지난 몇 년 동안 기업은 훨씬 더 상호 의존적이 되어 사용자는 비밀번호를 공유하고, 시스템에서는 타사에서 운영하는 백엔드 기술을 사용합니다. 따라서 해커가 기업의 보안을 침해할 때 처음에 예상한 것보다 더 광범위한 서비스 및 정보에 대한 액세스 권한을 획득하는 경우가 종종 발생합니다.
이로 인해 비밀번호를 재설정해야 하거나, 신용 기록을 동결하거나, 이용 당한 은행 계좌 및 사기 사례를 처리해야 하는 등 고객에게 수 많은 골칫거리가 생길 수 있습니다. 2018년 수 억 명의 고객에게 영향을 미친 상위 21개 보안 침해 사례를 살펴보면 위험의 범위에 대한 아이디어를 얻을 수 있습니다.
이러한 보안 침해는 피해 브랜드에 엄청난 손해를 끼치는 것 외에 고객에게도 매우 위험합니다. 이러한 유형의 침해는 특히, 성장하는 금융 기술 부문에서 활동하는 기업에게 위험합니다. 모바일 뱅킹, 디지털 지갑 및 온라인 결제 처리 등 해당 서비스를 사용하는 고객은 편의성, 뛰어난 서비스를 기대하며, 개인 정보와 관련된 경우에는 안심할 수 있기를 원합니다.
이는 고객 및 고객의 회사 둘 다의 데이터를 보호하는 고객 서비스 솔루션을 필요로 하는 핀테크 고객 지원 선도 기업에게 심각한 문제를 제시합니다. 따라서 고객 서비스 소프트웨어를 평가할 때 의사결정권자는 무엇을 찾아야 할까요?
제품 보안
가장 기본적인 수준에서 고객 서비스 소프트웨어는 안전한 데이터 암호화를 제공해야 합니다. 예를 들어, 서버와 여러분 간에 이동하는 데이터의 경우 전송 계층 보안 암호화 프로토콜을 준수해야 합니다. 이는 또한 암호화된 보안 이메일을 위한 환경 제공을 의미하고, 사용자가 신용 카드 번호 등과 같은 중요한 정보를 자동으로 삭제해주는 설정을 사용할 수 있게 해야 합니다.
또한 강력한 상담원 및 관리자 보안 조치를 마련하는 것도 중요합니다. 해당 조치에는 고객이 사용자 이름 및 비밀번호 이외에 일반적으로 사용자의 휴대폰으로 전송되는 코드를 입력하도록 요구하는 2단계 인증과 사용자가 단일 자격 증명으로 여러 애플리케이션에 액세스하도록 허용하는 SSO 등이 있습니다. 여러분의 팀이 고객 서비스 소프트웨어를 통해 다른 제품 및 데이터 소스와 통합되는 맞춤 앱을 개발할 수 있어야 하기 때문에 API 서비스에는 강력한 보안 및 인증 조치가 마련되어 있어야 합니다.
한편, 관리자는 IP 제한을 설정하고, 사용자 비밀번호의 보안 수준을 관리하고, 관리자 기능에 액세스할 수 있는 사람을 제한하도록 역할을 설정할 수 있어야 합니다.
규정 준수 및 산업 표준
고객 서비스 소프트웨어 공급자가 보안을 중요하게 여긴다고 말하는 경우 확실히 하기 위해 제3자 검증을 수행하는 것이 좋습니다. 규정 준수 표준을 충족함으로써 공급자는 고객 데이터를 어떻게 보호하는지 정확하게 보여줄 수 있습니다. 여기 여러분이 찾아야 할 몇 가지 표준이 있습니다.
SOC 2 Type II. 일반인의 경우 SOC 2 Type II는 조직이 클라우드에 저장되는 고객 데이터에 관해 엄격한 보안 조치를 따름을 의미합니다. 그런 다음 제3자가 해당 조직의 운영을 감사하는데, 통상적으로 6개월 가량 걸립니다. 이는 고객이 해당 기업이 강력한 보안 제어 시스템을 구현했는지 여부를 파악하는데 도움이 됩니다.
ISO 27001:2013. 국제 표준화 기구에서 확립한 이 표준을 따르는 공급자는 비즈니스와 관련된 위험을 해결하는 것을 목표로 하는 확고한 정보 보안 프로세스를 설정한 것입니다. 이 표준을 충족하기 위해서는 지속적인 개선 및 위험 관리 문화를 구축해야 하는데, 이는 공급자가 새로운 보안 과제를 충족할 준비가 되었는지 확인하는 데 중요한 요소입니다.
ISO/IEC 27018:2019. 이 클라우드 컴퓨팅 표준은 기업에서 개인 식별 정보(PII)를 보호하는 방법에 관한 내용입니다. 이 표준을 충족하는 조직은 법, 규정 및 계약상의 합의를 따르고, 보안 위험을 파악하고, 이에 대비하고 있는 것입니다.
유럽 연합의 일반 데이터 보호 규정. EU에서 운영되거나 EU 시장의 고객에게 서비스를 제공하는 모든 핀테크 기업은 엄격한 개인정보 보호 규정인 GDPR을 따라야 하며 위반 시 엄중한 처벌을 받습니다. 이는 고객 데이터를 EU 국경 내에 저장해야 함을 의미하지는 않지만, 데이터가 저장된 국가에 동일하게 엄격한 데이터 보호 법규가 마련되어 있어야 합니다.
신뢰하되 확인하기
소프트웨어 공급자가 보안 위험을 심각하게 받아들인다고 주장하는 것은 모두 좋은 일이지만 고객 데이터 보호와 관련해서는 언제나 조심해야 합니다. 따라서 진지한 공급자는 규정 준수를 확인하기 위해 또는 보안 모범 사례를 따르고 있는지 확인하기 위해 제3자 평가를 수행합니다.
제3자 인증 이외에 재해 복구 옵션, 잦은 보안 교육 및 인식 세션, 정기적인 포괄적 검토 등과 같이 명확하고 실행 가능한 보안 조치를 제공하는 파트너가 필요할 것입니다. 그렇다면 다음과 같이 질문해 보세요. 해당 공급자가 침투 테스트를 실시하고, 안전한 개발 및 배포 관행을 따르고, 사고 관리 프로세스를 마련해 두었습니까? 이러한 각 질문에 대해 확실하게 예라고 말할 수 있다면 고객 데이터가 안전하다고 확신하는 데 도움이 될 것입니다.