ในบทความนี้เราจะมาแนะนำให้รู้จักมาตรฐานที่สำคัญสำหรับธุรกิจที่ขับเคลื่อนด้วย Call Center โดยเฉพาะอย่างยิ่งธุรกิจที่มีการชำระค่าสินค้าและบริการผ่านบัตรเครดิต

ปัจจุบันช่องทางการชำระเงินที่นิยมอย่างมาก คือ การใช้บัตรเครดิต เนื่องจากเป็นวิธีการชำระเงินที่สะดวกสบาย นอกจากนั้นร้านค้ายังสามารถจัดโปรโมชันต่าง ๆ ให้กับลูกค้าได้อีกด้วย แต่จะทำอย่างไรให้มั่นใจได้ว่า ข้อมูลสำคัญของบัตรเครดิต ไม่ว่าจะเป็นเลขบัตร เดือนปีหมดอายุ หรือรหัสยืนยัน (CVV หรือ CVC) ของลูกค้าจะไม่รั่วไหลออกไปจากระบบ โดยบทความนี้จะอธิบายพร้อมยกวิธีการสำหรับป้องกันปัญหาที่อาจจะเกิดขึ้นได้

PCI-DSS (Payment Card Industry-Data Security Standard) คืออะไร

PCI-DSS คือ มาตรฐานการรักษาความปลอดภัยของข้อมูลของอุตสาหกรรมบัตรชำระเงินหรือที่เรียกติดปากว่า บัตรเครดิตนั่นเอง PCI-DSS เป็นมาตรฐานที่ควบคุมดูแลโดยคณะกรรมการมาตรฐานการรักษาความปลอดภัยของ PCI ซึ่งก่อตั้งโดย American Express, Discover Financial Services, JCB International, MasterCard Worldwide และ Visa Inc. มาตรฐาน PCI-DSS เกี่ยวข้องกับการดูแล รักษาและปกป้องข้อมูลบัตรเครดิตของลูกค้าให้ไม่รั่วไหลออกจากระบบของบริษัท ซึ่งจะเกี่ยวโยงกับระบบสารสนเทศ ทั้งเครื่องเซิร์ฟเวอร์ (Server) และการวางระบบเครือข่าย (Network) ต้องให้มั่นใจว่าจะไม่ถูกบุกรุกหรือเจาะข้อมูลจากมิจฉาชีพภายนอก

PCI-DSS (Payment Card Industry-Data Security Standard) เกี่ยวข้องกับธุรกิจ Call Center อย่างไร

ธุรกิจ Call Center ในปัจจุบัน มักจะให้ลูกค้าชำระเงินค่าสินค้าหรือบริการผ่านบัตรเครดิตเพื่อความสะดวกและยังสามารถเสนอโปรโมชันจูงใจต่างๆ เช่น การผ่อนชำระเป็นรายงวด แต่อย่างไรก็ตาม มาตรฐาน PCI-DSS กำหนดไว้ว่า ห้ามจัดเก็บหรือบันทึกข้อมูลบัตรเครดิตของลูกค้า SAD (Sensitive Authentication Data) ไว้ในเครื่องคอมพิวเตอร์หรือในรูปแบบอื่นใด โดยมีวิธีการปฏิบัติเพื่อให้ตรงตามมาตรฐาน ดังนี้

1. ไม่บันทึกเสียงการสนทนา (Don’t record calls at all) วิธีนี้เป็นวิธีที่ง่ายและประหยัดค่าใช้จ่ายมากที่สุด แต่พนักงานต้องปฏิบัติงานในสภาพแวดล้อมที่มีการตรวจตราเพื่อให้มั่นใจว่าพนักงานไม่แอบจดหรือบันทึกข้อมูลบัตรเครดิตของลูกค้า อย่างไรก็ตามวิธีการนี้มีข้อเสียคือ ไม่สามารถทำการวิเคราะห์และตรวจสอบคุณภาพในการสนทนาย้อนหลังได้ เช่น วิเคราะห์ความพึงพอใจของลูกค้า นอกจากนี้ ในธุรกิจบางประเภท เช่น การขายกรมธรรม์ ยังมีกฎระเบียบบังคับให้มีการบันทึกเสียงการสนทนาคู่สาย เพื่อสามารถตรวจสอบการขายในกรณีที่เกิดปัญหาขึ้นในอนาคต

