呼叫心作為企業(yè)提供服務(wù)與營銷的一個技術(shù)平臺,雖然在中國的發(fā)展僅十余年,但已逐步形成產(chǎn)業(yè)集聚的規(guī)模。在運(yùn)營前期,呼叫中心較多注重各類規(guī)范與標(biāo)準(zhǔn)是否達(dá)成,追求對客戶問題的解決;現(xiàn)階段,越來越多的呼叫中心在保證品質(zhì)及客戶滿意度上不斷下功夫,客戶滿意成為判斷呼叫中心是否“優(yōu)秀”和“專業(yè)”的主要依據(jù)。
20秒內(nèi)快速接起客戶來電、服務(wù)耐心語音優(yōu)美、一次性解決客戶問題等等這些都是影響客戶滿意的因素,但在信息泄露、信息安全危機(jī)漫天飛的今天,客戶更關(guān)心的是個人信息在我們的企業(yè)是否安全、是否受到足夠的保護(hù),而前期遭曝光的酒店客戶信息以及支付平臺信息泄露都引發(fā)了公眾對此類型服務(wù)提供者的信任危機(jī),所以信息安全以及風(fēng)險(xiǎn)控制成為呼叫中心成熟運(yùn)營的關(guān)鍵環(huán)節(jié)。
要對信息以及風(fēng)險(xiǎn)進(jìn)行管控,首先我們要了解呼叫中心在生產(chǎn)運(yùn)營中具體有哪些風(fēng)險(xiǎn)點(diǎn)。一般可分為五大類:信息科技風(fēng)險(xiǎn)、合規(guī)風(fēng)險(xiǎn)、操作風(fēng)險(xiǎn)、業(yè)務(wù)策略風(fēng)險(xiǎn)以及聲譽(yù)風(fēng)險(xiǎn),而與客戶個人信息有最直接關(guān)系的就是信息科技風(fēng)險(xiǎn)。
對于信息科技風(fēng)險(xiǎn)管控,首先我們需要對客戶數(shù)據(jù)安全進(jìn)行管理;同時也需要對客戶信息安全進(jìn)行管控,而客戶信息安全管控則需要從兩方面著手:客戶信息管理以及生產(chǎn)區(qū)域的客戶信息管理(如表1)。
(表1)
一、客戶數(shù)據(jù)安全管理
如要對客戶數(shù)據(jù)進(jìn)行管理,首先需將客戶數(shù)據(jù)進(jìn)行風(fēng)險(xiǎn)等級及人員訪問權(quán)限劃分。目前交通銀行信用卡涉及的客戶數(shù)據(jù)一般按照CIA標(biāo)準(zhǔn)進(jìn)行資產(chǎn)等級重要性劃分,即Confidentiality(保密性)、Integrity(完整性)和Availability(可用性),并按照客戶資產(chǎn)信息等級進(jìn)行1~5取值劃分,即5分為最高等級,1分為最低等級(如表2)。
(表2)
(一)客戶數(shù)據(jù)生命周期安全管理
對于安全等級在3以上的客戶數(shù)據(jù)在傳輸時及對第三方傳輸過程中必須進(jìn)行加密,密碼應(yīng)每次 隨機(jī)產(chǎn)生;各客戶數(shù)據(jù)使用應(yīng)根據(jù)實(shí)際情況確定保存期限,對于無用或者過期的賬戶信息與交易數(shù)據(jù)應(yīng)以粉碎或焚毀方式銷毀。
(二)客戶數(shù)據(jù)泄露事件管理
銀行各部門應(yīng)制定針對客戶數(shù)據(jù)安全事故處理的應(yīng)急預(yù)案,該預(yù)案可作為常規(guī)合規(guī)文化宣導(dǎo)的一部分,需做到全員警醒,特別是接收到來自大眾的反饋或投訴,一旦出現(xiàn)客戶數(shù)據(jù)遭到篡改、泄露和破壞時應(yīng)立即上報(bào)管理層,如出現(xiàn)較大層面危害客戶資金安全或影響銀行聲譽(yù),應(yīng)依法交由司法部門處理。
二、客戶信息安全管理
(一) 客戶信息管理
1.客戶信息提取、傳輸以及顯示
