Pular para o conteúdo

Se você precisar de conformidade com IVR, procure estes 6 recursos

Marcações:
Tempo de leitura: 7 minutos

A resposta interativa de voz (IVR) é uma ferramenta maravilhosa que ajuda as empresas e seus clientes a realizar mais tarefas em menos tempo.

Como as pessoas compartilham dados confidenciais no sistema – informações pessoais, informações de pacientes, números de cartão de crédito e assim por diante – a conformidade com a IVR não é uma consideração trivial. As regulamentações de IVR mais impactantes vêm do Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS) e da Lei de Proteção ao Consumidor de Telefone (TCPA), mas existem outras.

Abordarei tudo o que você precisa saber sobre conformidade com IVR nesta postagem e fornecerei dicas para encontrar fornecedores que ofereçam os recursos necessários para minimizar sua carga regulatória e simplificar a conformidade.

Gerenciando riscos com conformidade com IVR

Quando se trata de IVRs, vários riscos de conformidade estão associados ao uso de ferramentas que automatizam funções para aumentar a receita – como cobrança de pagamentos e agendamento de retornos de chamada com clientes potenciais ou existentes.

Os principais riscos que você enfrentará como organização ao aceitar pagamentos via IVR incluem o seguinte:

  • Violações de dados: Quando sua empresa aceita pagamentos com cartão e informações financeiras, ela se torna o principal alvo para hackers roubarem informações de cartão de crédito. No entanto, se a organização que sofre uma violação de dados estiver em conformidade com o PCI-DSS, as suas penalidades serão significativamente reduzidas devido a essa adesão.
  • Ação legal: As violações de dados podem resultar em ações legais por parte de todas as partes afetadas (incluindo empresas de cartão de crédito), o que pode ser muito caro e punitivo.
  • Reclamações e disputas: O roteamento inadequado e os longos tempos de espera das chamadas podem levar a muitos resultados desagradáveis, especialmente quando há dinheiro envolvido. Essa insatisfação pode fazer com que os clientes abandonem as ligações frustrados ou até mesmo mudem para concorrentes.
  • Percepção negativa da marca: Uma das principais perdas intangíveis que uma empresa pode enfrentar são os danos irreversíveis à sua reputação, que é o que uma violação de dados causada por uma falta de conformidade com o IVR pode infligir.
  • Problemas de conformidade e penalidades: O não cumprimento dos padrões PCI-DSS pode resultar em multas pesadas, aumento de taxas de transação ou até mesmo na perda da capacidade de processar pagamentos com cartão de crédito.

As principais empresas de cartão de crédito, nomeadamente MasterCard, Visa, Discover e AMEX, formaram o PCI SSC e são elas que distribuem multas por violações. Por exemplo, o não cumprimento dos requisitos de conformidade PCI-DSS por mais de sete meses pode custar até US$ 100.000 por mês.

Além disso, penalidades mais específicas incluem multas de US$ 5.000 por mês (para clientes de baixo volume) e US$ 10.000 por mês (para clientes de alto volume) se o não cumprimento durar entre 1 a 3 meses. Se o não cumprimento for entre 4 a 6 meses, as penalidades saltam para US$ 25.000 por mês (para clientes de baixo volume) e US$ 50.000 por mês (para clientes de alto volume).

É importante observar que essas violações não são as mesmas impostas pelas regulamentações governamentais. Com a conformidade com o IVR, as bandeiras de cartão imporão multas ao processador de pagamentos por violações, que, por sua vez, penalizarão o comerciante responsável.

Tenha em mente que a maioria dos riscos e penalidades podem ser geridos e absorvidos com relativa facilidade por instituições como grandes bancos, mas se for uma pequena empresa, isso pode levar à falência. Para mitigar os riscos, é uma boa ideia incorporar ou implementar os recursos de conformidade integrados de muitos serviços IVR.

Medidas de criptografia e prevenção contra perda de dados

Você deve garantir que as informações do cartão de crédito nunca sejam transmitidas pela rede em texto simples. Cabe aos contact centers determinar que os dados financeiros sejam criptografados em uso, trânsito ou em repouso.

Além disso, os padrões de criptografia ponto a ponto (P2PE), que constituem uma lista abrangente de requisitos de segurança, devem ser implementados pelos provedores de P2PE.

Siga o PCI DSS e outras práticas recomendadas de segurança

As plataformas IVR devem implementar políticas de retenção de dados apropriadas que não comprometam as informações dos seus clientes. Por exemplo, ao processar pagamentos com cartão de crédito, dados de autenticação confidenciais, como códigos CVV/CVV, não podem ser armazenados após a autorização.

