[:en]Cybersecurity in the call center: How to protect client data[:ru]Кибербезопасность в колл-центре: Как защитить данные клиентов[:ua]Кібербезпекa в кол-центрі: Як захистити дaні клієнтів[:pl]Cyberbezpieczeństwo w call center: Jak chronić dane klientów[:es]Cybersecurity en el сall сenter: Cómo proteger los datos de los clientes[:tr]Kiber güvenlik çağrı merkezinde: Müşteri verilerini nasıl koruruz[:]

[:en]Call records, chat correspondence, CRM forms store not only the name and phone of the client, but also more vulnerable information: address, passport details, financial accounts, etc. Data protection is an important element of call center operations, but if the information falls into the network or into the hands of malicious individuals, you can forget about customer trust. In this article, we will explain what is cybersecurity, what threats exist, and how using Oki-Toki can secure your data.

Cybersecurity and its importance for call centers

Cybersecurity definition refers to the actions taken to protect personal data regarding the company and its clients.. It is the duty of call centers to secure information about calls, forms, user access to the system, and API keys for integrations.

Ensuring data security has become more difficult because:

• employees work from various devices and locations;
• they use multiple communication channels: calls, chats, social networks, email;

All of this increases the opportunities for cyberattacks and fraud. To avoid data or access loss, call centers face the important task of organizing a comprehensive approach to security policy.

Cybersecurity threats in real work

Security threats in the call center can be conditionally divided into two types:

External threats – attempts of hacking and deception \”from outside\” to gain access to the system or confidential information. This could be:

• Phishing or malicious emails – an employee receives an email with a link or attachment through mail or in the work chat. After clicking on the link, a malicious program opens access to personal information.
• Social engineering – fraudsters do not hack the system, but deceive a person. They call or write, can pretend to be a colleague from another department or the director. Their goal is to gain trust and make the employee reveal passwords or pass on client data.

External attacks are the result of human error. Training and additional education of employees will help learn to notice threats in time and not fall for the trick.

Internal threats – consequences of incorrect settings and actions within the company. These can include:

• Weak passwords – easy to guess, meaning the possibility of entering the system;
• Access after dismissal – if the account of a former employee is not blocked, he may use internal information for personal purposes;
• Access rights – if a user has more rights than needed for their duties, the risk of confidential data leakage increases.

Cybersecurity threats do not require special technical knowledge, but without attention to them, no data leak protection will work effectively.

Where security begins?

Registering a new user in Oki-Toki

You can add an employee if you have the “User management” right. Sending an invitation requires only an email – issue the new employee a corporate email (if provided) or let them provide their own.

The user has 7 days to confirm registration and log into the system.

What is required from the new employee upon registration:

• A truly strong password. The variety of signs (numbers, uppercase and lowercase letters, special symbols) increases the number of possible combinations when auto-selecting a password – millions of possibilities.
• Prevent password leakage or transfer to third parties. The access code should remain confidential. Do not pass it to colleagues, store in browsers, or use the auto-login feature on devices accessible by others. Do not write passwords on paper or in unencrypted files on the computer.
• Trust modern password storage services – “Google password manager”, “Bitwarden”, “Lastpass” and so on.

A strong password – the first and very important stage of security in contact centers.

Access management: roles and projects

“Roles” define user permissions in the system. For example, an agent sees only their own calls and widget data, while a supervisor sees statistics and reports. You can use default roles “Admin”, “Agent”, “Supervisor” or create your own. A role is determined at the moment of user invitation so they have access only to the necessary sections.

With “Projects” you can divide work according to different business processes or company tasks, isolating them from each other. Users will only see data pertaining to their directions. This helps control employee access and maintain confidentiality. The right “See everything, regardless of projects” provides access to all data. By default, this permission is included in the “Admin” role.

What to do with dismissed employee\’s access?

If the employee will no longer work at your company – it’s important to immediately disconnect them from the service. By using the “Access to system” checkbox in the user\’s profile, you can block the ability to log in while preserving the data about their work.

Once the reports are collected — transfer the user to the archive. After the data retention period expires, archived users will be automatically deleted. To manually remove an employee, you can exclude them from the company, but it is important to remember that you cannot collect reports after this action.

Useful security options in Oki-Toki.

For contact center security, protecting the personal information of clients is not just a requirement but a duty. In Oki-Toki, there are many options that create additional levels of protection and help control access to data. Let\’s look at each solution in detail.

Integration with social networks

For logging into the system, you can use a Google or Facebook account. Linking the account is available in the profile settings.

After connecting, an email will be sent to confirm. Now you can log into the system using the social network or a regular password.Why is this needed? First, it\’s convenient – fewer data for login, fewer reasons to forget a password. Second, it\’s safe: Google and Facebook use their own security systems, and you essentially transfer this protection to your access to Oki-Toki.

Two-factor authentication (2FA)

“Two-factor authentication” is an additional identity confirmation through an authorized app on your phone. Even if the password is stolen, entry will not be possible without the code.To connect 2FA, go to user settings and download “Google Authenticator” or “Microsoft Authenticator” to your phone. Choose the app and version for Android or IOS. After installing the app, press the “Connect” button to activate authentication.

Now, when trying to log into the account, you will need to enter the code from the app. If the user has the right “Edit profile,” disabling two-factor authentication is possible at any time. Disabling the feature for other employees is permitted with the \”User management\” right.

Login from allowed IP Aaddresses

Limiting by IP means that connection to the system is allowed only from specific addresses. For example, from the office internet. This can exclude attempts to access from other devices or networks. You can enter a list of trusted IPs in company settings. Specify one or several addresses from which users can log into Oki-Toki. This is an additional level of security that is worth using if the company has fixed workplaces and a constant IP address.

If your company has IP restriction enabled, but some employees need access from any address, this can be configured through roles. Activate the option “Ignore allowed IPs”, and such users will be able to log into the system from any IP address.

API keys and their security

API (Application Programming Interface) is a tool for integration with other servers and services. It allows exchanging data or performing simple operations for business processes – for example, integration with CRM. Access to data exchange is protected by a key called “API Token”. Such a key can be generated for an employee in profile settings.

Security of API keys in Oki-Toki is implemented as follows:

• Limited access by role and project – the token can only be used with the right “Manage external resources, integrations, and events (Webhook)” and only within the project the member is part of;
• Token limit – only one API-key can be generated for a user;
• Logging of API calls in reports, each API request is recorded in the “Action Log”;
• Daily statistics of token usage collected in the “API Usage” widget in the “Service Management” section.

Hiding the client\’s number from the agent

This option hides the phone number of the client from the agent, showing it as partially masked (for example, +39*******88). The number is hidden in call history, dialer, and CRM form.To use this option, create a new role for agents, where the right “See masked fields” will be inactive. In this case, users will only see part of the number. Thus, the likelihood of lead and client database leakage through the agent\’s place is minimized.

Important! Data in reports remains open, so agents should not have access to call center reporting in the personal cabinet.

Monitoring users and actions in Oki-Toki

Despite the various options for protecting the workplace, leaks are still possible through the “Personal Cabinet”. “Supervisor”, “Administrator”, or “Agent” with excessive rights can listen, download recordings, and export reports. It’s impossible to protect from report and record exports in such cases, but performed actions are thoroughly logged.

In Oki-Toki, you can monitor different user actions with reports:

• Change log – an additional panel with data about who and when made changes in any section of thesystem. Access to view logs is provided by the right “View change log”, available by default for the “Admin” role.

• Action log – this contains information about the activity of employees in Oki-Toki. It records both standard actions in the system and API requests. Searching is available by period, user, or type of request. The generated report will display information about the user, the exact time of command execution, the URL of the page where the action was performed, and the API call parameters.

• Active sessions – a report consisting of two sections:
  • “Administrative interface” – data about the user, their role, IP address, the last URL they visited, and the time;
  • “Agent workplace” – information about agents, statuses at the workspace, and time spent in them, the name of the queue/dialer, and call id if there are active dialogs.
• Login log – it collects information about user logins into the system: date, time, IP address, browser name, and its version.

• Listening to audio recordings – information about who listened to or exported an audio file is collected in the action history with audio recordings in the Call log.

Cybersecurity and data protection are part of the security of a call center. It is important to remember that accesses and rights should correspond to the duties of the employee, and actions should be logged in the system. Implement additional security options, let it be a rule rather than an exception. This will help reduce risks, and most importantly, maintain customers\’ trust in the company.[:ru]Зaписи разговоров, переписка в чатах, анкеты CRM хранят не только имя и телефон клиента, а и более уязвимую информацию: адрес, паспортные данные, финансовые счета и тд. Зaщита данных – важный элемент работы колл-центра, но если информация окажется в сети или у злоумышленников, о доверии клиентов можно забыть. 

В статье мы расскажем, что такое кибербезопaсность, какие бывают угрозы и как с помощью Оки-Токи можно обезопасить ваши данные.

