Conformidade do contact center: como mitigar riscos

Se você deixar seu contact center exposto a uma governança inadequada, processos frouxos ou tecnologia insuficiente, poderá esperar multas, danos à reputação e até mesmo ações regulatórias que exijam que você pare de operar (em circunstâncias extremas).

A conformidade do contact center não é uma questão fácil. Felizmente, existem vários recursos de contact center projetados para mitigar esses riscos e ajudá-lo a se manter atualizado com os riscos associados à operação em diferentes setores.

Neste guia, apresentamos os riscos e explicamos como seus agentes podem manter seu contact center seguro e aderir às diretrizes de conformidade.

Vamos começar conhecendo os diferentes tipos de compliance do contact center.

Quais são os diferentes tipos de conformidade em contact centers?

Da HIPAA ao PCI DSS, da FINRA à conformidade com a não discriminação, vamos dar uma olhada nos diferentes tipos de conformidade quando se trata de contact centers.

HIPAA: Lei de Portabilidade e Responsabilidade de Seguro Saúde

A HIPAA não é apenas uma prática recomendada para call centers de saúde, mas um conjunto de diretrizes que todas as empresas de saúde devem seguir.

Portanto, a HIPAA se aplica a operações de contact center no setor de saúde, incluindo todos os provedores de informações de saúde, câmaras de compensação e quaisquer empresas de nicho que conduzam determinadas transações de saúde eletronicamente.

HIPAA não se aplica a:

• Seguradoras de vida
• Transportadoras de acidentes de trabalho
• A maioria das escolas e distritos escolares
• Agências estaduais, como agências de serviços de proteção à criança

Para aderir à conformidade com a HIPAA, os agentes devem:

• Verifique as identidades dos pacientes antes de acessar informações médicas
• Transmita e armazene dados de saúde com segurança
• Obtenha o consentimento do paciente para compartilhar informações

Artigo relacionado

O Nextiva é compatível com HIPAA?

PCI DSS: Padrão de segurança de dados da indústria de cartões de pagamento

O PCI DSS é uma daquelas diretrizes de conformidade que se aplica não apenas a todos os contact centers, mas também a qualquer empresa que lide com pagamentos com cartão de crédito.

O PCI DSS determina que os agentes do contact center devem:

• Nunca armazene dados completos do cartão de crédito
• Use sistemas seguros de processamento de pagamentos
• Seja treinado para identificar e prevenir fraudes com cartão de crédito

Existem quatro níveis de PCI DSS aos quais seu contact center pode estar sujeito, relacionados ao número de transações com cartão que você processa a cada ano:

• PCI Nível 1 : seis milhões de transações ou mais
• PCI Nível 2 : um milhão a seis milhões de transações
• PCI Nível 3 : 20.000 a um milhão de transações
• PCI Nível 4 : menos de 20.000 transações

Leitura adicional: Coletando pagamentos com cartão de crédito com segurança com IVR avançado do Nextiva

FINRA: Autoridade Reguladora da Indústria Financeira

Se você for um contact center no setor de serviços financeiros, estará sujeito à conformidade com a FINRA. A FINRA afirma que os regulamentos são “dedicados a proteger os investidores e a salvaguardar a integridade do mercado de uma forma que facilite mercados de capitais vibrantes”.

As empresas regulamentadas pela FINRA incluem:

• Firmas corretoras
• Corretores de aquisição de capital
• Portais de financiamento

FINRA afirma que seus agentes devem:

• Mantenha registros precisos dos clientes
• Evite fazer recomendações de investimento enganosas ou não autorizadas
• Cumprir os regulamentos de conformidade de manutenção de registros para transações financeiras

Conformidade com a não discriminação

Cada contact center deve aderir à conformidade com a não discriminação. Isso garante que todos os agentes, empregadores e empresas não emitam preconceitos, favoreçam ou julguem com base em qualquer um dos seguintes fatores:

• Corrida
• Cor
• Religião
• Sexo
• origem nacional
• Idade
• Incapacidade
• Informação genética

A conformidade com a não discriminação exige que os agentes:

• Fornecer serviço igual a todos os clientes, independentemente de potenciais fatores discriminatórios
• Evite fazer declarações ou suposições discriminatórias
• Defender as políticas da empresa sobre diversidade e inclusão

Como os agentes do contact center podem manter a conformidade

Superficialmente, parece que manter a conformidade do contact center deveria ser fácil. Mas um ambiente movimentado ou agentes que trabalham sem monitoramento em vários locais podem expor sua empresa à não conformidade.