Além disso, os call centers não devem armazenar dados de cartão e, portanto, precisam descartar todas as informações armazenadas de cartão de crédito.

Use um IVR com soluções de conformidade integradas

Se você não tiver recursos ou tempo para construir você mesmo uma infraestrutura de sistema segura, adotar uma plataforma de pagamento existente compatível com IVR é uma opção viável.

Você provavelmente desejará procurar um provedor de serviços IVR hospedado compatível com PCI que implemente pagamentos seguros – porque, além de cuidar de vários aspectos de entrega, uma das vantagens é que ele elimina a necessidade de agentes reais lidarem com informações confidenciais do cartão . Neste ambiente sem escopo, você elimina o risco de violações de dados causadas por informações confidenciais mal tratadas.

É claro que você também desejará que sua solução seja econômica e fácil de implantar. Confira meu guia de preços de IVR se você não estiver familiarizado com esses produtos – adivinhar o verdadeiro custo desses sistemas pode ser um pouco confuso.

Em qualquer caso, encontrar o provedor de IVR certo para você se resume a investigar os seis recursos potenciais a seguir.

VEJO: Aprenda por que você deve usar um IVR hospedado em vez de hospedar o seu próprio.

Seis recursos importantes para conformidade com IVR

1. Certificações de conformidade

Pensei em não incluir isso na lista porque é de bom senso — mas este é um post sobre compliance, então não vou correr nenhum risco.

É crucial confirmar se o fornecedor possui as certificações de conformidade necessárias para garantir operações seguras e legais. As principais certificações a serem procuradas incluem:

  • PCI-DSS (padrão de segurança de dados da indústria de cartões de pagamento).
  • ISO 27001 (Organização Internacional de Padronização – Gestão de Segurança da Informação).
  • SOC 2 (Controles de Sistema e Organização 2).
  • GDPR (Regulamento Geral de Proteção de Dados).
  • CCPA (Lei de Privacidade do Consumidor da Califórnia).

Para casos de uso relacionados à saúde, a conformidade com a HIPAA (Lei de Responsabilidade e Portabilidade de Seguros de Saúde) é especialmente importante. O serviço telefônico comercial ou provedor de IVR deve estar preparado para assinar um Acordo de Parceria Comercial (BAA) para garantir a proteção de informações confidenciais de saúde.

Se o fornecedor não estiver disposto a assinar um BAA, não importará quão seguros sejam seus sistemas ou controles de acesso. Veja minha postagem completa sobre como encontrar VoIP compatível com HIPAA para uma análise completa das organizações que precisam ser consideradas.

2. Gateways de pagamento seguros

Idealmente, o IVR deve integrar-se perfeitamente com um gateway de pagamento que sua organização já utiliza, pois isso minimiza a complexidade da implementação e garante consistência no tratamento das transações. Sistemas familiares reduzem a curva de aprendizado da sua equipe e ajudam a manter os fluxos de trabalho de conformidade existentes.

Se o IVR exigir a mudança para um novo gateway de pagamento, certifique-se de que o provedor ofereça suporte robusto, documentação clara e evidência de conformidade com o PCI DSS para tornar a transição o mais tranquila possível.

Usar um gateway de pagamento diferente não é necessariamente uma desvantagem, mas pode apresentar desafios. Você precisará avaliar a compatibilidade do gateway com sua infraestrutura existente, sua capacidade de tokenizar e proteger dados de pagamento e o impacto nos esforços de descolagem. Além disso, verifique se o novo gateway pode lidar com seu volume de transações e atender às necessidades específicas de conformidade do seu setor ou região.

VEJO: Confira os melhores gateways de pagamento para saber mais.

3. Opções de descodificação PCI DSS

Um sistema IVR compatível deve oferecer recursos que facilitem a “decodificação”, mantendo os dados de pagamento confidenciais fora do seu ambiente interno.

Em termos práticos, desescopar significa simplesmente separar o cartão do cliente e as informações financeiras do sistema da sua empresa para que o ecossistema excluído não esteja mais “no escopo”. Isso atenua e minimiza o risco de fraude de cartão, separando a infraestrutura da sua empresa das informações do cartão do cliente.

Usar um gateway de pagamento é um bom começo, mas há mais que você pode fazer e será mais fácil com alguns sistemas IVR do que com outros. As principais opções a serem procuradas incluem:

  • Gravação de chamadas com redação para call centers que podem ser configurados para editar ou mascarar automaticamente informações confidenciais de pagamento.
  • Mascaramento DTMF para ocultar detalhes de pagamento durante a entrada.
  • Ferramentas de prevenção de fraude para identificar e bloquear transações fraudulentas antes que os dados de pagamento sejam processados.
  • Tokenização para substituir os dados do titular do cartão por tokens não confidenciais.

