Cumplimiento del centro de contacto: cómo mitigar el riesgo

Si deja su centro de contacto expuesto a una mala gestión, procesos laxos o tecnología insuficiente, espere multas, daños a la reputación e incluso acciones regulatorias que le obliguen a dejar de operar (en circunstancias extremas).

El cumplimiento del contact center no es un asunto fácil. Afortunadamente, existen varias funciones del centro de contacto diseñadas para mitigar estos riesgos y ayudarlo a mantenerse al día con los riesgos asociados con la operación en diferentes industrias.

En esta guía, presentamos los riesgos y explicamos cómo sus agentes pueden mantener su centro de contacto seguro y cumplir con las pautas de cumplimiento.

Comencemos por conocer los diferentes tipos de cumplimiento de los centros de contacto.

¿Cuáles son los diferentes tipos de cumplimiento en los centros de contacto?

Desde HIPAA hasta PCI DSS, FINRA y cumplimiento de no discriminación, echemos un vistazo a los diferentes tipos de cumplimiento cuando se trata de centros de contacto.

HIPAA: Ley de Responsabilidad y Portabilidad del Seguro Médico

HIPAA no es solo una de las mejores prácticas para los centros de llamadas de atención médica , sino un conjunto de pautas que toda empresa de atención médica debe cumplir.

Por lo tanto, HIPAA se aplica a las operaciones de los centros de contacto en la industria de la salud, incluidos todos los proveedores de información de salud, cámaras de compensación y cualquier negocio especializado que realice ciertas transacciones de atención médica de forma electrónica.

HIPAA no se aplica a:

• Aseguradoras de vida
• Compañías de compensación laboral
• La mayoría de las escuelas y distritos escolares
• Agencias estatales como agencias de servicios de protección infantil

Para cumplir con el cumplimiento de HIPAA, los agentes deben:

• Verificar las identidades de los pacientes antes de acceder a la información médica
• Transmitir y almacenar datos de salud de forma segura
• Obtener el consentimiento del paciente para compartir información.

Artículo relacionado

¿Nextiva cumple con HIPAA?

PCI DSS: Estándar de seguridad de datos de la industria de tarjetas de pago

El PCI DSS es una de esas pautas de cumplimiento que se aplica no sólo a todos los centros de contacto sino también a cualquier empresa que maneje pagos con tarjeta de crédito.

El PCI DSS dicta que los agentes del centro de contacto deben:

• Nunca almacene datos completos de la tarjeta de crédito
• Utilice sistemas de procesamiento de pagos seguros
• Estar capacitado para identificar y prevenir el fraude con tarjetas de crédito.

Hay cuatro niveles de PCI DSS a los que su centro de contacto puede estar sujeto y que se relacionan con la cantidad de transacciones con tarjeta que procesa cada año:

• PCI Nivel 1 : seis millones de transacciones o más
• PCI Nivel 2 : de un millón a seis millones de transacciones
• PCI Nivel 3 : 20.000 a un millón de transacciones
• PCI Nivel 4 : menos de 20.000 transacciones

Lectura adicional: Cobro de pagos con tarjeta de crédito de forma segura con el IVR avanzado de Nextiva

FINRA: Autoridad Reguladora de la Industria Financiera

Si es un centro de contacto en la industria de servicios financieros, estará sujeto al cumplimiento de FINRA. FINRA afirma que las regulaciones están "dedicadas a proteger a los inversores y salvaguardar la integridad del mercado de una manera que facilite mercados de capital vibrantes".

Las empresas reguladas por FINRA incluyen:

• Empresas de corretaje y distribución
• Corredores de adquisición de capital
• Portales de financiación

FINRA establece que sus agentes deben:

• Mantener registros precisos de los clientes
• Evite hacer recomendaciones de inversión engañosas o no autorizadas
• Cumplir con las normas de cumplimiento de mantenimiento de registros para transacciones financieras.

Cumplimiento de no discriminación

Cada centro de contacto debe cumplir con el cumplimiento de no discriminación. Esto garantiza que todos los agentes, empleadores y empresas no emitan prejuicios, favores o juicios basados ​​en cualquiera de los siguientes factores:

• Carrera
• Color
• Religión
• Sexo
• origen nacional
• Edad
• Discapacidad
• Información genética

El cumplimiento de la no discriminación requiere que los agentes:

• Proporcionar igual servicio a todos los clientes independientemente de posibles factores discriminatorios.
• Evite hacer declaraciones o suposiciones discriminatorias.
• Mantener las políticas de la empresa en materia de diversidad e inclusión.

