GDPR/DSGVO
Die General Data Protection Regulation (GDPR) ist ein relativ neues Datenschutz- und Sicherheitsgesetz, das 2018 von der Europäischen Union eingeführt wurde. Die GDPR muss von allen Unternehmen befolgt werden, die mit in der EU lebenden Kunden interagieren. Sie umfasst Sicherheitsanforderungen wie zum Beispiel:
- Dokumentation, wie Daten gesammelt werden und wohin sie gehen.
- Sicherer Umgang mit Daten durch bewährte Verfahren wie zum Beispiel Authentifizierung, Verschlüsselung und interne Schulungen.
- Einholung der Zustimmung der Benutzer, um ihre Daten zu verarbeiten.
- Nachweis der Einhaltung der Vorschriften anhand von Kennzahlen.
PCI-DSS
Der Payment Card Industry Data Security Standard (PCI-DSS) konzentriert sich auf den Schutz von Zahlungsdaten, wie zum Beispiel Transaktionen von Kredit- und Debitkarten, vor Datendiebstahl und Betrug. Jedes Contact Center, das Zahlungsmittel verarbeitet, muss PCI-DSS einhalten.
Viele Unternehmen erhalten eine PCI-Zertifizierung, um die Sicherheit ihrer Kundendaten zu gewährleisten. Diese Zertifizierung wird durch die Implementierung bewährter Sicherheitspraktiken wie Firewalls, Verschlüsselung und Anti-Virus-Software erworben.
HIPAA (in den USA)
Der Health Insurance Portability and Accountability Act (HIPAA) verhindert, dass sensible Gesundheitsinformationen von Patienten ohne deren Zustimmung oder Wissen weitergegeben werden. Aufgrund von HIPAA müssen Unternehmen darauf achten, dass sie genau wissen, wohin die Private Health Information (PHI) ihrer Kunden gelangen und wie sie gespeichert werden.
Woher Bedrohungen für die Sicherheit von Call Centern kommen
Bedrohungen für die Sicherheit von Call Centern können intern oder extern auftreten. Interne Bedrohungen gehen von Fehlern der Mitarbeiter der Call Center oder verärgerten Angestellten aus, während externe Bedrohungen von unbekannten bösartigen Akteuren kommen, die Ihr Unternehmen angreifen.
Wenn Mitarbeiter von Call Centern die Sicherheitskontrollen vernachlässigen, wie zum Beispiel bei der Zugangsverwaltung oder dem Schutz ihrer eigenen Benutzerrechte, werden sie zu internen Bedrohungen. Wenn ein Unternehmen es versäumt, Schutzmaßnahmen gegen Angriffe wie zum Beispiel Malware einzurichten, ist es besonders anfällig für externe Bedrohungen. Es ist zwar schwierig, sich gegen einen verärgerten Mitarbeiter zu wehren, aber wenn Sie die “Regel der geringsten Privilegien” befolgen und die Aktivitäten von Mitarbeitern überwachen, können Sie die Auswirkungen zumindest abmildern.
Persönlich identifizierbare Informationen
Für die Administratoren von Contact Centern ist es von entscheidender Bedeutung, die personenbezogenen Daten (PII, Personally Identifiable Information) ihrer Kunden sowohl vor internen als auch vor externen Bedrohungen zu schützen. PIIs sind an verschiedenen Stellen im Betrieb eines Contact Centers zu finden, da sie auf viele praktische Arten verwendet werden, wie zum Beispiel zur Überprüfung der Anmeldedaten eines Anrufers, zur Ermittlung des Hintergrunds für die Anfragen eines Kunden und allgemein für einen besseren Kunden-Service.
Einige Beispiele für PIIs, die von Contact Centern regelmäßig verwendet werden, umfassen:
- Benutzernamen und Passwörter,
- Kontonummern, Sozialversicherungsnummern,
- E-Mails und gesendete Nachrichten,
- Online-Einkaufshistorien,
- in Online-Formulare eingegebene Daten,
- Postanschriften, Telefonnummern und andere Kontaktmöglichkeiten, sowie
- finanzielle oder medizinische Details.
Wenn eine dieser Arten von PIIs unsachgemäß verwendet oder gespeichert wird, kann ein Unternehmen gegen gesetzliche Vorschriften verstoßen und sich Geldstrafen gegenübersehen oder – was noch schlimmer ist – anfällig für Dateneinbrüche werden.
Interne Bedrohungen der Datensicherheit
Interne Bedrohungen gehen in der Regel von Fehlern der Mitarbeiter von Call Centern aus. Wenn Angestellte nicht ihre Computer-Arbeitsplätze schützen, auf Phishing-Versuche hereinfallen oder Daten auf irgendeine Weise mißbrauchen , setzen sie das gesamte Unternehmen Sicherheitsbedrohungen aus. Verärgerte Mitarbeiter können ein Unternehmen sabotieren, indem sie vorsätzlich Informationen stehlen oder umleiten.
Um internen Bedrohungen vorzubeugen, müssen Mitarbeiter von Call Centern geschult und überwacht werden. Es gibt Ressourcen wie spiele-ähnliche Schulungsangebote, Programme für Sicherheitsmaßnahmen und Wissensdatenbanken für Mitarbeiter. Wenn Sie diese Optionen verwenden, können Sie Ihr Team auf solche Gefahren vorbereiten und schulen. Eine Kontrolle kann durch die Überprüfung der Anrufprotokolle von Mitarbeitern auf Aktivitäten erfolgen, die fehl am Platz erscheinen.