呼叫中心是基于數據庫的電話呼入和呼出系統,信息安全對于呼叫中心尤其呼叫中心外包的業務發包方而言非常重要,從各行業BPO來看客戶數據丟失甚至造成客戶財產和生命損失的案例存在不少。因此外包數據的安全保障,既是業務合作前提也是運營環節必須要保障的核心技術問題。
結合筆者多年外包運營經驗,總結以下安全保障機制,多角度確保發包方信息安全。
1.呼叫中心數據安全方案
呼叫中心外包平臺的數據傳輸保障措施包括:
*應用安全性 :合理設計數據訪問等核心部件,如身份認證、防抵賴、數據完整性、數據加密等,防止數據不一致實時監測應用內部運行狀況,自動報警 。
*傳輸安全性:實現外部系統與內部系統之間的邏輯隔離,保證內部系統的獨立和安全,系統間的數據交換和傳輸采用標準協議并進行加密和日志處理。
*信息安全性:采用雙機熱備、RAID磁盤陣列等方式,在系統上實現數據庫的自動動態備份。同時在應用上實現數據定時(如每小時/天/周)的數據同步、更新、匯總、統計和比對工作。
*網絡安全性:在路由器中對遠端的IP地址進行過濾,使非注冊的遠端系統不能建立TCP連接。同時設立雙防火墻,對來訪的遠端進行進一步的權限控制和訪問控制。
*物理安全性:系統各種設備所在環境應滿足國家關于計算機場地站的安全要求,如對重要信息存儲、收發部門進行屏蔽處理,以防止電磁干擾等。
*機房管理制度:建立良好的安全意識和健全的管理制度,同時系統記錄安觀管理日志和自動預警。若接入INTERNET,還靠考慮病毒防御、木馬防御和外部攻擊等工作。
2.應用軟件安全保障
通過制定相應管理措施來保證呼叫中心的信息安全。針對人員的信息安全管理,主要是要針對人員角色制定信息安全責任矩陣和信息安全管理制度來保證信息安全。
呼叫中心外包安全管理制度,從規范和監控兩個角度,對涉及到數據環節的所有人員和流程進行約束和監督,專人專崗責任制,確保杜絕數據安全的人為隱患。以下以TSR座席崗位為例,在營銷和服務全過程中,除性別和姓氏之外,所有客戶數據均以屏蔽:
3.網絡傳輸安全體系
隨著信息化技術的發展,網絡攻擊技術發生了巨大的變化,早期黑客主要是通過暴力攻擊獲取服務器權限來證明自我價值,而現在已經逐漸演變為利用各種滲透手段,將目標網絡內的服務器和終端變成發展僵尸網絡,最終形成以竊取隱私、販賣數據、拒絕服務等體系化的黑色產業鏈。
根據呼叫中心的具體情況,分別對內部服務器和內網客戶端設置相應的安全策略,主要涉及IPS漏洞防御,AV防病毒,惡意URL過濾和網絡應用安全一體化關聯分析等安全策略。從而實現對內部服務器的安全加固,對內部員工上網的保護。
通過防火墻的主動威脅防御體系提供基于行為分析、多種類型日志的智能關聯和威脅分析可視化的防護手段,幫助用戶有效發現網絡中存在的未知威脅并加以控制、及時調整安全策略增強安全防御。隨時監控和定位網絡中的僵尸主機,保護企業網絡安全高效的運行。
4.數據存儲安全體系
呼叫中心結合CRM軟件,根據發包方安全要求和業務特點,可提供三級保密機制,防止各部門/崗位人員竊取數據的隱患。
三級安全機制:通過數據隱藏和屏蔽,對非技術人員進行數據保護。
二級安全機制:通過數據加密、校驗和日志,對技術人員進行數據保護。
一級安全機制:對數據傳輸全過程進行加密處理,對所有數據接觸點進行身份驗證處理,并由發包方技術人員全程日志記錄和實時監控,確保數據的100%安全。
5.終端設施安全方案
座席人員和辦公人員的PC電腦終端,是呼叫中心數據安全隱患的入口和出口,很多企業采取了封口、安檢、監控等低效手段,即耗費大量投資,同時安全效果不明顯。
由于傳統的呼叫中心坐席用機與坐席電話完全分離,所以無論用戶是新籌建或再擴建呼叫中心桌面系統,還是擬改變其桌面系統現狀,都可以使用云終端來實現,使用云終端替代傳統PC作為呼叫中心桌面系統坐席用機,僅需在坐席用機網絡出口處部署一臺或幾臺云服務器以供云終端用戶訪問,而無需管理員逐個桌面安裝操作系統及應用軟件,大大減少初期軟件部署工作量;而且較傳統PC而言,云終端實施起來更加方便快捷。使呼叫中心真正成為安全的私有云呼叫中心。
6.機房運維操作規范
機房運行維護服務包括信息系統相關的主機設備、操作系統、數據庫和存儲設備的運行維護服務,保證用戶現有的信息系統的正常運行。因此能夠進入機房并且接觸到數據庫的技術人員,一方面外包企業要制定嚴密的操作記錄審查制度和視頻監控設備,更重要的是要有規范的技術服務流程,避免內部專業人員監守自盜。
數據!數據!還是數據!數據安全對于呼叫中心外包企業而言,既是保護業務發包方信息安全的前提,也是外包企業長遠發展的信任基礎和合作保障。