滿意的因素,但在信息泄露、信息安全危機漫天飛的今天,客戶更關心的是個人信息在我們的企業是否安全、是否受到足夠的保護,而前期遭曝光的酒店客戶信息以及支付平臺信息泄露都引發了公眾對此類型服務提供者的信任危機,所以信息安全以及風險控制成為呼叫中心成熟運營的關鍵環節。
呼叫中心作為企業提供服務與營銷的一個技術平臺,雖然在中國的發展僅十余年,但已逐步形成產業集聚的規模。在運營前期,呼叫中心較多注重各類規范與標準是否達成,追求對客戶問題的解決;現階段,越來越多的呼叫中心在保證品質及客戶滿意度上不斷下功夫,客戶滿意成為判斷呼叫中心是否優秀和專業的主要依據。對于信息科技風險管控,首先我們需要對客戶數據安全進行管理;同時也需要對客戶信息安全進行管控,而客戶信息安全管控則需要從兩方面著手:客戶信息管理以及生產區域的客戶信息管理(如表1)。
二、客戶信息安全管理
(一)生產區域的信息管理
生產區域的信息管理對象為一線的客服代表以及一線的管理人員,管控的項目相對較少,但內容需更加詳細明確,且更應注重執行力度。生產區域的信息管理需將主要內容放在移動設備、記錄本以及區域權限管理三方面即可。
1.人員安全管理
人員安全管理體現在避免因有意識或無意識中引發的信息安全危機。有意識方面體現于人員口口相傳、在企業外部談論客戶信息或業務、惡意獲取或利用客戶信息等方面,這就需要將企業文化與合規文化在人員入職之初進行反復強化記憶,并不定期通過面談輔導等方式對員工思想進行校正,將信息安全作為常規工作持續開展。而在無意識方面,就在于人員的行為習慣中,如生產工區需劃分區域管理,每個區域需設置不同門禁權限,門禁權限需常閉,非本區域人員不得隨意進入等行為習慣養成。
2.移動介質管理
移動設備需明確規定不得帶入生產區域,且在每日上班前放入生產區域之外部門統一指定位置;記錄本需使用部門統一分發、帶頁碼封裝固定的紙質本,且要實名制一人一本,生產過程中所需記錄的信息統一記錄在部門分發的記錄本上,下班后由直屬管理員統一上收并入箱保管,每日上班前再由直屬主管統一分發,記錄本無法使用后需交由部門統一銷毀和更換;工區USB等外接端口需形成自查機制,并由系統部門定期抽檢通報,確保無其他傳輸端口或介質傳輸信息的可能。
(二) 客戶信息管理
1.客戶信息提取、傳輸以及顯示
對于所有批量客戶信息的提取應根據業務需要提取必要字段,且需列明提取原因,雙人交叉報部門高經或者CEO審批后方可處理;傳輸過程中嚴禁使用私人渠道,需使用公司報備和管理的渠道進行數據的來往,且針對涉及敏感數據需進行加密處理,每次傳輸密碼需修改,定期對傳輸渠道進行檢查和維護;對于客戶信息的顯示須減少全量顯示,如證件號碼屏蔽部分位數、培訓材料中對客戶信息進行涂抹遮擋,如因業務需要必須全量顯示,則需根據客戶資產信息等級由相應權限人員審批。
2.客戶信息的保存以及存放
對于客戶信息的保存應區分是否保存在連接外網機具上或是銀行內部網絡機具上。對于在銀行內網機具上的客戶信息應保存在指定機具上,建立專門的客戶信息目錄,并以文件名稱+負責人+使用有效期的文件名加密保存,定期清理,對過期但仍有保存必要的數據歸入歷史庫保存。而對于在外網機具上的客戶信息更應保存在指定機具并提前由部門高經或者CEO審批,同樣以文件名稱+負責人+使用有效期的文件名加密保存。
3.客戶信息的刪除
在使用有效期到期后必須當日永久刪除,如有使用有效期需延期的情況,需報部門高經或者CEO審批后方可延長有效期。
二、客戶數據安全管理
如要對客戶數據進行管理,首先需將客戶數據進行風險等級及人員訪問權限劃分。目前交通銀行信用卡涉及的客戶數據一般按照CIA標準進行資產等級重要性劃分,即Confidentiality(保密性)、Integrity(完整性)和Availability(可用性),并按照客戶資產信息等級進行1~5取值劃分,即5分為最高等級,1分為最低等級(如表2)。
(一)客戶數據泄露事件管理
銀行各部門應制定針對客戶數據安全事故處理的應急預案,該預案可作為常規合規文化宣導的一部分,需做到全員警醒,特別是接收到來自大眾的反饋或投訴,一旦出現客戶數據遭到篡改、泄露和破壞時應立即上報管理層,如出現較大層面危害客戶資金安全或影響銀行聲譽,應依法交由司法部門處理。
(二)客戶數據生命周期安全管理
對于安全等級在3以上的客戶數據在傳輸時及對第三方傳輸過程中必須進行加密,密碼應每次 隨機產生;各客戶數據使用應根據實際情況確定保存期限,對于無用或者過期的賬戶信息與交易數據應以粉碎或焚毀方式銷毀。 以上信息安全管理措施方法形成制度,并進行常規例行檢查以確保執行落地,客戶信息安全問題就一定能在可控范圍內。