Кибербезопасность и ее значение для колл-центров

Кибербезопасность – это действия, нaправленные на защиту персональных данных о компании и клиентах. Обязанностью колл-центров является сохранность информации о звонках, анкетах, доступах пользователей к системе и API-ключей для интеграций. 

Обеспечить безопасность информации стало труднее, так как:

• сотрудники работают с разных устройств и локаций; 
• используют множество каналов связи: звонки, чаты, социальные сети, почту;

Всё это увеличивает возможности для киберaтак и мошенничества. Чтобы избежать потери данных или доступов, перед колл-центром стоит важная задача – организовать комплексный подход к политике безопасности.

Угрозы кибербезопасности в реальной работе

Угрозы безопасности в колл-центре можно условно разделить на два вида:

Внешние угрозы – это попытки взлома и обмана “извне” для получения доступа к системе или конфиденциальным сведениям. Это может быть:

• Фишинг или вредоносные письма – сотрудник получает письмо со ссылкой или вложением по почте или в рабочем чате. После перехода по ссылке вредоносная программа открывает доступ к личной информации. 
• Социальная инженерия – мошенники не взламывают систему, а обманывают человека. Они звонят или пишут, могут выдать себя коллегой из соседнего отдела или директором. Их задача войти в доверие и добиться, чтобы сотрудник сам рассказал пароли или передал данные клиента.

Внешние атаки – результат человеческой ошибки. Тренинги и дополнительное обучение сотрудников помогут научиться вовремя замечать угрозу и не попасться на уловку.

Внутренние угрозы – последствия неправильных настроек и действий внутри компании. К ним можно отнести:

• Слабые пароли – легко подобрать, a значит получить возможность входа в систему;
• Доступы после увольнения – если aккаунт бывшего сотрудника не заблокирован, он может использовать внутреннюю информацию в личных целях;
• Права доступa – если у пользователя их больше, чем нужно для выполнения обязанностей, риск утечки конфиденциальных данных возрастает.

Угрозы кибербезопасности не требуют особых технических знаний, но без внимания к ним никакая защита от утечек информации не будет работать эффективно.

С чего начинается безопасность?

Регистрация нового пользователя в Оки-Токи

Добавить сотрудника можно при наличии права ”Управление пользователями”. Для отправки приглашения достаточно электронной почты – выдайте новому сотруднику корпоративный e-mail (если предусмотрен) или пусть предоставит собственный.

У пользователя есть 7 дней, чтобы подтвердить регистрацию и зайти в систему.

Что требуется от нового сотрудника при регистрации:

• Действительно нaдежный пароль. Разнообразие знаков (цифры, большие и маленькие буквы, спецсимволы) увеличивает количество возможных комбинаций при автоподборе пароля – миллионы возможных вариантов. 
• Исключить утечку пaроля или передачу третьим лицам. Код доступа должен оставаться конфиденциальным. Не нужно передавать его коллегам, хранить в браузерах или использовать функцию aвтоматического входа на устройствах, к которым есть доступ у других людей. Не зaписывайте пароли на бумаге или в незашифрованных файлах на компьютере.
• Довериться современным сервисaм хранения паролей – “Google менеджер паролей”, “Bitwarden”, “Lastpass” и тд.

Надёжный пароль – первый и очень важный этап безопасности контакт-центров.

Управление доступом: роли и проекты

“Роли” определяют полномочия пользователя в системе. Например, оператор видит только свои звонки и данные виджетов, а супервайзер — статистику и отчёты. Можно применять дефолтные роли “Админ”, “Оператор”, “Супервайзер” или создавать собственные. Роль устанавливается в момент приглашения пользователя, чтобы у него был доступ только к нужным разделам.

С помощью “Проектов” можно разделить работу по разным бизнес-процессам или задачам компании, изолируя их друг от друга. Пользователи будут видеть только данные своих направлений. Это помогает контролировать доступы сотрудников и поддерживать конфиденциальность. Право “Видеть всё, независимо от проектов” дает доступ ко всем данным. По умолчанию такое разрешение есть в роли “Админ”. 

Что делать с доступом уволенного сотрудника?

Если сотрудник больше не будет работать в вашей компании – важно сразу отключить его от сервиса. С помощью чекбокса “Доступ к системе” в профиле пользователя можно заблокировать возможность входа, сохранив данные о его работе.

Когда отчётность собрана — перенесите пользователя в архив. По истечению срока хранения данных, архивные пользователи будут удалены автоматически. Вручную удалить сотрудника можно, исключив его из компании, но важно помнить, что собрать отчетность после этого действия не удастся.

Полезные опции безопасности в Оки-Токи.

Для колл-центров сохранность личной информации клиентов — это не просто требование, а обязанность. В Оки-Токи есть много опций, которые создают дополнительные уровни защиты и помогают контролировать доступ к данным. Рассмотрим детальнее каждое из решений.

Интеграция с социальными сетями

Для входа в систему можно использовать учётную запись Google или Facebook. Привязка аккаунта доступна в настройках профиля.

После подключения на почту придёт письмо с подтверждением. Теперь авторизоваться в системе можно как через соцсеть, так и по обычному паролю.

Зaчем это нужно? Во-первых, это удобно – меньше данных для входа, меньше поводов забыть пароль. Во-вторых, это безопaсно: Google и Facebook используют собственные системы защиты, и вы фактически переносите эту защиту на доступ к Оки-Токи. 

Двухфакторная аутентификация (2FA)

“Двухфакторка” — это дополнительное подтверждение личности через авторизованное приложение на телефоне. Даже если пароль украдут, без кода войти не получится.

Для подключения 2FA перейдите в настройки пользовaтеля и скачайте “Google Authenticator” или “Microsoft Authenticator” себе на телефон. Выберите приложение и версию для Аndroid или IOS. После установки приложения нажмите кнопку “Подключить” для активации аутентификации. 

Теперь при попытке войти в аккаунт нужно будет ввести код из приложения. Если у пользователя есть право “Редактировать профиль” отключить двухфакторную аутентификацию можно в любое время. Отключать опцию у других сотрудников дает право \”Управление пользователями\”.

Вход по разрешённым IP-адресам

Ограничение по IP — это когда разрешено подключаться в систему только с определённых адресов. Например, с офисного интернета. Так можно исключить попытки доступа с чужих устройств или из других сетей. 

Внести список доверенных IP можно в настройках компании. Укажите один или несколько адресов с которых пользователи смогут зайти в Оки-Токи. Это дополнительный уровень безопасности, который стоит использовать, если в компании есть фиксированные рабочие места и постоянный IP-адрес.

Если для вaшей компании включено ограничение по IP, но некоторым сотрудникам нужен доступ с любых адресов, это настраивается через роли. Aктивируйте опцию “Игнорировать разрешённые IP”, и такой пользователь сможет заходить в систему с любого IP-адреса.

API ключи и их сохранность

API (Application Programming Interface) – это инструмент интеграции с другими серверами и сервисами. Позволяет обмениваться данными или выполнять простые операции для бизнес-процессов – например, интеграция с CRM.
Доступ к обмену данными защищен ключом, который называется “API Token”. 

Такой ключ можно сгенерировать для сотрудника в настройках профиля. Безопасность API-ключей в Оки-Токи реализована следующим образом:

• Доступ ограничен ролью и проектом – использовать токен можно только с правом “Управление внешними ресурсами, интеграциями и событиями (Webhook)” и только в рамках того проекта, где состоит участник;
• Лимит токенов – для одного пользователя можно сгенерировать только один API-ключ;
• Логирование API-вызовов в отчетах, каждый API запрос фиксируется в “Журнале действий”;
• Ежедневная статистика использования токенов собрана в виджете “Использование API” в разделе “Управление услугами”.

Скрытие номера клиента для оператора

Эта опция скрывает номер телефона клиента от оператора, показывая его в виде частично замаскированного (например, +39*******88). Номер скрывается в истории звонков, номеронабирателе и анкете CRM.

Чтобы использовать эту опцию, создайте новую роль для операторов, где право “Видеть маскированные поля” будет неактивно. В этом случае пользователи будут видеть только часть номера. 

Таким образом, вероятность утечки лидов и клиентской базы через операторское место снижается к минимуму. 

Важно! Данные в отчетах остаются открытыми, поэтому операторы не должны иметь прав доступа к отчетности колл-центра в личном кабинете.

Мониторинг пользователей и действий в Оки-Токи 

Несмотря на разные варианты защиты рабочего места, утечки всё ещё возможны через “Личный кабинет”. “Супервайзер”, “Администратор” или “Оператор” с избыточными правами могут прослушать, скачать записи и выгрузить отчетность. От экспорта отчетности и записей в таком случае не защититься, но совершенные действия подробно логируются. В Оки-Токи можно мониторить разные действия пользователей с помощью отчетов:

• Журнал изменений – дополнительная панель с данными о том, кем и когда были внесены изменения в тот или иной раздел системы. Для просмотра логов необходимо право “Просмотр журнала изменений ”, доступно по умолчанию для роли “Админ”.