Cómo los agentes del centro de contacto pueden mantener el cumplimiento

A primera vista, parece que mantener el cumplimiento del contact center debería ser fácil. Pero un entorno ajetreado o agentes que trabajan sin supervisión en varias ubicaciones podrían exponer a su empresa al incumplimiento.

Utilice estos cuatro métodos para proteger su centro de contacto de quejas formales y violaciones de datos devastadoras.

1. Sesiones de formación en profundidad

Cuanto más sabes, más te das cuenta de que no lo sabes. Esta no es sólo una declaración inteligente del filósofo griego Aristóteles, sino un escenario identificable en los centros de contacto.

Proporcionar capacitación periódica a los agentes y supervisores no solo garantizará que estén siempre actualizados sobre las regulaciones pertinentes. También descubrirá áreas de debilidad e incertidumbre. Por ejemplo, si excede su límite de transacciones y ahora está sujeto a un nuevo nivel de PCI, un supervisor puede señalarlo y comunicarlo al grupo.

Bancos como JPMorgan Chase, Wells Fargo y Goldman Sachs invierten en capacitación sobre cumplimiento para garantizar que los empleados comprendan las regulaciones financieras, las leyes aplicables y otros requisitos de cumplimiento específicos de la industria. Todo esto les ayuda a cumplir con una variedad de pautas de cumplimiento del centro de contacto y evitar sanciones masivas.

Del mismo modo, los nuevos agentes pueden no estar seguros acerca de ciertos términos que están o no permitidos al dirigirse a diferentes clientes. Recopile siempre comentarios después de sus sesiones de entrenamiento para mantenerse al tanto.

Google afirma que ofrece una formación rigurosa sobre cumplimiento a sus empleados. Estos cubren áreas como:

• Comportamiento ético
• Requerimientos legales
• Compañía de Policías

Otra área de interés es la capacitación en seguridad de datos, que cubriremos en la siguiente sección.

2. Seguridad de los datos

Los agentes deben estar familiarizados con los protocolos de seguridad de datos de la empresa y seguir los procedimientos para manejar información confidencial de los clientes. Estos pueden aplicarse a leyes estadounidenses como la Ley de Privacidad del Consumidor de California o leyes europeas como el Reglamento General de Protección de Datos.

Los protocolos y procedimientos de los agentes implican la confirmación de las identidades de las personas que llaman y la autenticación multifactor para herramientas internas.

Pero algunos aspectos no son responsabilidad de los agentes. La gestión del contact center y TI se encargan de:

• Enmascaramiento de datos (por ejemplo, ocultar los detalles de la tarjeta de crédito cuando los clientes los ingresan)
• Llamadas telefónicas cifradas (cuando corresponda)
• Auditorías periódicas de cumplimiento
• Planes formales de respuesta a incidentes
• Actualizaciones de software del centro de contacto

El incumplimiento de estas normas o incluso un pequeño error en el procedimiento pueden tener consecuencias importantes. El incumplimiento del cumplimiento de cualquier centro de contacto puede conllevar multas o suspensión, incluso si solo ocurrió una vez.

3. Interacciones con el cliente

Al tratar con clientes, los agentes deben saber qué datos personales pueden y no pueden recopilar o solicitar. Solicitar números de teléfono, datos bancarios y otra información de identificación personal solo debe realizarse después de haber obtenido el consentimiento explícito.

Nota: Necesita esto para cumplir con la Ley de Protección al Consumidor Telefónico .

Incluso si las personas que llaman ofrecen estos detalles ellos mismos, su empresa es responsable de garantizar que los datos del cliente se conserven (con permiso) o se eliminen, según corresponda. También debe prestar especial atención a las listas de no llamar para evitar afectar la lealtad del cliente cuando las personas han optado por no participar, lo que puede incluir entradas manuales en CRM o captura automática al grabar llamadas.

