View a markdown version of this page

Principios de diseño para desarrollar un centro de contacto seguro en Connect Customer - Amazon Connect Customer
Connect Customer Security JourneySeguridad de datos en Connect CustomerGestión de identidad y accesoControles de detecciónProtección de la infraestructuraProtección de datosConnect Customer: vectores de seguridadRecursos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Principios de diseño para desarrollar un centro de contacto seguro en Connect Customer

La seguridad incluye la capacidad de proteger la información, los sistemas y los activos a la vez que se proporciona valor empresarial mediante evaluaciones de riesgos y estrategias de mitigación. En esta sección se proporciona una descripción general de los principios de diseño, las mejores prácticas y las preguntas relacionadas con la seguridad de las cargas de trabajo de Connect Customer.

Connect Customer Security Journey

Una vez que haya tomado la decisión de trasladar su carga de trabajo a Connect Customer, además de revisar Seguridad en Connect Customer y Mejores prácticas de seguridad para Connect Customer seguir estas pautas y pasos para comprender e implementar sus requisitos de seguridad relacionados con las siguientes áreas de seguridad principales:

Un diagrama que muestra las principales áreas de seguridad que se deben implementar en Connect Customer.

Entender las AWS Modelo de seguridad

Cuando traslada los sistemas informáticos y los datos a la nube, las responsabilidades de seguridad se comparten entre usted y AWS. AWS es responsable de proteger la infraestructura subyacente que da soporte a la nube, y tú eres responsable de todo lo que pongas en la nube o conectes a la nube.

Comprensión del modelo AWS de seguridad.

AWS Los servicios que utilice determinarán la cantidad de trabajo de configuración que debe realizar como parte de sus responsabilidades de seguridad. Cuando se utiliza Connect Customer, el modelo compartido refleja AWS las responsabilidades del cliente a un alto nivel, como se muestra en el siguiente diagrama.

AWS modelo de responsabilidad compartida para Connect Customer.

Fundamentos de conformidad

Third-party los auditores evalúan la seguridad y el cumplimiento de Connect Customer como parte de varios programas de AWS cumplimiento. Entre ellos, se incluyen: SOC, PCI, HIPAA, C5 (Frankfurt) y HITRUST CSF.

Para obtener una lista de AWS los servicios incluidos en el ámbito de los programas de cumplimiento específicos, consulte AWS los servicios incluidos en el ámbito de aplicación por programa de cumplimiento. Para obtener información general, consulte Programas de conformidad de los servicios de AWS.

Selección de región

La selección de la región para alojar la instancia de Connect Customer depende de las restricciones de soberanía de los datos y de la ubicación de los contactos y los agentes. Una vez tomada esa decisión, revise los requisitos de red para Connect Customer y los puertos y protocolos que debe permitir. Además, para reducir el radio de explosión, utilice la lista de dominios permitidos o los rangos de direcciones IP permitidos para su instancia de Connect Customer.

Para obtener más información, consulte Configure su red para usar el panel de control de contacto con el cliente (CCP) de Connect.

AWS integración de servicios

Le recomendamos que revise cada AWS servicio de su solución en función de los requisitos de seguridad de su organización. Consulte los siguientes recursos:

Seguridad de datos en Connect Customer

Durante su proceso de seguridad, es posible que sus equipos de seguridad necesiten una comprensión más profunda de cómo se gestionan los datos en Connect Customer. Consulte los siguientes recursos:

Diagrama de carga de trabajo

Revise su diagrama de carga de trabajo y diseñe una solución óptima en AWS. Esto incluye analizar y decidir qué AWS servicios adicionales deberían incluirse en su solución y en cualquier aplicación local o de terceros que deba integrarse.

AWS Identity and Access Management (IAM)

Tipos de personas con clientes de Connect

Hay cuatro tipos de personas de Connect Customer, según las actividades que se realicen.

Tipos de personas de Connect Customer.

  1. AWS administrador: AWS los administradores crean o modifican los recursos de Connect Customer y también pueden delegar el acceso administrativo a otros directores mediante el servicio AWS Identity and Access Management (IAM). El ámbito de esta persona se centra en crear y administrar su instancia de Connect Customer.

  2. Administrador de Connect Customer: los administradores del servicio determinan a qué funciones y recursos de Connect Customer deben acceder los empleados en el sitio web de Connect Customer administración. El administrador del servicio asigna perfiles de seguridad para determinar quién puede acceder al sitio web de Connect Customer administración y qué tareas puede realizar. El ámbito de esta persona se centra en crear y administrar su centro de atención al cliente de Connect Customer.

