Interactive Voice Response (IVR)-betalningar tillåter kunder att hantera inköp och betala räkningar genom att interagera med ett automatiserat system.
Detta innebär att dina kunder inte längre behöver gå igenom det obekväma ögonblicket att läsa sina kortuppgifter högt för en av dina serviceagenter. I sin tur kan dina anställda också gå vidare för att ta itu med mer angelägna frågor samtidigt som du drar nytta av fördelarna med en hälsosammare arbetsmiljö och ökad kundnöjdhet – i de flesta fall.
I vissa fall kan IVR-system vara ett mål för hackare på grund av hur de samlar in och lagrar kunddata som kreditkortsuppgifter. Följaktligen finns det en labyrint av efterlevnadsregler du måste uppfylla för att ha ett IVR-betalningssystem på plats.
Visst, det kräver lite extra arbete, men i slutändan kan det vara väl värt det – både för dig och dina kunder.
Varför kunder älskar ett IVR-betalningsalternativ
Tänk på IVR som en auto-attendant på steroider. Om vanliga automatiska skötare utför grundläggande uppgifter, som att dirigera samtal eller spela upp meddelanden, länkar IVR-system till informationsdatabaser.
Som sådan kan IVR:er svara på frågor, lagra kundbeteendedata och naturligtvis hantera betalningar. Det här är bara några av sätten som gör IVR så vanliga bland VoIP-tjänsteleverantörer.
IVRs kommer också med många fördelar på affärssidan av saker, som att sänka kundservicekostnader och personalomsättning. Men kunderna älskar det här systemet också, särskilt när det kommer till betalningar.
Här är varför:
- Självbetjäningsbetalningar: Kunder kan göra betalningar enbart med IVR, så det finns inget behov av att dela kreditkortsuppgifter med en liveagent. Detta gör transaktionsprocessen mer bekväm.
- Bekvämlighet: Kunder kan göra betalningar 24/7/365. De behöver inte vänta på en agent eller vara tidsbegränsade av kundtjänstens arbetstider.
- Felfria transaktioner: Eftersom IVR-betalningar är automatiserade eliminerar de de flesta riskerna för skrivfel som följer med manuell datainmatning.
- Säkerhet: IVR-betalningssystem måste vara PCI DSS (Payment Card Industry Data Security Standard) kompatibla. Detta säkerställer att IVR-betalningssystem går igenom en rigorös process för att visa att känslig kunddata är mycket säker.
- Tillgänglighet: IRV-betalningssystem erbjuder flerspråkiga menyalternativ, som är perfekta för att minimera kommunikationsfel och betjäna en internationell kundbas.
IVR-betalningssystem kan vara agentassisterade eller självbetjänade. Agentassisterade system kräver att kunderna pratar med en försäljningsagent som guidar dem genom transaktionsprocessen.
Agenter har dock inte tillgång till kundens kreditkortsuppgifter i det här fallet – de ser bara om transaktionen avvisades eller godkändes, tillsammans med auktoriseringskoder. Med självbetjäningssystem interagerar kunderna direkt med IVR-systemet och kringgår serviceagenter helt och hållet.
Efterlevnadsutmaningar med IVR-betalningar
Som nämnts måste IVR-betalningar gå igenom en rigorös PCI DSS-efterlevnadsprocess.
PCI DSS är en uppsättning tekniska och operativa standarder på uppdrag av kreditkortsföretag som VISA, Mastercard och American Express. Alla företag som hanterar kreditkortsbetalningar måste följa dessa standarder för att hantera transaktioner och data säkert.
Det finns 12 steg och/eller riktlinjer för denna process:
- Installera och underhålla brandväggar: Brandväggar fungerar som en första försvarslinje mot potentiella cyberattacker eftersom de begränsar trafik som kommer till och från ditt nätverk.
- Använd inte leverantörens standardinställningar för lösenord och andra parametrar: Standardinställningarna för nätverk och systemsäkerhet är lätta att utnyttja. Det är obligatoriskt att ändra dem med anpassade lösenord.
- Skydda lagrad kunddata: Upprätta korrekt datalagring och lagringspolicyer. Kortinnehavarens uppgifter bör bevaras så kort tid som möjligt och rensas regelbundet.
- Kryptera kortinnehavarens dataöverföring: All dataöverföring över offentliga nätverk (som internet, Bluetooth, satellitkommunikation och VoIP-telefonnätverk) kräver solida säkerhetsprotokoll och kryptografi för att säkerställa kortinnehavarens dataskydd.
- Använd och uppdatera antivirusprogram: Antivirus är obligatoriska och måste uppdateras regelbundet i alla system som hanterar kortinnehavarens data.
- Utveckla och underhålla säkra appar och system: Alla interna program eller tredjepartsprogram bör kontrolleras för säkerhetsbrister och korrigeras om några problem upptäcks.
- Testa säkerhetssystem med jämna mellanrum: Testa regelbundet systemnätverk, programvara och komponentsäkerhet.
- Utveckla en säkerhetspolicy: Utveckla och underhålla en säkerhetspolicy som inkluderar en dokumentriskbedömningsprocess, teknikanvändningspolicyer, en incidentresponsplan för systemintrång, ett formellt medvetenhetsprogram och en säkerhetsansvarsdefinition för all personal.
- Övervaka åtkomst till kortinnehavarens data och nätverksresurser: Använd loggningsmekanismer för att spåra kortinnehavare och nätverksåtkomst. Revisionsspårhistoriken bör sparas i minst ett år.