Al inicio de cualquier llamada o interacción omnicanal (chat web, correo electrónico, SMS, etc.), los agentes deben verificar la identidad del cliente antes de acceder a información confidencial. No hacerlo puede permitir que partes no autorizadas accedan a las cuentas y la información de los clientes.

Asegúrese de que todos los agentes del centro de llamadas cumplan con los procedimientos de verificación e identificación siguiendo un estricto proceso de garantía de calidad .

Durante las llamadas, asegúrese de que los agentes eviten hacer comentarios discriminatorios u ofrecer consejos sesgados. Evitar estos comentarios debería estar relacionado con sus planes de capacitación e iniciativas educativas habituales.

También vale la pena mantener una lista de frases comunes que se requieren para mantener el cumplimiento del centro de contacto.

Aquí hay varios ejemplos a considerar:

• “Todas nuestras llamadas son grabadas para capacitación y seguimiento. ¿Está bien para tí?"
• “¿Está de acuerdo con que mantengamos su información registrada?”
• "¿Está bien si utilizamos esa dirección de correo electrónico/número de teléfono con fines de marketing?"
• "¿Le gustaría suscribirse para recibir más actualizaciones?"
• "¿Tenemos permiso para utilizar ese número de contacto para facturación?"

4. Mantenimiento de registros

Al documentar de forma precisa o automática las interacciones con los clientes de acuerdo con las directrices de la empresa, tendrá mayores posibilidades de disponer de datos e información de alta calidad. Depender de la entrada manual de datos o de que los agentes actualicen los registros horas después de una llamada lo deja expuesto a errores y desinformación.

Al actualizar los registros existentes, asegúrese de que solo el personal autorizado pueda realizar cambios en las grabaciones de llamadas, transcripciones, notas y otra información vital.

Si tienes regulaciones específicas para la retención de datos, asegúrate de seguir estas instrucciones hasta el más mínimo detalle. Si los agentes, supervisores o administradores desconocen incluso la más mínima información que se aplica a determinadas transacciones, cambiar incorrectamente un registro podría tener importantes repercusiones.

Cómo las tecnologías de los centros de contacto fortalecen el cumplimiento

Casi todos los centros de contacto deben cumplir con algunas pautas u órganos rectores. Es por eso que vemos muchas funciones que lo ayudan a cumplir con las normas.

Grabacion de llamada

La grabación de llamadas proporciona un registro de las interacciones para su revisión, lo que garantiza que los agentes sigan los procedimientos adecuados y cumplan con las regulaciones.

Puede hacer que la evaluación de llamadas aleatorias o específicas forme parte de su procedimiento de gestión de calidad para asegurarse de que los agentes estén utilizando los scripts correctos, pidiendo a los clientes que pasen la identidad y la verificación, y pausando las grabaciones al capturar los detalles de la tarjeta de crédito.

En la captura de pantalla a continuación, vea cómo Nextiva ofrece una función de pausa/reanudación para mantener el cumplimiento de PCI al manejar pagos.

También puede utilizar la grabación de llamadas para investigaciones y auditorías de cumplimiento. Si hay un incidente y necesita evidencia física de que cumplió con el cumplimiento del centro de contacto, sus grabaciones de llamadas están ahí para mantenerlo seguro.

Seguimiento de disposición

Cuando sus agentes usan códigos de disposición para marcar el tipo de llamada, esto impone una categorización consistente de las llamadas según la naturaleza de cada interacción con el cliente. Esto no solo es útil para saber por qué los clientes lo llaman, sino que también ayuda a identificar áreas donde el cumplimiento podría estar en riesgo.

Por ejemplo, una gran cantidad de llamadas abandonadas en un entorno de llamadas de telemercadeo podría generar preocupaciones sobre la presión de venta. Cuando esto se marca en un informe de disposición, puede investigar problemas potenciales y adelantarse a las preocupaciones de cumplimiento.

Flujos de trabajo de agentes

Cumplir con el cumplimiento del centro de contacto es simple si los agentes tienen un proceso paso a paso para procedimientos complejos.

