RGPD y la grabación de llamadas.

Syscom es proveedor de referencia en el mercado español de soluciones para contact center, en particular de sistemas de grabación. En las últimas semanas, algunos de nuestros clientes nos han consultado si debían cambiar algo en su operativa, debido a la entrada en vigor de la RGPD.

Para poder contestar, hemos consultado con diferentes expertos del sector y servicios jurídicos. A partir de sus respuestas, hemos elaborado las siguientes recomendaciones:

Inbound. Si se graban las llamadas, aunque sólo sea por motivos de control de calidad, se debe informar al llamante mediante una locución, que incluya el motivo de dicha grabación.

Sin embargo, cabe imaginar una excepción… parte de las obligaciones de las empresas, como poseedoras de datos de sus clientes, es haber solicitado de manera explícita permiso para almacenar y tratar esos datos en términos essay writer precisos. Si esa autorización se hizo extensiva a la grabación de conversaciones, no sería necesario advertir previamente en caso de una llamada de estos clientes.

Outbound. Cabe distinguir dos escenarios:

Llamadas a clientes (población conocida). La grabación debiera hacer sido consentida de manera explícita al obtener permiso del cliente para el uso de sus datos.

Llamadas a una población general. Para este tipo de llamadas se usan bases de datos proporcionadas por empresas denominadas brokers de datos. Este tipo de empresas tienen la obligación de solicitar permiso a las personas incluidas en tales BD, para mantener y ceder sus datos a terceros. En dicha solicitud deberían incluir una cláusula específica que cubra la posibilidad de recibir llamadas y la grabación de las mismas, por parte de terceros.

/por

VisionCalidad posibilita que su contact center sea PCI Compliance.

Las tarjetas de crédito y de débito son la forma más común de pago hoy en día.

Almacenar los datos contenidos en estas tarjetas de forma segura, es una cuestión importante que afecta a cualquier empresa involucrada directa o indirectamente en la gestión de esta información.

Para establecer los mecanismos necesarios para el tratamiento y almacenamiento seguros de la información contenida en tarjetas de pago, las principales compañías emisoras de las mismas, crearon el Payment Card Security Council y el Payment Card Industry Data Security Standard (PCI-DSS), esto último podría traducirse como Normas de seguridad de datos de la industria de tarjetas de pago.

PCI-DSS es un estándar internacional aceptado en Norteamérica, Europa y Asia. Cubre áreas como la seguridad de los centros de datos, protección de la información durante su transmisión y procedimientos operativos habituales.

PCI-DSS es un conjunto de medidas de referencia que las empresas deben tomar como guía, pero no especifica la forma concreta en que estas medidas deben ser implementadas, dejando libertad para que cada cual busque las herramientas y procedimientos más adecuados en su caso.

PCI-DSS se compone de los siguientes requerimientos:

Construya y mantenga una red de datos segura.

Requerimiento 1. Instale y mantenga una arquitectura de red que incluya un firewall para proteger los datos de titulares de tarjetas.

Requerimiento 2. No utilice valores por defecto para claves o cualquier otro parámetro relacionado con la seguridad.

Proteja los datos de titulares de tarjetas

Requerimiento 3. Proteja los datos de titulares de tarjetas de pago almacenados en sus sistemas.

Requerimiento 4. Encripte los datos de tarjetas de pago, para su transmisión a través de redes públicas.

Mantenga un programa de gestión de vulnerabilidades

Requerimiento 5. Use un software antivirus y actualícelo regularmente.

Requerimiento 6. Desarrolle y mantenga sistemas y aplicaciones seguras. 

Implemente medidas seguras de control de acceso

Requerimiento 7. Restrinja el acceso a la información de titulares de tarjetas solo a aquellas personas que lo necesiten por sus funciones dentro del negocio.

Requerimiento 8. Asigne un ID único a cada persona que necesite acceder mediante sistemas informáticos a los datos de titulares de tarjetas.

Requerimiento 9. Restrinja el acceso físico a los datos de titulares de tarjetas.

Monitorice y pruebe su red periódicamente

Requerimiento 10.  Haga seguimiento y monitorización de todos los accesos a la los recursos de red donde se ubiquen los datos de titulares de tarjetas.

Requerimiento 11.  Pruebe regularmente la seguridad de sistemas y procesos.

Mantenga una política de seguridad de la información

Requerimiento 12.  Mantenga una política que contemple la seguridad de la información.

Cada uno de los requerimientos anteriores tiene, a su vez, “requerimientos de detalle” más específicos. Puede conseguir información detallada sobre el estándar en www.pcisecuritystandards.org.

La plataforma de grabación VisionCalidad permite que su centro de contacto cumpla la normativa PCI, ofreciendo control de qué se graba, proporcionando una forma cifrada y segura de almacenamiento y permitiendo localizar y eliminar fácilmente aquella información que no cumpla la normativa.

Adicionalmente cuenta con un completo sistema de seguimiento y auditoría que posibilita conocer en todo momento quién accede a qué elemento de información, desde que ubicación y con qué fin.

/por