Unified Communications: uno strumento per la compliance

939

È necessario tutelare i dati sin dalla prima condivisione delle informazioni tra cliente e azienda per assicurarsi la conformità agli standard PCI o al GDPR

Oggi come mai prima si attribuisce massima attenzione alla salvaguardia dei dati sensibili. Il nuovo regolamento europeo per la protezione dei dati (GDPR) è solo l’ultimo di un lungo elenco di oneri a carico delle aziende, spesso già alle prese con l’adempimento agli standard per la protezione dei dati e la sicurezza delle transazioni effettuate con carte bancarie (PCI). Alle organizzazioni è richiesto un aumento del livello di sicurezza sulla base di strategie per la protezione dei dati imperniate sulle modalità di archiviazione e tutela delle informazioni trattate da una data organizzazione. Ma a partire da dove? Nel caso di aziende dotate di call center o centri di contatto cui vengono comunicati i dati della carta di credito o informazioni personali sensibili da parte dei clienti, con quali strumenti le aziende proteggono i clienti e sé stesse?

 Conoscere i rischi

Già in occasione di questo primo contatto i dati sono esposti a numerosi rischi, accidentali come intenzionali. Per errore o disinformazione, l’operatore di un call center potrebbe per esempio registrare più dettagli sulle modalità di pagamento selezionate dal cliente di quanto autorizzato dagli standard PCI o archiviare tali dati su supporti poco sicuri. Analogamente, il GDPR impone specifiche limitazioni in merito a quando e come le organizzazioni possono archiviare dati, per quanto tempo e in che modo li tutelano. Inoltre, le imprese devono essere pronte a condividere i dati con i clienti o con altre aziende, qualora il cliente ne faccia richiesta. Una richiesta che spesso giungerà in primis al call center.

I rischi non si limitano a fattori interni all’organizzazione. Aggressori esterni potrebbero vedere il call center come l’anello più debole nella sicurezza di un’organizzazione: la necessità di rendere accessibili i dati a operatori e clienti e l’incidenza dell’errore umano si trasformano facilmente in una violazione delle informazioni riservate. Alla luce di sanzioni legate all’adempienza agli standard PCI che aumentano esponenzialmente a dipendenza dalla somma dei dati messi a rischio e del tempo necessario per identificare e correggere eventuali problemi e a fronte delle sanzioni previste dal GDPR, che possono ammontare a diversi milioni di euro in base al fatturato aziendale, le sole conseguenze finanziarie dell’inadempienza possono essere catastrofiche. Se poi vi aggiungiamo i potenziali danni reputazionali è chiaro che le organizzazioni devono garantire la massima tutela dei dati dei clienti a partire dall’avamposto più esterno del proprio perimetro.

Assumere il controllo

Le imprese possono fare molto per proteggere i loro clienti e se stesse attraverso un uso corretto dell’infrastruttura per le telecomunicazioni. Ogni call center è sicuramente dotato di linee guida e protocolli che gli operatori sono tenuti a seguire per assicurare che i dati siano protetti. Adottando le Unified Communications l’azienda si assicura la vigilanza su ogni canale di comunicazione con il centro di contatto, dalla messaggistica istantanea, alle chiamate, fino ai moduli utilizzati dai dipendenti per l’inserimento dati, riducendo notevolemente il rischio di errore o eventuali tentativi fraudolenti di alterare il processo di registrazione delle informazioni.

Una soluzione per le Comunicazioni Unificate (UC) ben progettata non è solo in grado di registrare tutte le comunicazioni, quindi di dimostrare la non colpevolezza degli operatori in caso di necessità o di identificare rapidamente una qualsivoglia attività dolosa. Le UC possono anche garantire che le informazioni sensibili, come i dettagli della carta di credito, siano archiviate al posto giusto, nel formato corretto, riducendo il rischio che gli impiegati dispongano di troppe informazioni. Allo stesso modo, è possibile limitare le comunicazioni tra clienti e operatori o tra gli stessi dipendenti a specifici canali e determinati orari – riducendo nuovamente il rischio di un’eccessiva condivisione dei dati.

Limitare le vulnerabilità

Utilizzare le UC per ridurre l’incidenza di errori cagionati dall’uomo contribuisce ad arginare una singola vulnerabilità, ma le organizzazioni devono proteggersi anche contro attacchi esterni. Il primo più probabile obiettivo di qualsiasi attacco al call center saranno gli operatori stessi: se dovessero comunicare informazioni sensibili poiché raggirati, sarà più difficile individuare l’attacco. Di primo acchito, parrebbe quindi che i dipendenti siano il solo punto debole e che il mero monitoraggio delle comunicazioni non sia tutela sufficiente in situazioni simili, ma non è così. A fronte della dismissione delle linee telefoniche tradizionali in favore di linee telefoniche basate su IP (SIP trunking), garantirsi accesso alla rete aziendale tramite l’infrastruttura per la telefonia via Internet è un obiettivo particolarmente allettante per i cybercriminali. Anche qualora un attacco andato a buon fine non infici la riservatezza dei dati dei clienti, esso può avere altre implicazioni, ad esempio l’attaccante potrebbe prendere possesso dei telefoni IP per avvalersene tramite reti robocall.

Le organizzazioni dovrebbero informarsi sul livello di sicurezza garantito dal fornitore della linea IP (SIP trunk), e quindi decidere se è il caso di adottare ulteriori misure di protezione: il gestore della linea ha adottato sistemi in grado di riconoscere, individuare e respingere quanto meno gli attacchi noti?

È fuor di dubbio che il controllo sia un elemento essenziale nella tutela contro gli attacchi esterni. Ma se i dispositivi utilizzati dagli operatori sono autorizzati a svolgere esclusivamente determinate mansioni e possono comunicare solo a senso unico, il rischio che se ne abusi per carpire dati è potenzialmente ridotto. Ci sono ovviamente anche strumenti tecnici per proteggere la connessione, implementati in soluzioni UC di nuova generazione, che spaziano dalla cifratura dei dati e delle comunicazioni al monitoraggio di ogni comportamento sospetto indice di minaccia.

Conformità alle normative- imposizione o opportunità?

Per quanto oneroso, un corretto approccio agli adempimenti normativi favorisce lo sviluppo delle pratiche migliori a tutela dei consumatori e clienti, oltre a consentire alle aziende di lavorare meglio grazie all’adozione di tecnologie allo stato dell’arte. A fronte degli standard PCI, del GDPR e dei regolamenti sulla protezione della privacy a venire, le imprese che impostano la gestione dei propri rapporti con la clientela su strategie di controllo e tutela dei canali di comunicazione impiegati tramite Unified Communications avranno un vantaggio competitivo.