Cómo los call centers pueden cumplir normas PCI-DSS en el teletrabajo

Los call centers han redoblado su carga de teletrabajo para mantener y rentabilizar las relaciones con los clientes de las marcas e impulsar el cierre de transacciones de pago.

Mientras los proveedores de servicios basados en la nube garantizan la continuidad de los call centers, ¿cómo se cumpliendo las normas de seguridad en las transacciones de pago?

Uno de los primeros sectores que ha logrado migrar a la nube sus operaciones para garantizar la continuidad del negocio ha sido la industria de los contac centers. Un sector que según Frost & Sullivan, cerró 2019 con operaciones por más de 506 millones de dólares en América Latina.

A estas alturas, los call center han acometido soluciones de comunicaciones unificadas basada en la nube, implementado la movilización de sus agentes en modo home office para continuar operando y ofrecer acceso a otros sistemas esenciales, incluidos CRM, ID&V y herramientas de cumplimiento.

Puede sonar obvio, pero estas acciones deberían estar enmarcadas en las políticas de cumplimiento de las normas de seguridad para las transacciones con medios de pago, PCI-DSS. A continuación, GM Technologies repasa el checklist de recomendaciones que no puede faltar en la pantalla de los equipos de TI y seguridad en América Latina.

LEE  TAMBIÉN: Call Centers se reinventan con nuevas tecnologías

En la infraestructura tecnológica para el teletrabajo

1. Requerir que todo el personal use solo dispositivos de hardware aprobados por la compañía (móviles, teléfonos, computadoras portátiles, computadoras de escritorio, etc). Esto es especialmente relevante para el trabajo remoto. La empresa debe validar el control de los sistemas y la tecnología que respaldan el procesamiento vía telefónica de los datos de las tarjetas de pago.
2. El punto de trabajo remoto debe operar como una extensión segura de la red del call center. Para ello es necesario asegurar que su entorno (la red de acceso y el WiFi) sea seguro de acuerdo con los requisitos de PCI DSS:

1. 1. Contar con firewalls personales instalados y operativos.
   2. Contar última versión del software corporativo de protección de archivos contra virus.
   3. Tener instalados los últimos parches de seguridad aprobados.
   4. Manejar configuraciones que eviten a los usuarios deshabilitar los controles de seguridad.
2. Implementar criptografía sólida para asegurar la transmisión de datos segura a través de conexiones VPN.
3. Las estaciones de trabajo deben conectarse a través de un servidor Jump, y un ecosistema de aplicaciones regido por un host virtual. Las soluciones de escritorios viruales, VDI como las Citrix son un paradigma habitual.

5. Desinstale o desactive las aplicaciones y el software que no son necesarios para reducir la superficie de ataque de las computadoras y computadoras portátiles.
6. Programe la desconección automática de las sesiones de acceso remoto después de un período de inactividad, para evitar que las conexiones inactivas y abiertas sean flancos de ciberataques.

En cuanto al comportamiento del componente humano

1. Revise las políticas y los procedimientos de seguridad con todos los agentes internos y remotos para garantizar que los procesos y procedimientos de seguridad no se olviden ni se eludan:
   1. Prohíba la copia, el traslado y el almacenamiento no autorizados de los datos de las cuentas de los clientes en discos duros locales y medios electrónicos extraíbles.
2. Más que nunca todo el personal involucrado en un modelo de trabajo remoto debe ser plenamente consciente de los riesgos relacionados con el trabajo a distancia o en el hogar. Incremente el monitoreo del comportamiento del agente y defina criterios de identificación de acciones sospechosas.
3. Restrinja el acceso físico a los medios que contienen datos de la tarjeta de pago de los clientes, como grabaciones de pantalla. Si los datos de la cuenta alguna vez se escriben o imprimen en papel, asegúrese de que estén almacenados de forma segura, luego destrúyalos cuando ya no los necesite.
4. Si alguna parte del entorno telefónico se subcontrata a un proveedor de servicios externo, tanto el conctact center como el proveedor de servicios deben comprender claramente sus responsabilidades para proteger sus respectivos sistemas, procesos y personal, y documentar en consecuencia.
5. Las tarjetas de crédito o débito deberán recibirse a través de un IVR.y las sesiones de trabajo de los operadores deben iniciarse bajo autenticación de múltiples factores para la conexión remota.
6. En el caso de los contact centers no es viable utilizar computadoras portátiles o de escritorio personales de los empleados si se quiere cumplir con las normas de seguridad PCI-DSS.
7. Capacite a los teleoperadores sobre el impacto de campañas de ataque con malware, cadenas de correo electrónico Covit 19 y similares escenarios de riesgo para que el equipo remoto no caiga en estrategias de ingeniería social para vulnerar la protección de los datos de los clientes.