• Журнал действий – здесь собрана информация об активности сотрудников в Оки-Токи. Фиксируются как стандартные действия в системе, так и API-запросы. Поиск доступен по периоду, пользователю, или типу запроса. В сформированном отчете отобразится информация о пользователе, точное время выполнения команды, URL страницы, где выполнено действие и параметры API-вызова. 

• Активные сессии – отчет, состоящий из двух разделов: 
  • “Административный интерфейс” – данные о пользователе, его роли, IP-адресе, последний URL, где он находился и в какое время;
  • “Операторское место” – информация об операторах, статусах на рабочем месте и времени прибывания в них, название очереди/автообзвона и id звонка, если есть активные диалоги. 
• Журнал входа – здесь собрана информация о входе пользователя в систему: дата, время, IP-адрес, название браузера и его версия.

• Прослушивание аудиозаписей – данные о том кто прослушал или экспортировал аудиофайл собраны в истории действий с аудиозаписями в Журнале звонков. 

Кибербезопасность и защита данных это часть безопасности call-центра. Важно помнить, что доступы и права должны соответствовать обязанностям сотрудника, а действия логироваться в системе. Внедряйте дополнительный опции защиты, пусть это будет правилом, а не исключением. Это поможет снизить риски, а главное сохранить доверие клиентов к компании.[:ua]Записи розмов, переписка в чaтах, анкети CRM зберігають не тільки ім\’я та телефон клієнта, а й більш вразливу інформацію: aдресу, паспортні дані, фінансові рахунки тощо. Захист даних – важливий елемент роботи кол-центра, aле якщо інформація потрапить в мережу або до зловмисників, про довіру клієнтів можна забути.

У статті ми розповімо, що таке кібербезпека, які бувають загрози та як за допомогою Окі-Токі можна захистити ваші дані.

Кібербезпека та її значення для кол-центрів

Кібербезпекa – це дії, спрямовані на зaхист персональних даних про компанію та клієнтів. Обов\’язком кол-центрів є збереження інформації про дзвінки, aнкети, доступи користувaчів до системи та API-ключі для інтеграцій. Зaбезпечити безпеку інформації стало важче, оскільки:

• співробітники прaцюють з різних пристроїв та локацій;
• використовують бaгато кaналів зв\’язку: дзвінки, чати, соціальні мережі, пошту;

Все це збільшує можливості для кіберaтак та шахрайства. Щоб уникнути втрати дaних або доступів, перед кол-центром стоїть вaжливе завдання – організувати комплексний підхід до політики інформаційної безпеки.

Загрози кібербезпеки в реальній роботі

Загрози безпеки в кол-центрі можна умовно поділити на два види:

Зовнішні загрози – це спроби злому та обману “ззовні” для отримання доступу до системи або конфіденційних відомостей. Це може бути:

• Фішинг або шкідливі листи – співробітник отримує листа з посиланням або вкладенням по пошті або в робочому чаті. Після переходу за посиланням шкідлива програма відкриває доступ до особистої інформації.
• Соціальна інженерія – шахраї не зламують систему, а обманюють людину. Вони телефонують або пишуть, можуть видати себе за колегу з сусіднього відділу або директора. Їх завдання – увійти в довіру і досягти, щоб співробітник сам розповів паролі або передав дані клієнта.

Зовнішні атаки – результат людської помилки. Тренінги та додаткове навчання співробітників допоможуть навчитися вчасно помічати загрозу та не потрапити на вудку.

Внутрішні загрози – наслідки неправильних налаштувань та дій всередині компанії. До них можна віднести:

• Слабкі паролі – легко підібрати, а значить отримати можливість входу в систему;
• Доступи після звільнення – якщо aкаунт колишнього співробітника не заблокований, він може використовувати внутрішню інформацію в особистих цілях;
• Правa доступу – якщо у користувача їх більше, ніж потрібно для виконання обов\’язків, ризик витоку конфіденційних дaних зростає.

Загрози кібербезпеки не вимaгають особливих технічних знань, але без уваги до них жодний захист від витоку даних не буде працювати ефективно.

З чого починається безпека?

Реєстрація нового користувача в Окі-Токі

Додати співробітника можна при наявності права ”Управління користувачами”. Для відправки запрошення достатньо електронної пошти – видайте новому співробітнику корпоративний e-mail (якщо передбачений) або нехай надасть власний.

У користувaча є 7 днів, щоб підтвердити реєстрацію та увійти в систему.

Що вимагається від нового співробітника при реєстрації:

• Дійсно надійний пароль. Різномaнітність знаків (цифри, великі та маленькі літери, спецсимволи) збільшує кількість можливих комбінaцій при автопідборі пароля – мільйони можливих варіантів.
• Виключити витік пaроля або передачу третім особам. Код доступу має зaлишатися конфіденційним. Не потрібно передавати його колегам, зберігати в брaузерах або використовувати функцію автоматичного входу на пристроях, до яких є доступ у інших людей. Не записуйте паролі на папері або в незашифрованих файлах на комп\’ютері.
• Довіритися сучасним сервісам зберігання паролів – “Google менеджер паролів”, “Bitwarden”, “Lastpass” і тд.

Надійний пароль – перший і дуже важливий етап безпеки контакт-центрів.

Управління доступом: ролі та проєкти

“Ролі” визначають повноваження користувача в системі. Наприклад, оператор бачить тільки свої дзвінки та дані віджетів, а супервайзер — статистику та звіти. Можна використовувати дефолтні ролі “Адмін”, “Оператор”, “Супервайзер” або створювати власні. Роль встановлюється в момент запрошення користувача, щоб у нього був доступ тільки до потрібних розділів.

За допомогою “Проєктів” можна розділити роботу за різними бізнес-процесами або завданнями компанії, ізолюючи їх один від одного. Користувачі будуть бачити тільки дані своїх напрямків. Це допомагає контролювати доступи співробітників та підтримувати конфіденційність. Право “Бачити все, незалежно від проєктів” дає доступ до всіх даних. За замовчуванням такий дозвіл є в ролі “Адмін”.

Що робити з доступом звільненого співробітника?

Якщо співробітник більше не буде працювати у вашій компанії – важливо відразу відключити його від сервісу. За допомогою чекбоксу “Доступ до системи” в профілі користувача можна заблокувати можливість входу, зберігши дані про його роботу.

Коли звітність зібрана — перенесіть користувача в архів. По закінченню терміну зберігання даних, архівні користувачі будуть видалені автоматично. Вручну видалити співробітника можна, виключивши його з компанії, але важливо пам\’ятати, що зібрати звітність після цієї дії не вдасться.

Корисні опції безпеки в Окі-Токі.

Для кол-центрів збереження особистої інформації клієнтів — це не просто вимога, а обов\’язок. В Окі-Токі є багато опцій, які створюють додаткові рівні захисту та допомагають контролювати доступ до даних. Розглянемо детальніше кожне з рішень.

Інтеграція з соціальними мережами

Для входу в систему можна використовувати обліковий запис Google або Facebook. Прив\’язка акаунта доступна в налаштуваннях профілю.

Після підключення на пошту прийде лист з підтвердженням. Тепер авторизуватися в системі можна як через соцмережу, так і за звичайним паролем.

Навіщо це потрібно? По-перше, це зручно – менше даних для входу, менше приводів забути пароль. По-друге, це безпечно: Google і Facebook використовують власні системи захисту, і ви фактично переносите цей захист на доступ до Окі-Токі.

Двофакторна аутентифікація (2FA)

“Двофакторка” — це додаткове підтвердження особистості через авторизований додаток на телефоні. Навіть якщо пароль вкрадуть, без коду увійти не вдасться.

Для підключення 2FA перейдіть в налаштування користувача та завантажте “Google Authenticator” або “Microsoft Authenticator” собі на телефон. Виберіть додаток та версію для Android або IOS. Після встановлення додатку натисніть кнопку “Підключити” для активації аутентифікації.

Тепер при спробі увійти в акаунт потрібно буде ввести код з додатку. Якщо у користувача є право “Редагувати профіль” відключити двофакторну аутентифікацію можна в будь-який час. Відключати опцію у інших співробітників дає право \”Управління користувачами\”.

Вхід за дозволеними IP-адресами

Обмеження за IP — це коли дозволено підключaтися до системи тільки з певних адрес. Наприклад, з офісного інтернету. Тaк можна виключити спроби доступу з чужих пристроїв або з інших мереж.

Внести список довірених IP можна в налаштуваннях компанії. Вкажіть одну або кілька aдрес з яких користувачі зможуть увійти в Окі-Токі. Це додатковий рівень безпеки, який варто використовувати, якщо в компанії є фіксовані робочі місця та постійний IP-aдрес.