Use esses quatro métodos para proteger seu contact center contra reclamações formais e violações de dados devastadoras.

1. Sessões de treinamento aprofundadas

Quanto mais você sabe, mais você percebe que não sabe. Esta não é apenas uma declaração inteligente do filósofo grego Aristóteles, mas um cenário relacionável em contact centers.

Fornecer treinamento regular a agentes e supervisores não apenas garantirá que eles estejam sempre atualizados sobre as regulamentações relevantes. Também revelará áreas de fraqueza e incerteza. Por exemplo, se você exceder seu limite de transações e agora estiver sujeito a um novo nível de PCI, um supervisor poderá sinalizar isso e comunicar ao grupo.

Bancos como JPMorgan Chase, Wells Fargo e Goldman Sachs investem em treinamento de compliance para garantir que os funcionários entendam os regulamentos financeiros, as leis aplicáveis ​​e outros requisitos de compliance específicos do setor. Tudo isso os ajuda a aderir a uma variedade de diretrizes de conformidade do contact center e a evitar penalidades massivas.

Da mesma forma, novos agentes podem não ter certeza sobre certos termos que são/não são permitidos ao abordar clientes diferentes. Sempre colete feedback após suas sessões de treinamento para se manter atualizado.

O Google afirma que oferece treinamento rigoroso de conformidade aos seus funcionários. Eles cobrem áreas como:

• Comportamento ético
• Requerimentos legais
• Políticas da empresa

Outra área de foco é o treinamento em segurança de dados, que abordaremos na próxima seção.

2. Segurança de dados

Os agentes devem estar familiarizados com os protocolos de segurança de dados da empresa e seguir procedimentos para lidar com informações confidenciais dos clientes. Estas podem aplicar-se às leis dos EUA, como a Lei de Privacidade do Consumidor da Califórnia, ou às leis europeias, como o Regulamento Geral de Proteção de Dados.

Os protocolos e procedimentos do agente envolvem a confirmação das identidades do chamador e a autenticação multifatorial para ferramentas internas.

Mas alguns aspectos não são de responsabilidade dos agentes. A gestão do contact center e a TI são responsáveis ​​por:

• Mascaramento de dados (por exemplo, ocultar detalhes do cartão de crédito quando os clientes os inserem)
• Chamadas telefônicas criptografadas (quando relevante)
• Auditorias regulares de conformidade
• Planos formais de resposta a incidentes
• Atualizações de software do contact center

O não cumprimento dessas regras ou mesmo uma pequena falha no procedimento pode levar a consequências significativas. O não cumprimento de qualquer compliance do contact center pode acarretar multas ou suspensão, mesmo que tenha acontecido apenas uma vez.

3. Interações com o cliente

Ao lidar com clientes, os agentes devem saber quais dados pessoais podem ou não coletar ou solicitar. A solicitação de números de telefone, dados bancários e outras informações de identificação pessoal só deve ser feita após você obter consentimento explícito.

Observação: você precisa disso para aderir à Lei de Proteção ao Consumidor de Telefonia .

Mesmo que os próprios chamadores forneçam esses detalhes, sua empresa é responsável por garantir que os dados do cliente sejam retidos (com permissão) ou excluídos, conforme apropriado. Você também deve prestar atenção específica às listas de não ligar para evitar impactar a fidelidade do cliente quando as pessoas optarem por não participar, o que pode incluir entradas manuais em CRMs ou captura automática ao gravar chamadas.