  3. Agente de Connect Customer: los agentes interactúan con Connect Customer para realizar sus tareas laborales. Los usuarios del servicio pueden ser agentes o supervisores del centro de contacto.

  4. Contacto del servicio de atención al cliente de Connect: el cliente que interactúa con su centro de contacto de Connect Customer.

Prácticas recomendadas del administrador de IAM

El acceso administrativo de IAM debe estar limitado al personal aprobado de su organización. Los administradores de IAM también deben saber qué funciones de IAM están disponibles para su uso con Connect Customer. Para conocer las prácticas recomendadas de IAM, consulte Prácticas recomendadas de seguridad en IAM en la Guía del usuario de IAM. Consulte también Ejemplos de políticas basadas en la identidad de Connect Customer.

Mejores prácticas para administradores de servicio al cliente de Connect

Los administradores del servicio son responsables de administrar los usuarios de Connect Customer, lo que incluye añadir usuarios a Connect Customer, darles sus credenciales y asignarles los permisos adecuados para que puedan acceder a las funciones necesarias para realizar su trabajo. Los administradores deben comenzar con un conjunto mínimo de permisos y conceder permisos adicionales según sea necesario.

Perfiles de seguridad para el acceso al panel de control de clientes y contactos (CCP) de Connectle ayudan a administrar quién puede acceder al panel de control de Connect Customer y Contact, y quién puede realizar tareas específicas. Revise los permisos detallados concedidos a los perfiles de seguridad predeterminados disponibles de forma nativa. Se pueden configurar perfiles de seguridad personalizados para cumplir requisitos específicos. Por ejemplo, un agente avanzado que pueda atender llamadas, pero que también tenga acceso a informes. Una vez finalizado esto, se deben asignar los usuarios a los perfiles de seguridad correctos.

Multi-Factor Autentic

Para mayor seguridad, le recomendamos exigir la autenticación multifactor (MFA) para todos los usuarios de IAM de su cuenta. La MFA se puede configurar a través de AWS IAM, su proveedor de identidad SAML 2.0 o el servidor Radius, si es más adecuado para su caso de uso. Una vez configurada la MFA, aparece un tercer cuadro de texto en la página de inicio de sesión de Connect Customer para proporcionar el segundo factor.

Identidad federada

Además de almacenar los usuarios en Connect Customer, puede habilitar el inicio de sesión único (SSO) en Connect Customer mediante la federación de identidades. La federación es una práctica recomendada para permitir que los eventos del ciclo de vida de los empleados se reflejen en Connect Customer cuando se realizan en el proveedor de identidad de origen.

Acceso a aplicaciones integradas

Los pasos en su flujo pueden necesitar credenciales para acceder a la información en aplicaciones y sistemas externos. Para proporcionar credenciales para acceder a otros AWS servicios de forma segura, utilice las funciones de IAM. Un rol de IAM es una entidad que tiene su propio conjunto de permisos, pero que no es un usuario ni un grupo. Los roles tampoco tienen su propio conjunto permanente de credenciales y se rotan automáticamente.

Las credenciales, como las claves de la API, deben almacenarse fuera del código de su aplicación de flujo, donde puedan recuperarse mediante programación. Para ello, puede utilizar AWS Secrets Manager una solución de terceros existente. Secrets Manager le permite reemplazar las credenciales codificadas en el código, incluidas las contraseñas, con una llamada a la API de Secrets Manager para recuperar el secreto mediante programación.

Controles de detección

El registro y el monitoreo son importantes para la disponibilidad, la fiabilidad y el rendimiento del centro de contacto. Deberías registrar la información relevante de Connect Customer Flows en Amazon CloudWatch y crear alertas y notificaciones basadas en ella.

Debe definir los requisitos de retención de registros y las políticas de ciclo de vida desde el principio, y planificar el traslado de los archivos de registro a ubicaciones de almacenamiento rentables tan pronto como sea práctico. Connect Customer Public APIs log to AWS CloudTrail. Debe revisar y automatizar las acciones configuradas en función de CloudTrail los registros.

Amazon S3 es la mejor opción para la retención a largo plazo y el archivo de datos de registro, especialmente para las organizaciones con programas de conformidad que requieren que los datos de registro sean auditables en su formato nativo. Cuando los datos de registro se encuentren en un bucket de S3, defina las reglas del ciclo de vida para aplicar automáticamente las políticas de retención y traslade estos objetos a otras clases de almacenamiento rentables, como Amazon S3 Standard - Infrequent Access (Standard - IA) o Amazon Glacier.