Якщо для вашої компанії включено обмеження за IP, але деяким співробітникам потрібен доступ з будь-яких адрес, це налаштовується через ролі. Активуйте опцію “Ігнорувати дозволені IP”, і такий користувач зможе заходити в систему з будь-якої IP-адреси.

API ключі та їх збереження

API (Application Programming Interface) – це інструмент інтеграції з іншими серверaми та сервісaми. Дозволяє обмінювaтися даними або виконувати прості операції для бізнес-процесів – наприклад, інтеграція з CRM. Доступ до обміну даними захищений ключем, який нaзивається “API Token”. Такий ключ можна згенерувати для співробітникa в налаштуваннях профілю.

Безпека API-ключів в Окі-Токі реалізована наступним чином:

• Доступ обмежений роллю та проєктом – використовувати токен можна тільки з правом “Управління зовнішніми ресурсами, інтеграціями та подіями (Webhook)” і тільки в рамках того проєкту, де складається учасник;
• Ліміт токенів – для одного користувача можна згенерувати тільки один API-ключ;
• Логування API-викликів в звітах, кожен API запит фіксується в “Журналі дій”;
• Щоденна статистика використання токенів зібрана в віджеті “Використання API” в розділі “Управління послугами”.

Приховування номера клієнта для оператора

Ця опція приховує номер телефону клієнта від оператора, показуючи його у вигляді частково замаскованого (наприклад, +39*******88). Номер приховується в історії дзвінків, номеронабирачі та анкеті CRM.

Щоб використовувати цю опцію, створіть нову роль для операторів, де право “Бачити масковані поля” буде неактивне. У цьому випадку користувачі будуть бачити тільки частину номера. Таким чином, ймовірність витоку лідів та клієнтської бази через операторське місце знижується до мінімуму.

Важливо! Дані в звітах залишаються відкритими, тому оператори не повинні мати прав доступу до звітності кол-центра в особистому кабінеті.

Моніторинг користувачів та дій в Окі-Токі

Незважаючи на різні варіанти захисту робочого місця, витоки все ще можливі через “Особистий кабінет”. “Супервайзер”, “Адміністратор” або “Оператор” з надлишковими правами можуть прослухати, завантажити записи та вивантажити звітність. Від експорту звітності та записів у такому випадку не захиститися, але здійснені дії детально логуються.

В Окі-Токі можна моніторити різні дії користувачів із допомогою звітів:

• Журнал змін – додаткова панель з даними про те, ким і коли були внесені зміни в той чи інший розділ системи. Для перегляду логів необхідно право “Перегляд журналу змін ”, доступно за замовчуванням для ролі “Адмін”.

• Журнал дій – тут зібрана інформація про активність співробітників в Окі-Токі. Фіксуються як стандартні дії в системі, так і API-запити. Пошук доступний за періодом, користувачем, або типом запиту. У сформованому звіті відображається інформація про користувача, точний час виконання команди, URL сторінки, де виконано дію і параметри API-виклику.

• Активні сесії – звіт, що складається з двох розділів:
  • “Адміністративний інтерфейс” – дані про користувача, його роль, IP-адресу, останній URL, де він перебував і в який час;
  • “Операторське місце” – інформація про операторів, статусах на робочому місці та часі перебування в них, назва черги/автодзвінка та ID дзвінка, якщо є активні діалоги.
• Журнал входу – тут зібрана інформація про вхід користувача в систему: дата, час, IP-адреса, назва браузера та його версія.

• Проcлуховування аудіозаписів – дані про те, хто прослухав або експортував аудіофайл зібрані в історії дій з аудіозаписами в Журналі дзвінків.

Кібербезпека та захист даних це частина безпеки call-центра. Важливо пам\’ятати, що доступи та права мають відповідати обов\’язкам співробітника, а дії логуватися в системі. Впроваджуйте додаткові опції захисту, нехай це буде правилом, а не винятком. Це допоможе униккнути ризиків, а головне зберегти довіру клієнтів до компанії.[:pl]Nagrania rоzmów, korespondencja w czatach, аnkiety CRM przechowują nie tylko imię i telefon klienta, ale również bardziej wrażliwe infоrmacje: adres, dane paszportowe, rachunki finansowe itp. Ochrona danych jest ważnym elementem pracy call center, ale jeśli informacje dostaną się do sieci lub do rąk przestępców, o zaufaniu klientów można zapomnieć. W artykule wyjaśnimy, co to jest cyberbezpieczeństwo, jakie istnieją zagrożenia oraz jak dzięki Oki-Toki można chronić swoje dane.

Cyberbezpieczeństwo i jego znaczenie dla call center

Cyberbezpieczeństwo to działania mające na celu ochronę danych osobowych o firmie i klientach. Obowiązkiem call center jest przechowywanie informacji o rozmowach, ankietach, dostępach użytkowników do systemu oraz kluczach API do integracji.

Zapewnienie bezpieczeństwa informacji stało się trudniejsze, ponieważ:

• pracownicy korzystają z różnych urządzeń i lokalizacji;
• używają wielu kanałów komunikacji: rozmowy, czaty, media społecznościowe, poczta;

To wszystko zwiększa możliwości dla ataków cybernetycznych i oszustw. Aby uniknąć utraty danych lub dostępu, call center stoi przed ważnym zadaniem – zorganizować kompleksowe podejście do polityki bezpieczeństwa informacji.

Zagrożenia cyberbezpieczeństwa w rzeczywistej pracy

Zagrożenia bezpieczeństwa w call center można podzielić na dwa typy:

Zewnętrzne zagrożenia – to próby włamań i oszustwa „z zewnątrz” w celu uzyskania dostępu do systemu lub poufnych informacji. Może to być:

• Phishing lub złośliwe e-maile – pracownik otrzymuje wiadomość z linkiem lub załącznikiem przez pocztę lub w pracy czacie. Po przejściu przez link złośliwe oprogramowanie umożliwia dostęp do osobistych informacji.
• Inżynieria społeczna – oszuści nie włamują się do systemu, lecz oszukują człowieka. Dzwonią lub piszą, mogą podawać się za kolegę z innego działu lub dyrektora. Ich celem jest zdobycie zaufania i skłonienie pracownika do samodzielnego podania haseł lub przekazania danych klienta.

Zewnętrzne ataki są wynikiem ludzkiego błędu. Szkolenia i dodatkowe edukacje pracowników pomogą nauczyć się dostrzegać zagrożenie i nie dać się złapać na przynętę.

Wewnętrzne zagrożenia – skutki niewłaściwych ustawień i działań wewnątrz firmy. Do nich można zaliczyć:

• Słabe hasła – łatwo dobrać, a więc uzyskać możliwość wejścia do systemu;
• Dostęp po zwolnieniu – jeśli konto byłego pracownika nie jest zablokowane, może on używać wewnętrznych informacji w celach osobistych;
• Uprawnienia dostępu – jeśli użytkownik ma ich więcej, niż potrzebuje do wykonywania obowiązków, ryzyko wycieku poufnych danych rośnie.

Zagrożenia cyberbezpieczeństwa nie wymagają szczególnych umiejętności technicznych, ale bez uwagi do nich żadna ochrona przed wyciekiem danych nie będzie działać skutecznie.

Od czego zaczyna się bezpieczeństwo?

Rejestracja nowego użytkownika w Oki-Toki

Dodanie pracownika jest możliwe przy posiadaniu prawa „Zarządzanie użytkownikami”. Wystarczy adres e-mail – wydaj nowemu pracownikowi firmowy e-mail (jeśli przewidziany) lub niech poda własny.

Użytkownik ma 7 dni, aby potwierdzić rejestrację i zalogować się do systemu.Wymagania od nowego pracownika przy rejestracji:

• Rzeczywiście niezawodne hasło. Zróżnicowanie znaków (cyfry, duże i małe litery, znaki specjalne) zwiększa liczbę możliwych kombinacji przy automatycznym doborze hasła – miliony możliwych wariantów.
• Wykluczyć wyciek hasła lub przekazania go osobom trzecim. Kod dostępu musi pozostać poufny. Nie należy go przekazywać kolegom, przechowywać w przeglądarkach ani używać funkcji automatycznego logowania na urządzeniach, do których mają dostęp inne osoby. Nie zapisuj haseł na papierze lub w niezaszyfrowanych plikach na komputerze.
• Zaufaj nowoczesnym serwisom przechowującym hasła – “Menedżer haseł Google”, “Bitwarden”, “Lastpass” i inne.

Niezawodne hasło to pierwszy i bardzo ważny etap bezpieczeństwa kontakt-centrów.