No início de qualquer chamada ou interação omnicanal (chat web, e-mail, SMS, etc.), os agentes devem verificar a identidade do cliente antes de acessar informações confidenciais. Não fazer isso pode permitir que partes não autorizadas acessem contas e informações de clientes.

Certifique-se de que todos os agentes do call center cumpram os procedimentos de verificação e identificação, seguindo um rigoroso processo de garantia de qualidade .

Durante as ligações, certifique-se de que os agentes evitem fazer comentários discriminatórios ou oferecer conselhos tendenciosos. Evitar esses comentários deve estar vinculado aos seus planos regulares de treinamento e iniciativas educacionais.

Também vale a pena manter uma lista de frases comuns necessárias para manter a conformidade do contact center.

Aqui estão vários exemplos a serem considerados:

• “Todas as nossas ligações são gravadas para treinamento e acompanhamento. Está tudo bem com você?"
• “Você concorda que mantenhamos suas informações registradas?”
• “Tudo bem se usarmos esse endereço de e-mail/número de telefone para fins de marketing?”
• “Gostaria de optar por receber mais atualizações?”
• “Temos permissão para usar esse número de contato para cobrança?”

4. Manutenção de registros

Ao documentar de forma precisa ou automática as interações com os clientes de acordo com as diretrizes da empresa, você tem mais chances de obter dados e informações de alta qualidade. Depender da entrada manual de dados ou da atualização de registros por agentes horas após uma chamada deixa você vulnerável a erros e informações incorretas.

Ao atualizar os registros existentes, certifique-se de que apenas pessoal autorizado possa fazer alterações nas gravações de chamadas, transcrições, notas e outras informações vitais.

Se você tiver regulamentos específicos para retenção de dados, certifique-se de seguir estas instruções nos mínimos detalhes. Se os agentes, supervisores ou administradores não tiverem conhecimento da menor informação que se aplica a determinadas transações, a alteração incorreta de um registro poderá ter grandes repercussões.

Como as tecnologias de contact center fortalecem a conformidade

Quase todo contact center deve obedecer a algumas diretrizes ou órgão regulador. É por isso que vemos muitos recursos que ajudam você a manter a conformidade.

Gravação de chamadas

A gravação de chamadas fornece um registro das interações para revisão, garantindo que os agentes sigam os procedimentos adequados e cumpram os regulamentos.

Você pode tornar a avaliação de chamadas aleatórias ou direcionadas parte de seu procedimento de gerenciamento de qualidade para garantir que os agentes estejam usando os scripts corretos, solicitando aos clientes que passem a identidade e a verificação e pausando as gravações ao capturar detalhes do cartão de crédito.

Na captura de tela abaixo, veja como o Nextiva oferece uma função Pausar/Retomar para manter sua conformidade com PCI ao lidar com pagamentos.

Você também pode usar a gravação de chamadas para auditorias e investigações de conformidade. Se houver um incidente e você precisar de provas físicas de que cumpriu a conformidade do contact center, suas gravações de chamadas estarão lá para mantê-lo seguro.

Rastreamento de disposição

Quando seus agentes usam códigos de disposição para sinalizar o tipo de chamada, isso impõe uma categorização consistente de chamadas com base na natureza de cada interação com o cliente. Isso não só é útil para saber por que os clientes estão ligando para você, mas também ajuda a identificar áreas onde a conformidade pode estar em risco.

Por exemplo, um elevado número de chamadas abandonadas num ambiente de chamadas de telemarketing pode suscitar preocupações de venda sob pressão. Quando isso é sinalizado em um relatório de disposição, você pode investigar possíveis problemas e antecipar-se às preocupações de conformidade.

Fluxos de trabalho do agente

Manter a conformidade do contact center é simples se os agentes tiverem um processo passo a passo para procedimentos complexos.

