Большинство компаний сектора B2C активно продвигают среди клиентов собственные мобильные приложения. Удобно, когда в одной системе можно хранить данные клиента, проводить платежи, начислять баллы программы лояльности, предоставлять поддержку и, возможно, другие функции, которые являются часть сервиса.
В контактных центрах Teleperformance наши специалисты в том числе оказывают поддержку клиентов через мобильные приложения. И неотъемлемой частью этой услуги (как и любой, связанной с персональными и финансовыми данными) является оценка рисков информационной безопасности.
Конечная цель — обеспечить защиту данных клиентов наших партнёров: их персональных данных, банковских карт и чувствительной информации. Угрозы могут исходить как извне, так и появляться вследствие ошибки сотрудника или действий внутреннего злоумышленника. В предновогодние дни, когда мы совершаем больше покупок у разных продавцов, чем обычно, и часто делаем это в спешке и суете, особенно важно предотвратить эти риски. Иначе бизнес рискует серьезно подорвать доверие и лояльность клиентов, которым мошенники омрачат праздники, воспользовавшись брешью в системе.
В этом блоге мы расскажем о четырех распространенных угрозах и о том, как избежать неприятностей для ваших клиентов и долгих, дорогостоящих последствий.
1. Грамотная настройка идентификации пользователя
Своеобразный паспортный контроль, который отсекает угрозы на входе. Сегодня большинство разработчиков уделяют должное внимание тому, чтобы преградить злоумышленникам вход в аккаунты пользователей. Для сотрудников поддержки тоже должна быть разработана надёжная схема идентификации пользователя до начала обслуживания. Конечно, это особенно важно при работе с платежами и переводами.
На помощь приходят технологии:
- Распознавание голоса;
- Одноразовый пароль, высылаемый на привязанный номер мобильного;
- Проверка номера, с которого обращается клиент, на совпадение с привязанным;
- Аутентификация девайса, с которого обращается клиент, если это чат или мессенджер.
К менее надежным мерам относится подтверждение электронной почты. Преимущество пин-кодов, кодовых слов или секретных вопросов состоит в том, что их легко внедрить в уже запущенное приложение, а минус, увы, хорошо знаком всем надо — их часто забывают.
2. Отправка уведомлений при смене данных в личном кабинете
Если злоумышленник путём манипуляций и приёмов социальной инженерии всё же сумел преодолеть входной барьер, то первое, что он сделает — поменяет данные аккаунта клиента. Смена электронного адреса и телефона поможет ему сохранить доступ к аккаунту и в дальнейшем совершить задуманное преступление. Настоящий владелец аккаунта в результате может даже утрать доступ к нему.
Есть несколько способов защиты. Самое простое решение — отправка уведомлений о смене данных аккаунта. Чтобы оно стало эффективнее, нужно, чтобы в отправленном на привязанный номер сообщении содержалась ссылка для подтверждения изменений (или наоборот). Отправка электронного сообщения тоже эффективна, но вероятность, что пользователь увидит его вовремя, становится ниже.
3. Отказ от предоставления сотрудникам поддержки финансовой информации
Лучше полностью исключить сценарии, в которых клиенту нужно диктовать данные своей банковской карты во время звонка в поддержку или набирать их в диалоге с оператором. Давно существуют технологии, которые позволяют этого избежать. Например, во время звонка оператор с помощью IVR может перевести клиента на специальный сервер, чтобы тот ввёл номер карты на клавиатуре телефона. А с перепиской ещё проще — достаточно отправить ссылку на страницу защищённой оплаты. Важно информировать клиентов об этом правиле безопасности, например, добавить в текст автоответчика сообщение о том, что финансовые данные никогда не надо передавать сотрудникам напрямую или диктовать вслух, даже роботу.
4. Сокращение количества запрашиваемой информации
В базе данных может храниться информация по десяткам различных параметров. Но при разработке мобильного приложения нужно тщательно продумать, каких из этих данных достаточно. Например, для технической поддержки девайса оператору не нужна персональная и платёжная информация.
Кроме того, необязательно показывать сотруднику весь набор данных — достаточно открыть только необходимый в данный момент элемент. И, конечно, у оператора не должно быть доступа к аккаунтам клиентом в другое время, нежели когда они непосредственно их консультируют. После завершения звонка или чата доступ к данным должен блокироваться.
Соблюдение этих принципов очень усложнит задачу злоумышленникам, покусившимся на данные клиентов. Соответствие самым высоким стандартам безопасности в операционной деятельности Teleperformance подтверждается международными сертификатами, в том числе специализированными и отраслевыми, включая работу удалённых операторов. Если вы ищете надёжного партнёра для аутсорсинга клиентского сервиса, с удовольствием расскажем вам о наших решениях.