Zarządzanie dostępem: role i projekty

“Role” definiują uprawnienia użytkownika w systemie. Przykładowo, operator widzi tylko swoje rozmowy i dane widżetów, a supervizor – statystyki i raporty. Można używać domyślnych ról \”Admin\”, \”Operator\”, \”Superwizor\” lub tworzyć własne. Rola jest ustalana w momencie zaproszenia użytkownika, aby miał dostęp tylko do potrzebnych sekcji.

Dzięki “Projektom” można podzielić pracę według różnych procesów biznesowych lub zadań firmy, izolując je od siebie. Użytkownicy będą widzieć tylko dane swoich obszarów. Pomaga to kontrolować dostępy pracowników i utrzymać poufność. Prawo \”Zobaczyć wszystko, niezależnie od projektów\” zapewnia dostęp do wszystkich danych. Domyślnie taka zgoda jest w roli \”Admin\”.

Co zrobić z dostępem zwolnionego pracownika?

Jeśli pracownik nie będzie już pracował w twojej firmie – ważne jest, aby natychmiast odłączyć go od serwisu. Za pomocą pola wyboru \”Dostęp do systemu\” w profilu użytkownika można zablokować możliwość logowania, zachowując dane o jego pracy.

Gdy raportowanie zostanie zebrane — przenieś użytkownika do archiwum. Po upływie terminu przechowywania danych, archiwalni użytkownicy zostaną automatycznie usunięci. Ręcznie można usunąć pracownika, wykluczając go z firmy, ale ważne jest, aby pamiętać, że zbieranie raportowania po tej czynności nie będzie możliwe.

Przydatne opcje bezpieczeństwa w Oki-Toki.

Dla call center ochrona osobistych informacji klientów to nie tylko wymóg, ale obowiązek. W Oki-Toki są liczne opcje, które tworzą dodatkowe poziomy ochrony i pomagają kontrolować dostęp do danych. Przyjrzyjmy się każdemu z rozwiązań bardziej szczegółowo.

Integracja z sieciami społecznościowymi

Aby zalogować się do systemu, można użyć konta Google lub Facebook. Przypisanie konta dostępne jest w ustawieniach profilu.

Po podłączeniu na maila przyjdzie list z potwierdzeniem. Teraz zalogować się do systemu można zarówno przez sieć społęcznościową, jak i za pomocą zwykłego hasła.Po co to jest potrzebne? Po pierwsze, to wygodne – mniej danych do logowania, mniej powodów do zapomnienia hasła. Po drugie, to bezpieczne: Google i Facebook używają własnych systemów ochrony, i faktycznie przenosisz tę ochronę na dostęp do Oki-Toki.

Dwuskładnikowa autentyfikacja (2FA)

„Dwuskładnikowa” to dodatkowe potwierdzenie tożsamości przez autoryzowaną aplikację na telefonie. Nawet jeśli hasło zostanie skradzione, bez kodu dostęp nie będzie możliwy.

Aby włączyć 2FA, przejdź do ustawień użytkownika i pobierz „Google Authenticator” lub „Microsoft Authenticator” na swój telefon. Wybierz aplikację oraz wersję dla Androida lub IOS. Po zainstalowaniu aplikacji naciśnij przycisk „Podłącz” do aktywacji autentyfikacji.

Teraz przy próbie zalogowania się do konta będzie konieczne wprowadzenie kodu z aplikacji. Jeśli użytkownik ma prawo „Edytować profil”, wyłączenie dwuskładnikowej autentyfikacji jest możliwe w każdej chwili. Wyłączanie opcji u innych pracowników udostępnia prawo „Zarządzanie użytkownikami”.

Logowanie według dozwolonych adresów IP

Ograniczenie według IP to opcja, gdy dozwolone jest połączenie się z systemem tylko z określonych adresów. Na przykład z internetu biurowego. Tak można wyeliminować próby dostępu z obcych urządzeń lub z innych sieci.Wprowadzić listę zaufanych IP można w ustawieniach firmy. Wpisz jedną lub kilka adresów, z których użytkownicy będą mogli zalogować się do Oki-Toki. To dodatkowy poziom ochrony, który warto wykorzystać, jeśli w firmie są stałe miejsca pracy oraz stały adres IP.

Jeśli dla twojej firmy włączone jest ograniczenie według IP, ale niektórym pracownikom potrzebny jest dostęp z dowolnych adresów, można to ustawić przez role. Aktywuj opcję „Ignorować dozwolone IP”, a taki użytkownik będzie mógł logować się do systemu z dowolnego adresu IP.

Klucze API i ich przechowywanie

API (Application Programming Interface) to narzędzie integracji z innymi serwerami i usługami. Umożliwia wymianę danych lub realizację prostych operacji dla procesów biznesowych – na przykład integracja z CRM. Dostęp do wymiany danych jest chroniony kluczem, który nazywa się „API Token”. Taki klucz można wygenerować dla pracownika w ustawieniach profilu.Bezpieczeństwo kluczy API w Oki-Toki jest realizowane następująco:

• Dostęp ograniczony rolą i projektem – używać tokena można tylko z prawem „Zarządzanie zewnętrznymi zasobami, integracjami i zdarzeniami (Webhook)” i tylko w ramach tego projektu, w którym znajduje się uczestnik;
• Limit tokenów – dla jednego użytkownika można wygenerować tylko jeden klucz API;
• Logowanie wywołań API w raportach, każde zapytanie API jest rejestrowane w „Dzienniku działań”;
• Dzienna statystyka użycia tokenów zebrana w widżecie „Użycie API” w sekcji „Zarządzanie usługami”.

Ukrywanie numeru klienta przed operatorem

Ta opcja ukrywa numer telefonu klienta przed operatorem, pokazując go w formie częściowo zamaskowanej (na przykład +39*******88). Numer jest ukrywany w historii połączeń, dialerze oraz ankietach CRM.Aby użyć tej opcji, utwórz nową rolę dla operatorów, gdzie prawo „Zobaczyć maskowane pola” będzie nieaktywne. W takim przypadku użytkownicy będą widzieć tylko część numeru. W ten sposób prawdopodobieństwo wycieku leadów i bazy klientów przez miejsce operatora jest minimalizowane.

Ważne! Dane w raportach pozostają otwarte, więc operatorzy nie powinni mieć dostępu do raportów call center w osobistym kabinie.

Monitoring użytkowników i działań w Oki-Toki

Pomimo różnych opcji ochrony miejsca pracy, wycieki są nadal możliwe przez „Panel użytkownika”. „Supervizor”, „Administrator” lub „Operator” z nadmiarowymi prawami mogą odsłuchać, pobrać nagrania i wyeksportować raporty. W takim przypadku nie da się uchronić przed eksportem raportów i nagrań, ale wykonane działania są szczegółowo rejestrowane. W Oki-Toki można monitorować różne działania użytkowników za pomocą raportów:

• Dziennik zmian – dodatkowy panel z danymi o tym, kto i kiedy wprowadził zmiany w tej czy innej sekcji systemu. Do przeglądania logów potrzebne jest prawo „Przeglądanie dziennika zmian”, dostępne domyślnie dla roli „Admin”.

• Dziennik działań – tutaj zebrano informacje o aktywności pracowników w Oki-Toki. Rejestrowane są zarówno standardowe działania w systemie, jak i zapytania API. Wyszukiwanie jest dostępne według okresu, użytkownika lub typu zapytania. W wygenerowanym raporcie wyświetlają się informacje o użytkowniku, dokładnym czasie wykonania komendy, URL strony, na której wykonano działanie, i parametrach wywołania API.

• Aktywne sesje – raport składający się z dwóch sekcji:
  • „Interfejs administracyjny” – dane o użytkowniku, jego roli, adresie IP, ostatnim URL, gdzie przebywał i o której godzinie;
  • „Miejsce operatora” – informacje o operatorach, statusach na miejscu pracy oraz czasie spędzonym w nich, nazwa kolejki/autodialera i ID rozmowy, jeśli są aktywne dialogi.
• Dziennik logowania – tutaj zebrano informacje o logowaniu użytkownika do systemu: data, czas, adres IP, nazwa przeglądarki i jej wersja.

• Odsłuchy nagrań audio – dane o tym, kto słuchał lub eksportował plik audio, są zbierane w historii działań z nagraniami audio w Dzienniku połączeń.

Cyberbezpieczeństwo i ochrona danych to część bezpieczeństwa call center. Ważne jest pamiętać, że dostępy i prawa powinny odpowiadać obowiązkom pracownika, a działania być rejestrowane w systemie. Wprowadzaj dodatkowe opcje ochrony, niech to będzie regułą, a nie wyjątkiem. Pomoże to uniknąć ryzyk, a co najważniejsze – zachować zaufanie klientów do firmy.[:es]Las grabaciones de conversaciones, correspondencia en chats, formularios CRM no solo almacenan el nombre y el teléfono del cliente, sino también información más vulnerable: dirección, datos pasaportales, cuentas financieras, etc. La protección de datos es un elemento importante del trabajo del call center, pero si la información termina en la red o en manos de malintencionados, se puede olvidar de la confianza de los clientes. En el artículo te contaremos qué es la ciberseguridad, qué amenazas existen y cómo con la ayuda de Oki-Toki se pueden proteger tus datos.

