随着呼叫中心的迅速普及,呼叫中心在企业发展中扮演的角色越来越重要,呼叫中心是基于数据库的电话呼入和呼出系统,信息安全对于呼叫中心尤其呼叫中心外包的业务发包方而言非常重要,从各行业BPO来看客户数据丢失甚至造成客户财产和生命损失的案例存在不少。
因此外包数据的安全保障,既是业务合作前提也是运营环节必须要保障的核心技术问题。
结合笔者多年外包运营经验,总结以下安全保障机制,多角度确保发包方信息安全。
1.呼叫中心数据安全方案
呼叫中心外包平台的数据传输保障措施包括:
应用安全性:合理设计数据访问等核心部件,如身份认证、防抵赖、数据完整性、数据加密等,防止数据不一致实时监测应用内部运行状况,自动报警 。
传输安全性:实现外部系统与内部系统之间的逻辑隔离,保证内部系统的独立和安全,系统间的数据交换和传输采用标准协议并进行加密和日志处理。
信息安全性:采用双机热备、RAID磁盘阵列等方式,在系统上实现数据库的自动动态备份。同时在应用上实现数据定时(如每小时/天/周)的数据同步、更新、汇总、统计和比对工作。
网络安全性:在路由器中对远端的IP地址进行过滤,使非注册的远端系统不能建立TCP连接。同时设立双防火墙,对来访的远端进行进一步的权限控制和访问控制。
物理安全性:系统各种设备所在环境应满足国家关于计算机场地站的安全要求,如对重要信息存储、收发部门进行屏蔽处理,以防止电磁干扰等。
机房管理制度:建立良好的安全意识和健全的管理制度,同时系统记录安观管理日志和自动预警。若接入INTERNET,还靠考虑病毒防御、木马防御和外部攻击等工作。
2.应用软件安全保障
通过制定相应管理措施来保证呼叫中心的信息安全。针对人员的信息安全管理,主要是要针对人员角色制定信息安全责任矩阵和信息安全管理制度来保证信息安全。
呼叫中心外包安全管理制度,从规范和监控两个角度,对涉及到数据环节的所有人员和流程进行约束和监督,专人专岗责任制,确保杜绝数据安全的人为隐患。以下以TSR座席岗位为例,在营销和服务全过程中,除性别和姓氏之外,所有客户数据均以屏蔽:
3.网络传输安全体系
随着信息化技术的发展,网络攻击技术发生了巨大的变化,早期黑客主要是通过暴力攻击获取服务器权限来证明自我价值,而现在已经逐渐演变为利用各种渗透手段,将目标网络内的服务器和终端变成发展僵尸网络,最终形成以窃取隐私、贩卖数据、拒绝服务等体系化的黑色产业链。
根据呼叫中心的具体情况,分别对内部服务器和内网客户端设置相应的安全策略,主要涉及IPS漏洞防御,AV防病毒,恶意URL过滤和网络应用安全一体化关联分析等安全策略。从而实现对内部服务器的安全加固,对内部员工上网的保护。
通过防火墙的主动威胁防御体系提供基于行为分析、多种类型日志的智能关联和威胁分析可视化的防护手段,帮助用户有效发现网络中存在的未知威胁并加以控制、及时调整安全策略增强安全防御。随时监控和定位网络中的僵尸主机,保护企业网络安全高效的运行。
4.数据存储安全体系
呼叫中心结合CRM软件,根据发包方安全要求和业务特点,可提供三级保密机制,防止各部门/岗位人员窃取数据的隐患。
三级安全机制:通过数据隐藏和屏蔽,对非技术人员进行数据保护。
二级安全机制:通过数据加密、校验和日志,对技术人员进行数据保护。
一级安全机制:对数据传输全过程进行加密处理,对所有数据接触点进行身份验证处理,并由发包方技术人员全程日志记录和实时监控,确保数据的100%安全。
5.终端设施安全方案
座席人员和办公人员的PC电脑终端,是呼叫中心数据安全隐患的入口和出口,很多企业采取了封口、安检、监控等低效手段,即耗费大量投资,同时安全效果不明显。
由于传统的呼叫中心坐席用机与坐席电话完全分离,所以无论用户是新筹建或再扩建呼叫中心桌面系统,还是拟改变其桌面系统现状,都可以使用云终端来实现,使用云终端替代传统PC作为呼叫中心桌面系统坐席用机,仅需在坐席用机网络出口处部署一台或几台云服务器以供云终端用户访问,而无需管理员逐个桌面安装操作系统及应用软件,大大减少初期软件部署工作量;而且较传统PC而言,云终端实施起来更加方便快捷。使呼叫中心真正成为安全的私有云呼叫中心。
6.机房运维操作规范
机房运行维护服务包括信息系统相关的主机设备、操作系统、数据库和存储设备的运行维护服务,保证用户现有的信息系统的正常运行。因此能够进入机房并且接触到数据库的技术人员,一方面外包企业要制定严密的操作记录审查制度和视频监控设备,更重要的是要有规范的技术服务流程,避免内部专业人员监守自盗。
D1Net评论:
对于呼叫中心外包企业而言,数据安全的重要性正在凸显,既是保护业务发包方信息安全的前提,也是外包企业长远发展的信任基础和合作保障,所以,呼叫中心企业只需牢记两个字:数据!数据!还是数据!