2. หยุดการบันทึกเสียงเฉพาะช่วง (Pause and resume) วิธีการนี้จะมีระบบบันทึกเสียงตลอดการสนทนา โดยที่พนักงานจะกดปุ่มหยุดการบันทึกเสียงชั่วคราวในช่วงที่ลูกค้าแจ้งรายละเอียดของบัตรเครดิต จากนั้นจึงกดปุ่มเพื่อบันทึกเสียงต่อจนจบการสนทนา วิธีการนี้มีข้อเสียหลักคือ พนักงานจะต้องไม่ลืมกดปุ่มปิดและเปิดการบันทึกเสียง ซึ่งเป็นภาระของพนักงานและยังอาจจะมีโอกาสผิดพลาดจากการลืมกดปุ่มปิดและเปิดของพนักงานได้ (Human Error)

3. ให้ลูกค้าให้ข้อมูลบัตรเครติตผ่านแป้นพิมพ์ (DTMF touchtone) วิธีการนี้พนักงานจะแจ้งให้ลูกค้ากดข้อมูลบัตรเครดิต ทั้งเลขบัตร และเดือนปีหมดอายุบนแป้นตัวเลขของโทรศัพท์ ข้อมูลทั้งหมดจะถูกเข้ารหัสและจัดเก็บในระบบโดยที่พนักงานที่สนทนาไม่เห็นหรือได้ยินข้อมูลบัตรเครดิตของลูกค้า วิธีการนี้จะต้องมีระบบที่รองรับการส่งข้อมูลผ่านแป้นพิมพ์ของเครื่องโทรศัพท์ซึ่งต้องรองรับกับเครื่องทุกยี่ห้อ และยังมีข้อเสียคือ หากลูกค้ากดเลขบัตรหรือเดือนปีหมดอายุผิดพลาดก็จะทำให้เกิดปัญหาได้ นอกจากนั้นสำหรับประเทศไทย วิธีการนี้ไม่เป็นที่นิยมเนื่องจากกลุ่มลูกค้ามีหลากหลาย บางกลุ่มไม่คุ้นชินกับการกดปุ่มบนแป้นพิมพ์ โดยมากพนักงานจะนิยมการพูดคุยและสอบถามข้อมูลบัตรเครดิต รวมทั้งมีการทวนข้อมูลซ้ำเพื่อให้มั่นใจว่าข้อมูลถูกต้อง

4. ใช้เทคโนโลยี AI ลบเสียงข้อมูลบัตรเครดิตอัตโนมัติ (Using AI Technology) วิธีการนี้จะใช้เทคโนโลยี AI ในการถอดเสียงการสนทนาอัตโนมัติ (Voice Transcription) และลบข้อมูลบัตรเครดิตออกจากไฟล์เสียง (Voice Masking) โดยต้องมีการฝึกอบรมให้พนักงานพูดตาม Script เช่น “ขอเลขบัตรเครดิต 16 หลัก” หรือ “ขอทราบเดือนปีหมดอายุ” เพื่อให้ AI สามารถตรวจจับคำและวลีได้อย่างแม่นยำ ข้อดีของวิธีการนี้คือ ไม่รบกวนหรือเปลี่ยนแปลงกระบวนการทำงานเดิมของพนักงาน ไม่ต้องกังวลว่าพนักงานจะลืมกดปุ่มปิดการบันทึกเสียงชั่วคราว นอกจากนั้นไฟล์ข้อความถอดเสียง สามารถนำไปเข้ากระบวนการตรวจสอบกฎระเบียบข้อบังคับ ของการขายประกัน เช่น การแนะนำตัวและแจ้งเลขที่อนุญาตของพนักงาน การแจ้งสิทธิการยกเลิกกรมธรรม์และการแจ้งรายละเอียดกรมธรรม์ให้ครบถ้วน เป็นต้น รวมทั้งตรวจสอบคุณภาพการสนทนาและประเมินความพึงพอใจของลูกค้า เพื่อปรับปรุงการให้บริการของพนักงานได้อีกด้วย

หากท่านกำลังมองหาเทคโนโลยี AI หรือโซลูชันที่สามารถช่วยในการ PCI-DSS Compliance สามารถติดต่อเราเพื่อรับคำปรึกษาได้โดยไม่มีค่าใช้จ่าย ติดต่อเรา

---

แหล่งที่มาและอ้างอิง

1. Protecting Telephone-Based Payment Card Data,

https://www.pcisecuritystandards.org/documents/Protecting_Telephone_Based_Payment_Card_Data_v3-0_nov_2018.pdf

2. How to make your call recordings PCI DSS compliant,

https://www.cardeasy.com/blog/how-to-make-your-call-recordings-pci-dss-compliant/

บทความที่น่าสนใจ