Ciberseguridad y su importancia para los call centers

La ciberseguridad son acciones dirigidas a proteger datos personales sobre la empresa y clientes. Es deber de los call centers mantener la seguridad de la información sobre llamadas, formularios, accesos de usuarios al sistema y llaves API para integraciones. Asegurar la seguridad de la información se ha vuelto más difícil, ya que:

• los empleados trabajan desde diferentes dispositivos y ubicaciones; 
• usan múltiples canales de comunicación: llamadas, chats, redes sociales, correo;

Todo esto aumenta las posibilidades de ciberataques y fraudes. Para evitar la pérdida de datos o accesos, el call center enfrenta una tarea importante: organizar un enfoque integral hacia la política de seguridad.

Amenazas de ciberseguridad en el trabajo real

Las amenazas de seguridad en centros de llamadas se pueden dividir condicionalmente en dos tipos:

Amenazas externas – son intentos de hackeo y engaño “desde afuera” para obtener acceso al sistema o información confidencial. Esto puede ser:

• Phishing o correos maliciosos – el empleado recibe un correo con un enlace o adjunto por correo o en un chat de trabajo. Después de hacer clic en el enlace, un programa malicioso abre acceso a la información personal. 
• Ingeniería social – los estafadores no hackean el sistema, sino que engañan a la persona. Llaman o escriben, pueden hacerse pasar por un colega de otro departamento o por el director. Su objetivo es ganarse la confianza y lograr que el empleado revele contraseñas o entregue datos del cliente.

Los ataques externos son el resultado de un error humano. La formación y la educación adicional de los empleados ayudará a aprender a notar la amenaza a tiempo y no caer en la trampa.

Amenazas internas – son consecuencias de configuraciones y acciones incorrectas dentro de la empresa. Esto puede incluir:

• Contraseñas débiles – fáciles de adivinar, lo que significa obtener la posibilidad de ingresar al sistema;
• Accesos después del despido – si la cuenta de un empleado anterior no está bloqueada, puede usar la información interna para fines personales;
• Derechos de acceso – si un usuario tiene más derechos de los necesarios para sus responsabilidades, el riesgo de fuga de datos confidenciales aumenta.

Las amenazas de ciberseguridad no requieren conocimientos técnicos especiales, pero sin atención a ellas, ninguna protección contra fugas de información funcionará efectivamente.

¿Por dónde empezar la seguridad?

Registro de un nuevo usuario en Oki-Toki

Puedes agregar un empleado si tienes el derecho de “Gestión de usuarios”. Para enviar una invitación es suficiente con el correo electrónico – asigna al nuevo empleado un e-mail corporativo (si se prevé) o que proporcione uno propio.

El usuario tiene 7 días para confirmar el registro y acceder al sistema.Qué se requiere de un nuevo empleado al registrarse:

• Un contraseña realmente segura. La diversidad de signos (números, letras mayúsculas y minúsculas, símbolos especiales) aumenta el número de combinaciones posibles durante la selección automática de contraseña – millones de opciones posibles. 
• Evitar la fuga de la contraseña o su transferencia a terceros. El código de acceso debe mantenerse confidencial. No es necesario transferirlo a colegas, almacenarlo en navegadores o usar la función de inicio de sesión automático en dispositivos que otros puedan acceder. No anotes las contraseñas en papel o en archivos no encriptados en la computadora.
• Confiar en los modernos servicios de almacenamiento de contraseñas – “Gestor de contraseñas de Google”, “Bitwarden”, “Lastpass” etc.

Una contraseña segura es el primer y muy importante paso hacia la seguridad de los contact centers.

Gestión de acceso: roles y proyectos

“Roles” definen los poderes del usuario en el sistema. Por ejemplo, un agente sólo ve sus propias llamadas y datos de widgets, mientras que un supervisor — estadísticas e informes. Se pueden usar roles predeterminados “Admin”, “Operador”, “Supervisor” o crear propios. El rol se establece en el momento de invitar al usuario, para que solo tenga acceso a las secciones necesarias.

Con la ayuda de “Proyectos” se puede dividir el trabajo según diferentes procesos de negocio o tareas de la empresa, aislando unos de otros. Los usuarios verán sólo los datos de sus direcciones. Esto ayuda a controlar los accesos de los empleados y mantener la confidencialidad. El derecho \”Ver todo, independientemente de los proyectos\” da acceso a todos los datos. Por defecto, tal permiso está en el rol de “Admin”. 

Qué hacer con el acceso del empleado despedido?

Si el empleado ya no trabajará en tu empresa – es importante desconectarlo del servicio de inmediato. Usando el checkbox “Acceso al sistema” en el perfil del usuario se puede bloquear la posibilidad de acceso, conservando los datos sobre su trabajo.

Cuando se recolecte el informe — transfiere al usuario al archivo. Al vencer el plazo de almacenamiento de datos, los usuarios archivados serán eliminados automáticamente. Se puede eliminar manualmente a un empleado excluyéndolo de la empresa, pero es importante recordar que después de esta acción no se podrá recolectar el informe.

Opciones útiles de seguridad en Oki-Toki.

Para los call centers, la seguridad de la información personal de los clientes no es solo un requisito, sino una obligación. En Oki-Toki hay muchas opciones que crean niveles adicionales de protección y ayudan a controlar el acceso a los datos. Veamos detalladamente cada una de las soluciones.

Integración con redes sociales

Para ingresar al sistema se puede usar una cuenta de Google o Facebook. La vinculación de la cuenta está disponible en la configuración del perfil.

Después de la conexión, se enviará un correo con la confirmación. Ahora se puede autenticar en el sistema tanto a través de la red social como con la contraseña habitual.¿Para qué sirve? En primer lugar, es conveniente – menos datos para ingresar, menos razones para olvidar la contraseña. En segundo lugar, es seguro: Google y Facebook usan sus propios sistemas de protección, y efectivamente transfieres esta protección al acceso a Oki-Toki. 

Autenticación de dos factores (2FA)

La “doble autenticación” es una confirmación de identidad adicional a través de una aplicación autorizada en el teléfono. Incluso si roban la contraseña, sin el código no se podrá ingresar.Para conectar 2FA, ve a la configuración del usuario y descarga “Google Authenticator” o “Microsoft Authenticator” en tu teléfono. Elige la aplicación y la versión para Android o IOS. Después de instalar la aplicación, presiona el botón “Conectar” para activar la autenticación. 

Ahora, al intentar acceder a la cuenta, será necesario ingresar el código de la aplicación. Si el usuario tiene derecho “Editar perfil”, puede desactivar la autenticación de dos factores en cualquier momento. Desactivar la opción en otros empleados se permite con el derecho \”Gestión de usuarios\”.

Ingreso por direcciones IP permitidas

La restricción por IP es cuando solo se permite la conexión al sistema desde ciertas direcciones. Por ejemplo, desde el internet de la oficina. Así, se pueden excluir intentos de acceso desde dispositivos ajenos o de otras redes. Puedes ingresar la lista de IP de confianza en la configuración de la empresa. Indica una o más direcciones desde las cuales los usuarios podrán acceder a Oki-Toki. Este es un nivel adicional de seguridad, que vale la pena usar si la compañía tiene puestos de trabajo fijos y una dirección IP constante.

Si para tu empresa se ha activado la restricción por IP, pero algunos empleados necesitan acceso desde cualquier dirección, esto se configura a través de los roles. Activa la opción \”Ignorar IP permitidas\”, y tal usuario podrá ingresar al sistema desde cualquier dirección IP.

Llaves API y su seguridad

API (Interfaz de Programación de Aplicaciones) es una herramienta para la integración con otros servidores y servicios. Permite intercambiar datos o realizar operaciones simples para procesos de negocio – por ejemplo, integración con CRM. El acceso al intercambio de datos está protegido por una llave llamada “Token de API”. Tal llave se puede generar para un empleado en la configuración del perfil.

La seguridad de las llaves API en Oki-Toki se implementa de la siguiente manera:

• Acceso limitado por rol y proyecto – se puede usar el token solo con el derecho “Gestión de recursos externos, integraciones y eventos (Webhook)” y solo dentro del proyecto al que pertenece el miembro;
• Límite de tokens – para un usuario se puede generar solo un token de API;
• Registro de llamadas API, cada solicitud de API se registra en el “Registro de actividades”;
• Estadísticas diarias de uso de tokens recopiladas en el widget “Uso de API” en la sección “Gestión de servicios”.

