电脑锁定
锁定座席代表的电脑可以防止信息被任意地复制、记录、传送或者保留。根据适用的规定和场景的不同,锁定可能包括禁止在磁盘或任何输入/输出端口上书写或保存文件并且停用“复制粘贴”功能,这通常要求一个特殊的安全应用程序在会话中禁用电脑系统的部分资源。
补丁管理系统
安全软件要完全发挥作用就必须升级到最新的版本。一项最佳实践是通过补丁系统定期安装系统和安全软件的补丁和更新,其中还包含了处理严重安全问题的优先计划,特别是应对新出现的零时差攻击注1。
验证
在国家安全问题上有句俗语“信任但要确认”(Trust but verify),这句话对云服务也适用。验证在家工作的安全性要通过终端主机完整性检查(Host Integrity Check (HIC)),每当座席代表登录的时候都要检查电脑的操作系统、应用程序和安全软件以确保所有的程序都已安装、更新并且运行正常,终端主机完整性检查还必须验证注册表设置确认目前没有安装未授权的应用并且验证座席代表确实通过授权的网络在预定的时间内尝试访问。
如果座席代表(在经过认证之后)出于任何理由未能通过终端完整性检查,会话必须立刻进入“隔离”状态,只有当用户成功通过终端完整性检查之后才能解除隔离从而转入正常的授权操作。
无论是物理集中还是以云为基础,最高级别的安全系统和流程对任何类型的呼叫中心都是必要的。只要遵循上述的安全准则,以云为基础的呼叫中心可以打造得和企业内部封闭的呼叫中心一样安全。已经有确定的行业标准和规定帮助经理们理解每种网络提供的安全级别,当你考虑在家工作的虚拟呼叫中心的合作伙伴时我极力推荐你与那些遵守HIPAA法案注2并且通过支付卡行业与数据安全标准(PCI—DSS)一级认证的组织合作,这是目前最高等级的评价。
注释:
注1:零时差攻击(zero-day attack):又叫“零日漏洞攻击”,也有翻译为“初始攻击”、“瞬时攻击”,即安全补丁与漏洞曝光的同一日内相关的恶意程序就出现,并对漏洞进行攻击。
注2:HIPAA法案:全称为Health Insurance Portability and Accountability Act/1996,Public Law 104-19,美国医疗保险携带和责任法案,于1996年颁布。内容涵盖两大部分:HIPAA主题I(HIPAA Title I)涉及保障失业人员及重新择业人员享受医疗保险;HIPAA主题II(HIPAA Title II)包括一个简化管理部分,涉及医疗保健相关信息系统的标准化,在信息技术产业中多数人提到HIPAA时多指简化管理部分。HIPAA确立了一些强制条例要求大力改变医疗服务提供者的从业方法,HIPAA寻求确立电子数据交换(EDI)、安全及所有医疗保健相关数据保密性的标准化机制。法案规定:病人的健康记录、管理记录和财务数据均采用标准化格式;每个医疗保健实体(包括个人、雇主、医疗计划和医疗服务提供者)均采用唯一认证码(ID number);运用安全机制确保识别每一个体的信息数据具有保密性和完整性。
本文刊载于《客户世界》2012年5月刊;作者为阿尔派阿克塞斯公司(Alpine Access, Inc.)主管解决方案的副总裁;编译者王超为CC-CMM国际标准认证机构资深顾问。