La AWS nube proporciona una infraestructura y herramientas flexibles para respaldar tanto ofertas sofisticadas de cooperación como soluciones de registro centralizado autogestionadas. Esto incluye soluciones como Amazon OpenSearch Service y Amazon CloudWatch Logs.

La detección y prevención del fraude para los contactos entrantes se pueden implementar personalizando Connect Customer Flows según los requisitos del cliente. Por ejemplo, los clientes pueden comparar los contactos entrantes con la actividad previa de los contactos en DynamoDB y, a continuación, tomar medidas, como desconectar un contacto porque es un contacto bloqueado.

Protección de la infraestructura

Si bien Connect Customer no tiene ninguna infraestructura que administrar, puede haber situaciones en las que la instancia de Connect Customer necesite interactuar con otros componentes o aplicaciones implementados en una infraestructura que reside en las instalaciones. En consecuencia, es importante asegurarse de que los límites de la red se consideran bajo este supuesto. Revise e implemente consideraciones específicas de seguridad de la infraestructura de Connect Customer. Además, revise los escritorios de los agentes y supervisores del centro de contacto o las soluciones de VDI en cuanto a consideraciones de seguridad.

Puede configurar una función de Lambda para conectarse a subredes privadas en una nube virtual privada (VPC) de su cuenta de . Utilice Amazon Virtual Private Cloud para crear una red privada para recursos como bases de datos, instancias de caché o servicios internos. Conecte su función al cliente a la VPC para acceder a los recursos privados durante la ejecución.

Protección de datos

Los clientes deben analizar los datos que recorren la solución de centro de contacto e interactúan con ella.

  • Datos externos y de terceros

  • On-premises datos en arquitecturas híbridas Connect Customer

Tras analizar el ámbito de los datos, deben realizarse clasificaciones de los mismos prestando atención a la identificación de los datos confidenciales. Connect Customer se ajusta al modelo de responsabilidad AWS compartida. Protección de datos en Connect Customerincluye prácticas recomendadas, como el uso de MFA y TLS y el uso de otros AWS servicios, incluido Amazon Macie.

Connect Customer gestiona una variedad de datos relacionados con los centros de contacto. Esto incluye medios de llamadas telefónicas, grabaciones de llamadas, transcripciones de chats, metadatos de contactos, así como flujos, perfiles de enrutamiento y colas. Connect Customer gestiona los datos en reposo separándolos por ID de cuenta e ID de instancia. Todos los datos intercambiados con Connect Customer están protegidos en tránsito entre el navegador web del usuario y Connect Customer mediante un cifrado TLS de estándar abierto.

Puede especificar AWS KMS las claves que se utilizarán para el cifrado, incluida la opción «traiga su propia clave» (BYOK). Además, puede utilizar las opciones de administración de claves en Amazon S3.

Protección de datos mediante cifrado Client-Side

Su caso de uso puede requerir el cifrado de los datos confidenciales que recopilan los flujos. Por ejemplo, para recopilar la información personal adecuada a fin de personalizar la experiencia del cliente cuando interactúa con su IVR. Para ello, puede utilizar la criptografía de clave pública con el SDK de cifrado de AWS. El SDK de AWS cifrado es una biblioteca de cifrado del lado del cliente diseñada para que todos puedan cifrar y descifrar datos de manera eficiente utilizando estándares abiertos y mejores prácticas.

Validación de entradas

Realice la validación de entrada para asegurarse de que solo los datos con el formato adecuado se introducen en el flujo. Esto debería ocurrir lo antes posible en el flujo. Por ejemplo, al pedir a un cliente que diga o introduzca un número de teléfono, pueden incluir o no el prefijo de país.

Connect Customer: vectores de seguridad

La seguridad de Connect Customer se puede dividir en tres capas lógicas, como se muestra en el siguiente diagrama:

Connect Customer: vectores de seguridad.

  1. Estación de trabajo de agente. La capa de estación de trabajo del agente no está gestionada por ningún equipo físico AWS y tecnologías, servicios y puntos finales de terceros que ayudan a su agente a utilizar la voz, los datos y el acceso a la capa de interfaz Connect Customer, sino que está compuesta por ellos.

    Siga las prácticas recomendadas de seguridad de esta capa y preste especial atención a lo siguiente:

    • Planifique la administración de identidades teniendo en cuenta las prácticas recomendadas descritas en Mejores prácticas de seguridad para Connect Customer.