Esteja ciente de que os sistemas IVR com opções de integração limitadas podem complicar os esforços de descoping, exigindo o tratamento manual de dados confidenciais. Sem integração perfeita com gateways de pagamento seguros ou serviços de tokenização, estes sistemas podem aumentar a carga de conformidade em vez de reduzi-la.

4. Recursos de auditoria e relatórios

Devem ser mantidos registos abrangentes para todas as interações, garantindo que cada envolvimento do cliente, especialmente aqueles que envolvem dados sensíveis, seja rastreável e responsável. Esses registros fornecem uma trilha de auditoria valiosa para análises internas e externas, garantindo transparência e mantendo a conformidade com GDPR, PCI DSS e outras regulamentações.

Procure IVRs que permitem personalizar e automatizar relatórios, o que simplificará o processo de conformidade. Você poderá rastrear exatamente o que precisa, garantir a adesão aos protocolos de segurança, identificar possíveis riscos de conformidade e destacar áreas que precisam de atenção.

Num ambiente orientado para a conformidade, capacidades abrangentes de auditoria e relatórios são essenciais para os sistemas IVR.

5. Conformidade com DNC

A conformidade com Do Not Call (DNC) é um aspecto crítico da adesão regulatória para qualquer empresa envolvida em telemarketing ou atendimento automatizado ao cliente com um discador ativo. De acordo com regulamentações como a Lei de Proteção ao Consumidor Telefônico dos EUA (TCPA) e leis semelhantes em todo o mundo, as empresas devem garantir que não entrarão em contato com indivíduos que optaram por não receber chamadas de marketing.

Os sistemas IVR podem ajudar as empresas a gerenciar essa conformidade, incorporando recursos que examinam as chamadas efetuadas em listas DNC em tempo real. Isso garante que nenhuma chamada seja feita para números que aparecem nessas listas, ajudando a evitar multas e penalidades significativas.

Embora os sistemas IVR de saída sejam os principais responsáveis ​​pela conformidade DNC, os sistemas de entrada também podem desempenhar um papel na confirmação se um cliente solicitou ser adicionado à lista DNC durante as interações. Para empresas que dependem de sistemas de chamadas automatizados para marketing ou divulgação, garantir a conformidade DNC por meio de recursos IVR, como correspondência automatizada de listas e atualizações em tempo real, é essencial para reduzir riscos e manter um bom relacionamento com os clientes.

VEJA: Saiba por que os agentes substituídos pelo IVR de saída não estão preocupados com isso.

6. Recursos de acessibilidade IVR

Os sistemas IVR devem ser concebidos para serem acessíveis a todos os utilizadores, incluindo indivíduos com deficiência, para garantir a total conformidade com as normas de acessibilidade. Isto será mais importante para contact centers com um IVR que inclua canais como chat ao vivo.

Idealmente, o fornecedor escolhido oferecerá ferramentas que o ajudarão a garantir que o sistema IVR siga os padrões WCAG (Diretrizes de Acessibilidade de Conteúdo da Web), como fornecimento de comandos de voz, navegação clara e compatibilidade com leitor de tela, ajuda a atender aos requisitos legais e fornece um usuário inclusivo. experiência.

Notícias de Tecnologia:

Seu telefone Pixel está recebendo uma grande atualização – procure estes 10 recursos úteisSeu telefone Pixel está recebendo uma grande atualização – procure estes 10 recursos úteis Tom Hanks em Estrada para a Perdição.Se você precisar assistir a um filme do Amazon Prime Video em dezembro de 2024, transmita este 'Mewing', 'Sigma' e outras gírias da geração Z e da geração Alpha, você pode precisar de ajuda para decodificar‘Mewing’, ‘Sigma’ e outras gírias da geração Z e da geração Alpha, você pode precisar de ajuda para decodificar O que é conformidade com PCI? Um guia simples para empresasO que é conformidade com PCI? Um guia simples para empresas Responsabilidade pessoal: uma nova tendência na conformidade de segurança cibernética?Responsabilidade pessoal: uma nova tendência na conformidade de segurança cibernética? O mercado de baixo custo de Temu enfrenta investigação formal na UE sobre uma série de preocupações de conformidade com DSAO mercado de baixo custo de Temu enfrenta investigação formal na UE sobre uma série de preocupações de conformidade com DSA