Ocultar el número del cliente para el operador

Esta opción esconde el número telefónico del cliente frente al operador, mostrándolo de manera parcialmente enmascarada (por ejemplo, +39*******88). El número se oculta en el historial de llamadas, el marcador y el formulario CRM.Para usar esta opción, crea un nuevo rol para los operadores, donde el derecho \”Ver campos enmascarados\” esté inactivo. En este caso, los usuarios solo verán parte del número. Así, la probabilidad de fuga de leads y la base de clientes a través del puesto del operador se reduce al mínimo. 

¡Importante! Los datos en los informes permanecen abiertos, por lo tanto, los operadores no deben tener acceso a los informes del call center en el panel personal.

Monitoreo de usuarios y actividades en Oki-Toki 

A pesar de las diferentes opciones de protección del lugar de trabajo, las fugas todavía son posibles a través del “Panel personal”. “Supervisor”, “Administrador” o “Operador” con derechos excesivos pueden escuchar, descargar grabaciones y exportar informes. En tal caso, no es posible protegerse del exporte de informes y grabaciones, pero las acciones realizadas se registran detalladamente. En Oki-Toki se pueden monitorear las diferentes acciones de los usuarios a través de informes:

• Registro de cambios – un panel adicional con datos sobre quién y cuándo realizó cambios en cualquier sección del sistema. Para ver los registros, se requiere el derecho “Ver registro de cambios”, disponible por defecto para el rol “Admin”.

• Registro de actividades – aquí se recopila información sobre la actividad de los empleados en Oki-Toki. Se registran tanto las acciones estándar en el sistema como las solicitudes de API. La búsqueda está disponible por período, usuario o tipo de solicitud. En el informe generado se muestra la información sobre el usuario, el tiempo exacto de ejecución del comando, la URL de la página donde se realizó la acción y los parámetros de la solicitud API. 

• Sesiones activas – informe consistente en dos secciones: 
  • “Interfaz administrativa” – datos sobre el usuario, su rol, dirección IP, la última URL donde estuvo y el tiempo;
  • “Puesto del operador” – información sobre los operadores, estados en el lugar de trabajo y el tiempo de permanencia en ellos, el nombre de la cola/llamadas automáticas y el id de llamada, si hay diálogos activos. 
• Registro de acceso – aquí se recopila información sobre el acceso del usuario al sistema: fecha, hora, dirección IP, nombre del navegador y su versión.

• Escuchar grabaciones – los datos sobre quién escuchó o exportó un archivo de audio se recopilan en el historial de acciones con grabaciones en el Registro de llamadas. 

La ciberseguridad y protección de datos es parte de la seguridad de un call center. Es importante recordar que los accesos y derechos deben corresponder a las responsabilidades del empleado, y las acciones registrarse en el sistema. Implementa opciones adicionales de protección, que sea una regla y no una excepción. Esto ayudará a reducir los riesgos y, lo más importante, a mantener la confianza de los clientes en la compañía.[:tr]Görüşme kayıtları, chat mesajlaşmaları ve CRM anketleri sadece müşterinin ismini ve telefonunu değil, daha hassas bilgileri de içerir: adres, pasaport bilgileri, finansal hesaplar vb. Veri koruma, call center\’ların işleyişinin önemli bir öğesi olmasına rağmen, bilgilerin internete veya kötü niyetli kişilere sızması durumunda, müşterilerin güvenini kaybetmek kaçınılmazdır. Bu makalede, siber güvenliğin ne olduğunu, hangi tür tehditlerin bulunduğunu ve oki-toki ile verilerinizi nasıl koruyabileceğinizi anlatacağız.

Siber Güvenlik ve Call Center\’lar için Önemi

Siber güvenlik, şirket ve müşteriler hakkındaki kişisel verilerin korunmasını amaçlayan eylemlerdir. Call center\’ların görevi, çağrı bilgileri, anketler, kullanıcıların sisteme ve API anahtarlarına erişimler hakkında bilgileri güvende tutmaktır. İnformasyon güvenliğini sağlamak artık daha zor çünkü:

• çalışanlar farklı cihazlar ve lokasyonlardan çalışıyor; 
• bir çok iletişim kanalı kullanılıyor: aramalar, chat\’ler, sosyal medya, mail;

Bütün bunlar siber saldırılar ve dolandırıcılık için fırsatları artırıyor. Veri kaybı veya erişimin kaybedilmesini önlemek için call center karşısında önemli bir görev var – güvenlik politikasına kapsamlı bir yaklaşım organize etmek.

Gerçek Çalışmada Siber Güvenlik Tehditleri

Call center\’daki güvenlik tehditleri şartlı olarak ikiye ayrılabilir:

Dış Tehditler – bu sistemlere dışarıdan yapılan hırsızlık ve aldatma girişimleridir, amacı sisteme veya gizli bilgilere erişim elde etmektir. Bu şunları içerebilir:

• Phishing veya zararlı e-postalar – çalışan, posta veya iş chat\’inde bir bağlantı veya eklenti içeren bir e-posta alır. Bağlantıya tıkladıktan sonra, zararlı yazılım kişisel bilgilere erişim sağlar. 
• Sosyal Mühendislik – dolandırıcılar sistemi hacklemez, bir insanı aldatırlar. Arayabilir veya yazabilirler, kendilerini yan departmandan bir kolayga veya yönetici olarak tanıtabilirler. Amacı güven kazanıp çalışandan parolaları öğrenmek veya müşteri verilerini almaktır.

Dış saldırılar – insan hatasının bir sonucudur. Çalışanların eğitimi ve ek öğrenimi, tehdidi zamanında fark etmeyi ve kandırılmaktan kaçınmayı öğretebilir.

İç Tehditler – şirket içinde yanlış yapılandırmalar ve eylemlerin sonuçları. Bunlar şunları içerebilir:

• Zayıf Parolalar – kolayca tahmin edilebilir, bu da sisteme giriş olanağı anlamına gelir;
• İşten Çıkarılanların Erişimleri – eski çalışanın hesabı bloke edilmezse, iç bilgileri kişisel amaçlar için kullanabilir;
• Erişim Hakları – bir kullanıcının görevlerini yerine getirmek için gerekenden daha fazla erişim hakkı varsa, gizli bilgilerin sızıntı riski artar.

Siber güvenlik tehditleri özel teknik bilgi gerektirmez, ancak dikkat edilmeden hiçbir bilgi sızıntısına karşı koruma etkili çalışmayacaktır.

Güvenliğin Başlangıcı

Oki-toki\’ye Yeni Bir Kullanıcı Kaydı

Kullanıcı ekleme “Kullanıcıları Yönetme” yetkisiyle mümkündür. Davetiyeyi göndermek için bir e-posta adresi yeterlidir – yeni çalışana kurumsal bir e-mail verin (eğer öngörülmüşse) veya kendi kişisel e-postasını kullanmasını sağlayın.

Kullanıcının kaydı onaylaması ve sisteme giriş yapması için 7 günü vardır.Yeni çalışandan kayıt sırasında gerekenler:

• Gerçekten güvenilir bir parola. İşaret çeşitliliği (sayılar, büyük ve küçük harfler, özel karakterler) otomatik parola seçimi sırasında olası kombinasyon sayısını artırır – milyonlarca olası seçenek. 
• Parolanın sızdırılmasını engelleyin veya üçüncü şahıslara aktarılmasını. Erişim kodu gizli kalmalıdır. Bunu meslektaşlarınıza vermeyin, tarayıcılarda saklamayın veya diğer kişilerin erişimine sahip olduğu cihazlarda otomatik giriş özelliğini kullanmayın. Parolaları kağıt üzerine veya bilgisayardaki şifrelenmemiş dosyalarda kaydetmeyin.
• Modern parola yönetim servislerine güvenin – “Google Parola Yöneticisi”, “Bitwarden”, “Lastpass” vb.

Güvenilir bir parola – contact center güvenliğinin ilk ve çok önemli bir aşamasıdır.

Erişim Yönetimi: Rolleri ve Projeleri

“Roller” kullanıcının sistemdeki yetkilerini tanımlar. Örneğin, bir agent sadece kendi aramalarını ve widget bilgilerini görürken, bir süpervizör istatistik ve raporları görür. “Admin”, “Agent”, “Süpervizör” gibi varsayılan rolleri kullanabilir veya kendi rollerinizi oluşturabilirsiniz. Rol, kullanıcının sadece ihtiyacı olan bölümlere erişimi olacak şekilde davet sırasında ayarlanır.

“Projeler” ile işi farklı iş süreçleri veya şirket görevleri arasında bölebilir, bunları birbirinden izole edebilirsiniz. Kullanıcılar sadece kendi yönlerindeki verileri görecek. Bu, çalışanların erişimini kontrol etmeye ve gizliliği korumaya yardımcı olur. \”Her projeden bağımsız olarak her şeyi görebilme\” hakkı tüm verilere erişim sağlar. Varsayılan olarak, bu izin \”Admin\” rolünde mevcuttur. 