    • Mitigue las amenazas internas y el riesgo de conformidad asociados a las cargas de trabajo que gestionan información confidencial, mediante la creación de una solución de IVR segura que le permita eludir el acceso de los agentes a la información confidencial. Al cifrar la entrada de contactos en sus flujos, podrá capturar información de forma segura sin exponerla a sus agentes, sus estaciones de trabajo ni sus entornos operativos. Para obtener más información, consulte Cifre las entradas confidenciales de los clientes en Connect Customer.

    • Usted es responsable de mantener la lista permitida de direcciones AWS IP, puertos y protocolos necesarios para usar Connect Customer.

  2. AWS: La AWS capa incluye Connect Customer e AWS integraciones que incluyen Amazon DynamoDB AWS Lambda, Amazon API Gateway, Amazon S3 y otros servicios. Siga las pautas del pilar de seguridad para AWS los servicios, prestando especial atención a lo siguiente:

    • Planifique la administración de identidades teniendo en cuenta las prácticas recomendadas descritas en Mejores prácticas de seguridad para Connect Customer.

    • Integraciones con otros AWS servicios: identifique cada AWS servicio en el caso de uso, así como los puntos de integración de terceros aplicables a este caso de uso.

    • Connect Customer puede integrarse con AWS Lambda funciones que se ejecutan dentro de la VPC de un cliente a través de los puntos finales de VPC para Lambda.

  3. Externa: la capa Externa incluye puntos de contacto como chat, puntos de conexión de clic para llamar y la RTC para llamadas de voz, integraciones que pueda tener con soluciones de centro de contacto heredadas en una arquitectura de centro de contacto Híbrido e integraciones que pueda tener con otras soluciones de terceros. Cualquier punto de entrada o salida de un tercero en su carga de trabajo se considera la capa externa.

    Esta capa también abarca las integraciones que los clientes puedan tener con otras soluciones y aplicaciones de terceros, como sistemas CRM, gestión de personal (WFM) y herramientas y aplicaciones de generación de informes y visualización, como Tableau y Kibana. Debe tener en cuenta las siguientes áreas cuando proteja la capa externa:

    • Puede crear filtros de contacto para los contactos repetidos y fraudulentos y AWS Lambda escribir los detalles de contacto en DynamoDB desde su flujo, incluida la ANI, la dirección IP de los puntos finales de chat y de llamada con un clic, y cualquier otra información de identificación para hacer un seguimiento del número de solicitudes de contacto que se producen durante un período de tiempo determinado. Este enfoque le permite consultar y agregar contactos a las listas de denegación, desconectándolos automáticamente si superan unos niveles razonables.

    • Las soluciones de detección de fraudes de ANI que utilizan los metadatos de telefonía de Connect Customer y las soluciones de socios se pueden utilizar para protegerse contra la falsificación del identificador de llamadas.

    • Connect Customer Voice ID y otras soluciones biométricas de voz asociadas se pueden utilizar para mejorar y agilizar el proceso de autenticación. La autenticación biométrica de voz activa permite a los contactos la opción de pronunciar frases específicas y utilizarlas para la autenticación de la firma de voz. La biometría de voz pasiva permite a los contactos registrar su huella de voz única y utilizarla para autenticarse con cualquier entrada de voz que cumpla los requisitos de duración suficientes para la autenticación.

    • Mantenga la sección de integración de aplicaciones en la consola de Connect Customer para añadir aplicaciones o puntos de integración de terceros a su lista de permitidos y elimine los puntos finales no utilizados.

    • Envíe solo los datos necesarios para cumplir los requisitos mínimos a sistemas externos que manejen datos confidenciales. Por ejemplo, si solo tiene una unidad de negocio que utiliza su solución de análisis de grabación de llamadas, puede establecer un desencadenador de AWS Lambda en su bucket de S3 para procesar los registros de contacto, buscar las colas específicas de la unidad de negocio en los datos de los registros de contacto y, si se trata de una cola que pertenece a la unidad, enviar solo esa grabación de llamadas a la solución externa. Con este enfoque, solo se envían los datos necesarios y se evitan los costos y los gastos generales asociados al procesamiento de grabaciones innecesarias.

      Para ver una integración que permita a Connect Customer comunicarse con Amazon Kinesis y Amazon Redshift para permitir la transmisión de registros de contactos, consulte Integración de Connect Customer: transmisión de datos.

Recursos

Documentación

Artículos

Videos