要对信息以及风险进行管控,首先我们要了解呼叫中心在生产运营中具体有哪些风险点。一般可分为五大类:信息科技风险、合规风险、操作风险、业务策略风险以及声誉风险,而与客户个人信息有最直接关系的就是信息科技风险。
20秒内快速接起客户来电、服务耐心语音优美、一次性解决客户问题等等这些都是影响客户满意的因素,但在信息泄露、信息安全危机漫天飞的今天,客户更关心的是个人信息在我们的企业是否安全、是否受到足够的保护,而前期遭曝光的酒店客户信息以及支付平台信息泄露都引发了公众对此类型服务提供者的信任危机,所以信息安全以及风险控制成为呼叫中心成熟运营的关键环节。
呼叫中心作为企业提供服务与营销的一个技术平台,虽然在中国的发展仅十余年,但已逐步形成产业集聚的规模。在运营前期,呼叫中心较多注重各类规范与标准是否达成,追求对客户问题的解决;现阶段,越来越多的呼叫中心在保证品质及客户满意度上不断下功夫,客户满意成为判断呼叫中心是否“优秀”和“专业”的主要依据。对于信息科技风险管控,首先我们需要对客户数据安全进行管理;同时也需要对客户信息安全进行管控,而客户信息安全管控则需要从两方面着手:客户信息管理以及生产区域的客户信息管理(如表1)。
二、客户信息安全管理(一)生产区域的信息管理
生产区域的信息管理对象为一线的客服代表以及一线的管理人员,管控的项目相对较少,但内容需更加详细明确,且更应注重执行力度。生产区域的信息管理需将主要内容放在移动设备、记录本以及区域权限管理三方面即可。
1.人员安全管理
人员安全管理体现在避免因有意识或无意识中引发的信息安全危机。有意识方面体现于人员口口相传、在企业外部谈论客户信息或业务、恶意获取或利用客户信息等方面,这就需要将企业文化与合规文化在人员入职之初进行反复强化记忆,并不定期通过面谈辅导等方式对员工思想进行校正,将信息安全作为常规工作持续开展。而在无意识方面,就在于人员的行为习惯中,如生产工区需划分区域管理,每个区域需设置不同门禁权限,门禁权限需常闭,非本区域人员不得随意进入等行为习惯养成。
2.移动介质管理
移动设备需明确规定不得带入生产区域,且在每日上班前放入生产区域之外部门统一指定位置;记录本需使用部门统一分发、带页码封装固定的纸质本,且要实名制一人一本,生产过程中所需记录的信息统一记录在部门分发的记录本上,下班后由直属管理员统一上收并入箱保管,每日上班前再由直属主管统一分发,记录本无法使用后需交由部门统一销毁和更换;工区USB等外接端口需形成自查机制,并由系统部门定期抽检通报,确保无其他传输端口或介质传输信息的可能。
(二)客户信息管理
1.客户信息提取、传输以及显示
对于所有批量客户信息的提取应根据业务需要提取必要字段,且需列明提取原因,双人交叉报部门高经或者CEO审批后方可处理;传输过程中严禁使用私人渠道,需使用公司报备和管理的渠道进行数据的来往,且针对涉及敏感数据需进行加密处理,每次传输密码需修改,定期对传输渠道进行检查和维护;对于客户信息的显示须减少全量显示,如证件号码屏蔽部分位数、培训材料中对客户信息进行涂抹遮挡,如因业务需要必须全量显示,则需根据客户资产信息等级由相应权限人员审批。
2.客户信息的保存以及存放
对于客户信息的保存应区分是否保存在连接外网机具上或是银行内部网络机具上。对于在银行内网机具上的客户信息应保存在指定机具上,建立专门的“客户信息目录”,并以文件名称+负责人+使用有效期的文件名加密保存,定期清理,对过期但仍有保存必要的数据归入历史库保存。而对于在外网机具上的客户信息更应保存在指定机具并提前由部门高经或者CEO审批,同样以文件名称+负责人+使用有效期的文件名加密保存。
3.客户信息的删除
在使用有效期到期后必须当日永久删除,如有使用有效期需延期的情况,需报部门高经或者CEO审批后方可延长有效期。
二、客户数据安全管理如要对客户数据进行管理,首先需将客户数据进行风险等级及人员访问权限划分。目前交通银行信用卡涉及的客户数据一般按照CIA标准进行资产等级重要性划分,即Confidentiality(保密性)、Integrity(完整性)和Availability(可用性),并按照客户资产信息等级进行1~5取值划分,即5分为最高等级,1分为最低等级(如表2)。
(一)客户数据泄露事件管理
银行各部门应制定针对客户数据安全事故处理的应急预案,该预案可作为常规合规文化宣导的一部分,需做到全员警醒,特别是接收到来自大众的反馈或投诉,一旦出现客户数据遭到篡改、泄露和破坏时应立即上报管理层,如出现较大层面危害客户资金安全或影响银行声誉,应依法交由司法部门处理。
(二)客户数据生命周期安全管理
对于安全等级在3以上的客户数据在传输时及对第三方传输过程中必须进行加密,密码应每次随机产生;各客户数据使用应根据实际情况确定保存期限,对于无用或者过期的账户信息与交易数据应以粉碎或焚毁方式销毁。以上信息安全管理措施方法形成制度,并进行常规例行检查以确保执行落地,客户信息安全问题就一定能在可控范围内。