Los procedimientos de identidad y verificación al inicio de una llamada podrían seguir una lista de verificación de cumplimiento de tres pasos:

• Solicite el nombre y el número de cuenta de la persona que llama
• Verifique la cuenta con una frase de contraseña, información de dirección o número de teléfono
• Confirme una transacción única en su cuenta para mayor seguridad

Estas tácticas son comunes cuando los clientes olvidan su contraseña de banca en línea. Por ejemplo, para verificar que una persona que llama es quien dice ser, debe confirmar la fecha y el monto de una de sus últimas transacciones.

Incluso un proceso tan simple como este reduce el riesgo de omitir pasos de cumplimiento cruciales durante las llamadas y garantiza la coherencia en el manejo de información confidencial.

Con agentes nuevos e incluso experimentados, no es raro ver notas adhesivas, carteles o tarjetas murales con procesos utilizados con frecuencia en una oficina.

Considere utilizar la identificación automática de números (ANI) para acelerar la verificación de identidad.

Entrenamiento y recordatorios impulsados ​​por IA

En la era de la inteligencia artificial y la automatización de los centros de contacto , existen algunas ayudas simples para los agentes que puede presentar. Un asistente de IA puede ayudar a entrenar a los agentes a través de escenarios de manejo de datos confidenciales y marcar recordatorios cuando se salen del guión.

La IA analiza las grabaciones de llamadas en tiempo real para identificar posibles problemas de cumplimiento, como el uso de lenguaje discriminatorio o no mencionar las divulgaciones requeridas. Cuando esto sucede, los agentes reciben una notificación en pantalla y la IA puede informar a los supervisores para que puedan hacerse cargo de la llamada.

Después del evento, estas llamadas se marcan para su revisión. Puede utilizar llamadas buenas y malas para capacitar a nuevos agentes eliminando la teoría e introduciendo escenarios del mundo real.

Auditoría y grabación de llamadas asistidas por IA

La IA también puede ayudar al escanear grabaciones de llamadas en busca de palabras clave o frases que puedan indicar una infracción de cumplimiento.

Mediante el análisis de sentimientos y el reconocimiento de palabras clave, puede marcar llamadas para revisión humana, priorizar interacciones de alto riesgo y aumentar la eficiencia de la auditoría.

Este sistema elimina la tensión y la posibilidad de error humano en comparación con la verificación manual de las grabaciones de llamadas, lo que libera a los revisores humanos para que se concentren en casos complejos.

También viene con la ventaja de realizar un seguimiento de la experiencia del cliente. Cuando las personas que llaman utilizan palabras que indican mucha emoción o estrés, puede ayudarle a detectar llamadas que deben ser monitoreadas por motivos de cumplimiento.

Mantenga el cumplimiento de la plataforma segura de Nextiva

La capacitación, el mantenimiento de registros y el aprendizaje constante son cruciales para mantener el cumplimiento del centro de contacto.

Sin esto, podría exponerse a más riesgos de los que esperaba.

Las plataformas de centros de contacto como Nextiva brindan comunicaciones seguras y confiables a todos los clientes, independientemente de la industria.

Limitamos algunas funciones de las cuentas que cumplen con HIPAA para proteger los datos privados de los pacientes. Esto ayuda a las empresas a cumplir con las normas sin realizar ningún cambio.

Recientemente, hemos ajustado las siguientes características:

• Correo de voz visual: deshabilitado
• Aplicación Nextiva: funcionalidad de reproducción de correo de voz deshabilitada
• Correo de voz a correo electrónico o mensaje de texto: deshabilitado
• vFAX: funcionalidad deshabilitada que permite el envío de faxes desde un correo electrónico (aún puede ver los faxes entrantes utilizando un enlace de correo electrónico seguro o iniciando sesión en su portal)

Nextiva también ejecuta un Acuerdo de socio comercial que aborda nuestros servicios cubiertos y establece las reglas de privacidad, seguridad y notificación de incumplimiento requeridas para los socios comerciales según HIPAA.

Gracias a la grabación de llamadas avanzada, nuestro sólido conjunto de funciones también permite el cumplimiento de PCI DSS. Puede grabar todas las llamadas para capacitación y monitoreo y usar la función Pausa/Reanudar para que no se registren los detalles de la tarjeta.

Puede agregar medidas de seguridad de datos específicas y flujos de trabajo de agentes gracias a nuestro intuitivo generador de reconocimiento de voz interactivo, ANI y muchas otras características diseñadas para mantenerlo encaminado.