- Begränsa fysisk åtkomst till kortinnehavarens information: Fysisk åtkomst till kortinnehavarens information – eller system som interagerar med den – måste begränsas för att säkerställa dataintegritet.
- Dela endast kortinnehavarens information om du behöver veta: Ge behöriga medarbetare precis tillräckligt med kortinnehavare för att kunna utföra sina uppgifter – inget mer.
- Tilldela en unik ID/IP-adress till varje användare: Begränsa personalens åtkomst baserat på deras individuella behörigheter och underhålla revisionsspår.
Tänk på att varje steg eller riktlinje bara är en modul och att varje modul har sin egen specifika delmängd av krav som måste uppfyllas. Totalt finns det över 200 artiklar på den fullständiga checklistan.
Ja, det kan låta skrämmande, men om ditt IVR-betalningssystem inte är PCI DSS-kompatibelt kan du få böter var som helst från $5 000 till $50 000 från kreditkortsföretag — och det är månadsböter.
Bortsett från böter kan du också drabbas av fläckar på ditt rykte och kundprocesser som kommer efter ett dataintrång. Ta British Airways brott från 2019till exempel.
Nu, med allt detta sagt, om du inte vill ta itu med besväret med att hantera kreditkortsdata, men du ändå vill erbjuda IVR-betalningsmöjligheter till dina kunder, kan du alltid lägga ut det på entreprenad.
Outsourcing av IVR-betalningar för att minska efterlevnadshuvudvärk
Med tanke på de hinder som följer av PCI DSS-efterlevnad har många entreprenörer hoppat in för att ta sig an dessa utmaningar för dig som en tjänst – precis som du skulle anlita någon annan för att betala din företagsskatt.
Idag har många IVR-betalningssystemleverantörer redan kraven i schack, och du kan se dem som IVR-versionen av Point-of-Sale (POS)-leverantörer. Allt du behöver göra är att integrera din befintliga IVR- eller callcenterprogramvara i deras system. Dina kunder kommer automatiskt att dirigeras till din leverantörs betalningssystem, vilket säkerställer en sömlös transaktionsprocess.
När kundkreditkortstransaktioner görs via din leverantörs system behöver du inte hantera kortinnehavarens data eller PCI-efterlevnad. Dessutom är IVR-betalningstjänster generellt tillgängliga från företag som också erbjuder pay-by-link-, webbbetalnings- och betalningsgateway-lösningar.
Som sagt, det finns några saker att tänka på när du letar efter en outsourcad IVR-betalningsleverantör.
Saker att tänka på när du väljer ett IVR-betalningssystem
PCI DSS nivå 1-certifiering
PCI DSS-efterlevnad är uppdelad i fyra nivåer kategoriserade efter antalet kreditkortstransaktioner ett företag hanterar per år.
Till exempel är PCI Level 4 för företag som bearbetar färre än 20 000 transaktioner per år, medan PCI Level 1 ges till företag som bearbetar över 6 miljoner transaktioner varje år. Obligatoriska säkerhetsåtgärder varierar från nivå till nivå.
Men eftersom PCI Level 1 hanterar det största antalet transaktioner, kommer det också med de strängaste kraven – vilket är anledningen till att du kanske vill prioritera leverantörer på denna nivå.
Några av PCI nivå 1-kraven inkluderar en årlig revision på plats av en intern säkerhetsbedömare (ISA) eller kvalificerad säkerhetsbedömare (QSA), en kvartalsvis nätverkssårbarhetsskanning utförd av en godkänd leverantör och minst ett årligt penetrationstest för cybersäkerhet.
Håll också utkik efter ytterligare certifikat som NACHA och HIPAA för att säkerställa att din IVR-leverantörs säkerhetsåtgärder är kompatibla med din bransch och kan hantera amerikanska elektroniska bank-till-bank-betalningar.
Systemintegrationer och skalbarhet
Håll utkik efter IVR-betalningslösningar som integreras med din befintliga programvara, som redovisning, e-handel, CRM och VoIP-lösningar.
Detta säkerställer att du kan förbli operativ före och efter implementering av IVR-betalningssystemet utan några problem. Vissa IVR-betalningsleverantörer erbjuder också anpassade integrationer genom API:er – vilket är utmärkt för skalbarhet.
På samma sätt är det en bra idé att överväga IVR-betalningsleverantörer som låter dig lägga till fler funktioner om det behövs, som samtalsutskrifter och möjligheten att hantera omnikanalsbetalningar.
Anpassning
Eftersom IVR-betalningar handlar om att göra dina kunder nöjda, bör din leverantör erbjuda breda anpassningsmöjligheter. Möjligheten att anpassa dina betalningsalternativ och automatiska uppmaningar är avgörande för att förbättra kundupplevelsen.
Samtidigt låter personliga välkomstmeddelanden och fakturamallar dig hålla saker på varumärket. Vissa IVR-betalningslösningar underlättar till och med dra-och-släpp-anpassning, så leta efter det om det är något som skulle göra ditt liv enklare.
Slutsats
Sammantaget kan IVR-betalningsoutsourcing göra underverk för ditt företag. Det ger kundtjänstmedarbetare tid att hantera viktigare frågor, samtidigt som dina kunder kan hantera betalningar snabbt utan att oroa sig om deras data är i fara.
Viktigast av allt, det besparar dig från migränen som kommer med PCI-efterlevnad, så överväg att ge det ett försök. Som sagt, gör din due diligence och se till att din IVR-leverantör uppfyller de kriterier du behöver.
