确保呼叫中心安全可靠

    说到确保呼叫中心数据安全，Greg Boles认为有必要做好基本工作，先从调查新员工入手。Boles是风险管理咨询公司Aon Consulting派驻加利福尼亚州威胁管理和安全服务部门的负责人。

    Boles说: “雇主们通常会进行表面调查，但常常不够深入全面，随后又不采取后续措施。雇主应当开展非常深入全面的背景调查，然后按规定不断进行背景调查和毒品检验，并把它作为一项工作条件。要是某个员工出现财务紧张、家庭暴力、违反限制令，或者对毒品有依赖性，那么他有可能存在滥用职位的动机。”

    一旦发现如果某个人有窃取信息的动机，公司的下一道防线就是尽量加大窃取数据的难度。Boles表示，要对允许带入数据中心的设备进行限制，这实际上禁止使用以数字方式装入数据的任何设备，比如光盘、USB驱动器和闪存。这样做，对防范不太明显的获取机密信息的方式比较有效。

    Boles同时还认为，技术虽然会带来风险，但是也助于缓解风险。“比方说，瘦客户机和虚拟机就可以让呼叫中心运营商对工作人员的桌面系统能够处理哪些任务实行最大限度的控制，而且更重要的是可以控制规定哪些任务不能处理，这样就可以禁止有人在未经允许的情况下下载数据。”

    Howard Schmidt曾经在微软和e-Bay担任首席信息安全官，如今是非营利组织ISC的一员。他认为通过技术来控制员工的行为只能是后备机制。“基本工作必须放在首位。”

    除了员工审查和设备限制等控制措施外，列入Schmidt自己“基本工作”清单的还有“数据修订”。“在工作人员的屏幕上只显示数据字段的一部分，比如从不显示完整的信用卡号码和出生日期。工作人员很少需要这样的信息，所以有必要限制数据完整性。在大多数情况下，工作人员只需要信用卡的后四位数字，或者出生的年份和月份。”Schmidt说。

    Schmidt提倡的这种“修订”机制也是全球数据安全标准（PCI DSS）的推荐措施之一，并且得到VISA、万事达和运通等信用卡组织的竭力提倡。

    支付卡行业安全标准委员会（Security Standards Council）的总干事Bob Russo表示，像这样一项面向整个行业的数字数据安全标准，可能比一种甚至更多种不同的解决方案更加安全可靠。

    PCI DSS在2004年12月发布了相关数字数据安全标准的1.0版本，2006年9月推出了1.1更新版本。Russo表示，处理信用卡支付的任何呼叫中心都应当遵守这项标准。“如果一家呼叫中心存储、处理或传输信用卡数据，那么它基本上就要满足遵守这项标准的要求。虽然遵守这项标准是强制性的，但只有‘一级’呼叫中心（每年处理的信用卡交易超过600万笔的呼叫中心）通过审计来证明它遵守了该标准。”