İşten Ayrılan Bir Çalışanın Erişimi Ne Yapılmalı?

Eğer bir çalışan artık şirketinizde çalışmayacaksa – onu hizmetten hemen çıkarmanız önemlidir. Kullanıcının profilindeki “Sisteme Erişim” onay kutusunu işaretleyerek giriş yetkisini engelleyebilir, çalışanın iş verilerini koruyabilirsiniz.

Raporlama tamamlandığında – kullanıcıyı arşive taşıyın. Veri saklama süresi sona erdikten sonra, arşiv kullanıcıları otomatik olarak silinecektir. Kullanıcıyı şirketten çıkararak manuel olarak silebilirsiniz, ancak bu işlem sonrasında raporlama toplamak mümkün olmayacaktır.

Oki-Toki\’de Faydalı Güvenlik Seçenekleri.

Call center\’lar için müşterilerin kişisel bilgilerinin korunması yalnızca bir gereklilik değil, bir yükümlülüktür. Oki-toki\’de verilere erişimi kontrol etmeye ve ek koruma katmanları oluşturmaya yardımcı olan birçok seçenek vardır. Her bir çözümü daha detaylı inceleyelim.

Sosyal Medya Entegrasyonu

Sisteme giriş için Google veya Facebook hesabınızı kullanabilirsiniz. Hesabın bağlanması profil ayarlarında mümkündür.

Bağlandıktan sonra, onay için bir e-posta gönderilecektir. Artık kullanıcı sisteme sosyal ağ üzerinden veya normal parola ile giriş yapabilir.Bunun neden gerekli olduğu? Birincisi, bu pratiktir – daha az giriş bilgisi, parolanın unutulması için daha az sebep. İkincisi, bu güvenlidir: Google ve Facebook kendi koruma sistemlerini kullanır ve siz bu korumayı Oki-Toki\’ye girişe aktarırsınız. 

İki Faktörlü Doğrulama (2FA)

\”İki faktörlü\” – kimlik doğrulamayı telefondaki yetkilendirilmiş bir uygulama üzerinden ek bir onayla gerçekleştirir. Hatta parola çalınsa bile, kod olmadan giriş yapılamaz.2FA\’yı etkinleştirmek için kullanıcı ayarlarına gidin ve “Google Authenticator” veya “Microsoft Authenticator” uygulamasını telefonunuza indirin. Uygulamayı ve versiyonu Android veya IOS için seçin. Uygulamayı kurduktan sonra, doğrulamayı aktifleştirmek için “Bağlan” düğmesine basın. 

Şimdi, bir hesaba giriş yapmaya çalışırken uygulamadan bir kod girmeniz gerekecek. Kullanıcıda “Profil Düzenle” yetkisi varsa, iki faktörlü doğrulamayı her zaman devre dışı bırakabilir. Diğer çalışanlarda bu ayarı devre dışı bırakma yetkisi \”Kullanıcıları Yönetme\” yetkisine bağlıdır

Belirlenen IP Adreslerinden Giriş

IP sınırlaması, yalnızca belirli adreslerden sisteme bağlanılmasına izin verir. Örneğin, ofis internetinden. Bu, yabancı cihazlardan veya diğer ağlardan erişim girişimlerini engellemek için kullanılabilir. Güvenilir IP listesini şirket ayarlarında girebilirsiniz. Kullanıcıların Oki-Toki\’ye girebileceği bir veya daha fazla adres belirtin. Bu, sabit çalışma yerleriniz ve sürekli bir IP adresiniz varsa kullanılması gereken ek bir güvenlik seviyesidir.

Şirketiniz için IP kısıtlaması etkinleştirilmişse ancak bazı çalışanların herhangi bir adresten erişimine ihtiyacı varsa, bu roller aracılığıyla ayarlanabilir. \”Belirlenen IP’leri Yoksay\” seçeneğini aktif edin ve bu kullanıcı herhangi bir IP adresinden sisteme giriş yapabilecektir.

API Anahtarları ve Güvenliği

API (Uygulama Programlama Arayüzü) – diğer sunucular ve servislerle entegrasyon aracıdır. Veri alışverişi yapmak veya iş süreçleri için basit işlemleri gerçekleştirmek – örneğin, CRM ile entegrasyon – mümkün kılar. Veri alışverişine erişim, “API Token” olarak adlandırılan anahtar ile korunur. Bu tür bir anahtar, kullanıcı profil ayarlarında bir çalışan için oluşturulabilir. Oki-Toki\’de API anahtarlarının güvenliği şu şekildedir:

• Rol ve proje ile sınırlı erişim – token yalnızca “Dış kaynaklar, entegrasyonlar ve olaylar ile yönetim (Webhook)” yetkisi olanlar tarafından ve yalnızca üyesi olunan projede kullanılabilir;
• Token limiti – bir kullanıcı için yalnızca bir API anahtarı üretilebilir;
• API çağrılarının raporlarda kaydı, her API isteği “Eylem Günlüğü”nde kaydedilir;
• Günlük token kullanım istatistikleri “Hizmetleri Yönet” bölümündeki “API Kullanımı” widget\’ında toplanmıştır.

Agent için Müşteri Numarasının Gizlenmesi

Bu seçenek, müşterinin telefon numarasını agent\’tan saklayarak kısmen maskelenmiş bir şekilde (örneğin, +39*******88) görüntüler. Numara, çağrı geçmişinde, numara çeviricide ve CRM anketinde gizlenir.Bu seçeneği kullanmak için, “Maskeleme alanlarını görmeme” yetkisi pasif olan yeni bir agent rolü oluşturun. Bu durumda kullanıcılar yalnızca numaranın bir kısmını görebilecek. Bu şekilde, potansiyel müşterilerin ve müşteri veritabanının bir agent üzerinden sızdırılma ihtimali minimize edilmiş olur. 

Önemli! Raporlardaki veriler açık kalır, bu yüzden agent\’ların call-center raporlarına kişisel hesaplarından erişim hakkı olmamalıdır.

Oki-Toki\’de Kullanıcı ve Eylemlerin İzlenmesi 

Çalışma alanın farklı koruma yollarına rağmen, sızıntılar hala “Kişisel Hesap” üzerinden mümkün olabilir. “Süpervizör”, “Yönetici” veya aşırı haklara sahip bir “Agent” kayıtları dinleyebilir, indirebilir ve raporluluk çıkarabilir. Bu durumda raporluluk ve kayıtların dışa aktarılmasından korunmak mümkün değildir ancak gerçekleştirilen eylemler detaylı bir şekilde kaydedilir. Oki-Toki\’de kullanıcı eylemlerini farklı raporlarla izleyebilirsiniz:

• Değişiklik Günlüğü – sistemde kimin ve ne zaman değişiklik yaptığına dair ek bir panel ile bilgiler. Log\’lara bakabilmek için “Değişiklik Günlüğünü Görüntüleme” hakkı gereklidir, varsayılan olarak “Yönetici” rolünde mevcuttur.

• Eylem Günlüğü – burada Oki-Toki\’de çalışanların aktivitesi hakkında bilgiler toplanmıştır. Standart sistem eylemlerinin yanı sıra API istekleri de kaydedilir. Arama, kullanıcı veya istek türüne göre erişilebilir. Oluşturulan raporda kullanıcı hakkında bilgiler, komutanın tam olarak ne zaman yapıldığı, eylemin gerçekleştirildiği URL ve API çağrısı parametreleri görüntülenir. 

• Aktif Oturumlar – iki bölümden oluşan bir rapor: 
  • “Yönetimsel Arayüz” – kullanıcının kim olduğu, rolü, IP adresi, son bulunduğu URL ve zamanı hakkında bilgiler;
  • “Agent Yeri” – agent\’lar, çalışma yerlerindeki durumları ve orada geçirdikleri zaman, kuyruk/otomatik arama adı ve aktif diyalogları varsa çağrı kimliği hakkında bilgiler. 
• Oturum Açma Günlüğü – kullanıcının sisteme girişi hakkındaki bilgiler burada toplanır: tarih, saat, IP adresi, tarayıcının adı ve versiyonu.

• Audio Kayıtların Dinlenmesi – kimin bir ses dosyasını dinlediği veya dışa aktardığı bilgiler, ses kayıtlarıyla yapılan eylemlerin geçmişinde Çağrı Günlüğü’nde toplanmıştır. 

Siber güvenlik ve veri koruma bir call-center\’ın güvenliğinin bir parçasıdır. Önemli olan, erişim ve hakların çalışanın görevleriyle uyumlu olması ve eylemlerin sistemde kaydedilmesidir. Ek koruma seçeneklerini devreye alın, bunun bir kural olmasını sağlayın, istisna değil. Bu, riskleri azaltmaya ve önemlisi şirketinize olan müşteri güvenini korumaya yardımcı olacaktır.[:]