對于所有批量客戶信息的提取應(yīng)根據(jù)業(yè)務(wù)需要提取必要字段,且需列明提取原因,雙人交叉報(bào)部門高經(jīng)或者CEO審批后方可處理;傳輸過程中嚴(yán)禁使用私人渠道,需使用公司報(bào)備和管理的渠道進(jìn)行數(shù)據(jù)的來往,且針對涉及敏感數(shù)據(jù)需進(jìn)行加密處理,每次傳輸密碼需修改,定期對傳輸渠道進(jìn)行檢查和維護(hù);對于客戶信息的顯示須減少全量顯示,如證件號碼屏蔽部分位數(shù)、培訓(xùn)材料中對客戶信息進(jìn)行涂抹遮擋,如因業(yè)務(wù)需要必須全量顯示,則需根據(jù)客戶資產(chǎn)信息等級由相應(yīng)權(quán)限人員審批。
2.客戶信息的保存以及存放
對于客戶信息的保存應(yīng)區(qū)分是否保存在連接外網(wǎng)機(jī)具上或是銀行內(nèi)部網(wǎng)絡(luò)機(jī)具上。對于在銀行內(nèi)網(wǎng)機(jī)具上的客戶信息應(yīng)保存在指定機(jī)具上,建立專門的“客戶信息目錄”,并以文件名稱+負(fù)責(zé)人+使用有效期的文件名加密保存,定期清理,對過期但仍有保存必要的數(shù)據(jù)歸入歷史庫保存。而對于在外網(wǎng)機(jī)具上的客戶信息更應(yīng)保存在指定機(jī)具并提前由部門高經(jīng)或者CEO審批,同樣以文件名稱+負(fù)責(zé)人+使用有效期的文件名加密保存。
3.客戶信息的刪除
在使用有效期到期后必須當(dāng)日永久刪除,如有使用有效期需延期的情況,需報(bào)部門高經(jīng)或者CEO審批后方可延長有效期。
(二)生產(chǎn)區(qū)域的信息管理
生產(chǎn)區(qū)域的信息管理對象為一線的客服代表以及一線的管理人員,管控的項(xiàng)目相對較少,但內(nèi)容需更加詳細(xì)明確,且更應(yīng)注重執(zhí)行力度。生產(chǎn)區(qū)域的信息管理需將主要內(nèi)容放在移動設(shè)備、記錄本以及區(qū)域權(quán)限管理三方面即可。
1.人員安全管理
人員安全管理體現(xiàn)在避免因有意識或無意識中引發(fā)的信息安全危機(jī)。有意識方面體現(xiàn)于人員口口相傳、在企業(yè)外部談?wù)摽蛻粜畔⒒驑I(yè)務(wù)、惡意獲取或利用客戶信息等方面,這就需要將企業(yè)文化與合規(guī)文化在人員入職之初進(jìn)行反復(fù)強(qiáng)化記憶,并不定期通過面談輔導(dǎo)等方式對員工思想進(jìn)行校正,將信息安全作為常規(guī)工作持續(xù)開展。而在無意識方面,就在于人員的行為習(xí)慣中,如生產(chǎn)工區(qū)需劃分區(qū)域管理,每個區(qū)域需設(shè)置不同門禁權(quán)限,門禁權(quán)限需常閉,非本區(qū)域人員不得隨意進(jìn)入等行為習(xí)慣養(yǎng)成。
2.移動介質(zhì)管理
移動設(shè)備需明確規(guī)定不得帶入生產(chǎn)區(qū)域,且在每日上班前放入生產(chǎn)區(qū)域之外部門統(tǒng)一指定位置;記錄本需使用部門統(tǒng)一分發(fā)、帶頁碼封裝固定的紙質(zhì)本,且要實(shí)名制一人一本,生產(chǎn)過程中所需記錄的信息統(tǒng)一記錄在部門分發(fā)的記錄本上,下班后由直屬管理員統(tǒng)一上收并入箱保管,每日上班前再由直屬主管統(tǒng)一分發(fā),記錄本無法使用后需交由部門統(tǒng)一銷毀和更換;工區(qū)USB等外接端口需形成自查機(jī)制,并由系統(tǒng)部門定期抽檢通報(bào),確保無其他傳輸端口或介質(zhì)傳輸信息的可能。