Os procedimentos de identidade e verificação no início de uma chamada podem seguir uma lista de verificação de conformidade em três etapas:

• Peça o nome e o número da conta do chamador
• Verifique a conta com uma senha, informações de endereço ou número de telefone
• Confirme uma transação exclusiva em sua conta para segurança extra

Essas táticas são comuns quando os clientes esquecem a senha do banco online. Por exemplo, para verificar se o chamador é quem diz ser, ele deve confirmar a data e o valor de uma de suas últimas transações.

Mesmo um processo tão simples como este reduz o risco de perder etapas cruciais de conformidade durante as chamadas e garante consistência no tratamento de informações confidenciais.

Com agentes novos e até mesmo experientes, não é incomum ver post-its, pôsteres ou cartões de parede com processos usados ​​com frequência em um escritório.

Considere usar a identificação automática de número (ANI) para acelerar a verificação de identidade.

Treinamento e lembretes com tecnologia de IA

Na era da IA ​​e da automação do contact center , existem algumas assistências simples para agentes que você pode introduzir. Um assistente de IA pode ajudar a orientar os agentes em cenários de manipulação de dados confidenciais e sinalizar lembretes quando eles estão saindo do script.

A IA analisa gravações de chamadas em tempo real para identificar possíveis problemas de conformidade, como o uso de linguagem discriminatória ou a não menção das divulgações exigidas. Quando isso acontece, os agentes recebem uma notificação na tela e a IA pode informar os supervisores para que eles possam atender a chamada.

Após o evento, essas chamadas são sinalizadas para revisão. Você pode usar chamadas boas e ruins para treinar novos agentes, removendo a teoria e introduzindo cenários do mundo real.

Auditoria e gravação de chamadas assistidas por IA

A IA também pode ajudar, verificando as gravações de chamadas em busca de palavras-chave ou frases que possam indicar uma violação de conformidade.

Usando análise de sentimento e reconhecimento de palavras-chave, você pode sinalizar chamadas para revisão humana, priorizando interações de alto risco e aumentando a eficiência da auditoria.

Este sistema elimina a tensão e o potencial de erro humano em comparação com a verificação manual das gravações de chamadas, liberando os revisores humanos para se concentrarem em casos complexos.

Ele também vem com a vantagem de rastrear a experiência do cliente. Quando os chamadores usam palavras que indicam muita emoção ou estresse, isso pode ajudar a detectar chamadas que precisam ser monitoradas por motivos de conformidade.

Mantenha a conformidade com a plataforma segura do Nextiva

Treinamento, manutenção de registros e aprendizado constante são cruciais para manter a conformidade do contact center.

Sem isso, você poderá se expor a mais riscos do que esperava.

Plataformas de contact center como Nextiva fornecem comunicações seguras e confiáveis ​​para todos os clientes, independentemente do setor.

Limitamos algumas funcionalidades para contas compatíveis com HIPAA para proteger dados privados de pacientes. Isso ajuda as empresas a permanecerem em conformidade sem fazer quaisquer alterações.

Recentemente, ajustamos os seguintes recursos:

• Correio de voz visual: desativado
• Aplicativo Nextiva: funcionalidade de repetição de correio de voz desativada
• Correio de voz para e-mail ou texto: desativado
• vFAX: funcionalidade desativada que permite o envio de faxes a partir de um e-mail (você ainda pode visualizar os faxes recebidos usando um link de e-mail seguro ou fazendo login no seu portal)

Nextiva também assina um Contrato de Parceiro Comercial que aborda nossos serviços cobertos e declara as regras de privacidade, segurança e notificação de violação exigidas para parceiros comerciais sob HIPAA.

Graças à gravação avançada de chamadas, nosso conjunto robusto de recursos também permite conformidade com PCI DSS. Você pode gravar todas as chamadas para treinamento e monitoramento e usar a função Pausar/Retomar para que os detalhes do cartão não sejam registrados.

Você pode adicionar medidas específicas de segurança de dados e fluxos de trabalho de agentes por causa de nosso construtor intuitivo de reconhecimento de voz interativo, ANI e muitos outros recursos projetados para mantê-lo no caminho certo.