Incluso en la industria del Contact Center, la gestión de datos sensibles es un tema cada vez más presente y el número de recursos asignados al ámbito del cumplimiento y la gestión de riesgos es cada vez mayor.
Los Contact Centers deben seguir cuidadosamente y estar al día de las pautas exigidas por las normativas referentes a la recopilación de llamadas telefónicas, como PCI DSS, y deben ser capaces de garantizar la supervisión constante para asegurar su cumplimiento.
Aunque el cumplimiento de PCI DSS no es un requisito legal para poner en marcha un Contact Center, sí que es obligatorio para aquellos que deseen procesar transacciones con los principales proveedores de tarjetas.
<<< Descubre cómo las soluciones de IA facilitan el cumplimiento de PCI DSS >>>
¿Qué es PCI DSS?
PCI DSS es un conjunto de estándares de seguridad que ayuda a las empresas a evitar fraudes y robos de los datos de las tarjetas de crédito, que implica tanto los datos personales del titular como los datos de autenticación.
PCI DSS surge en 2004 a partir de la unión de las empresas de tarjetas de crédito y débito más grandes del mundo, AMEX, VISA, MasterCard, Discover y JCB, que deciden crear un único estándar común a todas ellas, ya que, anteriormente, cada una de estas empresas tenía sus propios estándares de seguridad (que se asemejaban entre ellos), lo que podía suscitar cierta confusión.
Incluye un conjunto de 12 normas obligatorias creadas para proteger los datos que se procesan, transmiten y almacenan durante las transacciones de pago iniciadas por las principales marcas de tarjetas de crédito.
PCI DSS en los Contact Centers
Los Contact Centers están obligados a cumplir un gran número de normas y regulaciones, dependiendo de la industria o la forma en la que se aplique.
Los registros de llamadas son necesarios para la evaluación del rendimiento, pero también para facilitar el desarrollo de cualquier procedimiento legal y asegurar el cumplimiento normativo y es por esta razón que prescindir de la grabación de llamadas no es una opción. De esta manera, la necesidad de controlar y analizar el 100% de las llamadas se está convirtiendo en un requisito fundamental.
Una de las normativas que más preocupa y que implica a estas grabaciones de llamadas es PCI DSS debido a la cantidad de datos sensibles, referentes a tarjetas de crédito o transacciones, que se pueden llegar a manejar. Pero para asegurar el cumplimiento, los Contact Centers han utilizado métodos tradicionales que, en muchos casos, dificultaban esta tarea.
Entre los métodos tradicionales utilizados por los Contact Centers destacan tres:
- Filtrado Manual: este método consiste en que un supervisor, una vez finalizadas las llamadas, elimina u oculta manualmente la parte de la llamada que contiene datos sensibles.
- Uso de Touch Tone o tono de marcación: consiste en incluir el tono de marcación de teclas para tapar los datos sensibles referidos a claves o números de tarjetas.
- Grabación Bajo Demanda: consiste en que el agente tiene la posibilidad de parar la grabación de la llamada justo antes de que la información sensible vaya a ser emitida.
Como decimos, estos métodos tradicionales traen consigo numerosos inconvenientes que dificultan el cumplimiento de PCI DSS al 100%. El filtrado manual conlleva una gran cantidad de tiempo y, en muchos casos, puede no ser fiable debido al error humano consecuencia de ser una tarea repetitiva. En el caso del uso de touch tones o tonos de marcación, el problema radica en que es fácil de identificar de qué tecla se trata. Y, en el caso de la grabación bajo demanda, se deben tener en cuenta 3 elementos clave que pueden suponer un problema para el Contact Center:
- La grabación puede no reanudarse debido a un descuido del agente, perdiendo una parte de la conversación.
- El agente puede no estar atento o no ser consciente de que debe dejar de grabar. Incluso es posible que el cliente se adelante a la parada de la grabación y que, de ese modo, los datos sensibles queden grabados.
- El uso inadecuado por parte del agente de la pausa de grabación, lo que conlleva perder partes importantes de la llamada necesarias para su evaluación de calidad.
Nuevas formas de cumplir con PCI DSS con inteligencia conversacional
Según PCI DSS, todos los datos de las tarjetas de pago que se clasifican como Datos sensibles de autenticación, que son los datos de seguimiento completos, los códigos CAV2/CVC2/CVV2/CID, y el bloque del PIN, deben ser anonimizados.
Hay algunos datos generales del titular de la tarjeta que pueden ser censurados, y de los cuales se permite su almacenamiento siempre que sea en un sitio seguro con restricción de acceso. Estos datos incluyen el número de cuenta principal (PAN), el nombre del titular de la tarjeta, el código de servicio y fecha de caducidad. Pero es muy recomendable proteger y anonimizar estos datos ya que los hackers pueden utilizar esta información para aprovecharse de sus clientes.
Hoy en día, los métodos de asegurar el cumplimiento normativo de PCI DSS están centrándose en la automatización a través de inteligencia conversacional y análisis de voz que permiten anonimizar los datos calificados como sensibles.
Las técnicas de anonimización a través de inteligencia artificial, como la utilizada por Recordia, detectan automáticamente y eliminan los datos PCI de las grabaciones de llamadas, utilizando un motor de reconocimiento de voz altamente preciso y algoritmos de aprendizaje automático. Los datos de la tarjeta de crédito se borran automáticamente de la grabación y se sustituyen por un ruido blanco, devolviendo a los usuarios la grabación depurada y la transcripción con los datos eliminados.
Al utilizar la anonimización de datos sensibles es posible consultar y compartir fácilmente las grabaciones de llamadas para revelar información clave sobre los clientes sin infringir las normas de cumplimiento PCI DSS. Gracias a estas soluciones y tecnologías, los agentes y gerentes del Contact Center no ven incrementado el tiempo de gestión, detectando, redactando y eliminando eficazmente y en segundo plano todos los datos PCI de las grabaciones de llamadas, transcripciones y conversaciones.
¿Quieres descubrir más sobre estas nuevas metodologías para asegurar el cumplimiento de PCI DSS? ¡Te lo contamos todo haciendo click aquí!