190 likes | 360 Views
Ügyfélazonosítás, mint a pénzügyi szolgáltatások kockázati faktora Szabó Kristóf főosztályvezető Multi-channel Management Dept. Raiffeisen Bank Rt. Téma. A sokcsatornás értékesítés Tudásbázisú IT rendszerek kialakulása Ügyfélazonosítás problematikája Azonosítási típusok
E N D
Ügyfélazonosítás, mint a pénzügyi szolgáltatások kockázati faktoraSzabó KristóffőosztályvezetőMulti-channel Management Dept.Raiffeisen Bank Rt.
Téma • A sokcsatornás értékesítés • Tudásbázisú IT rendszerek kialakulása • Ügyfélazonosítás problematikája • Azonosítási típusok • Termék/csatorna/ügyfél hozzárendelések • Védelem és azonosítás elkülönülése • Kockázatcsökkentés/kockázatkezelés • Lehetséges black box koncepció • Azonosítási, jogosultságkezelési táblák • Uniformizált tranzakciós üzenetek • Plug-in bővítés, azonosítási variációk • Az e-aláírás használata • Tudásbázisú ügyfélazonosítás szervezeti kezelése • Környező rendszerekkel szembeni követelmények • Jogosultságok szintje • Felhasználói csoportok • Delegálható funkciók
A sokcsatornás értékesítés igényei • Elérhetőség:országos, több szintű, diszkrimináció nélküli. • Bankfiókok: fizilai elérhetõség, teljes termékskála, “hozzáadott érték” szolgáltatások • Alternatív csatornák: alacsony tranzakciós költségek, médium által fókuszált ügyfélcsoport kiszolgálása, széleskörű termékelérhetõség • Cél: “Bankolni” bárhol, bármikor, bárhogyan • Ügyfélkiszolgálás módja: • tömeges, de személyre szabott • 7/24, STP alapú - magasfokú transzparencia! • hatékony (ASP alapú?)
Mit jelent ez a változás üzleti szempontból? • Kereskedelmi kiszolgálás átalakulása: • B2B,B2C, kapcsolatok, néha C2C és C2B relációk • Termékkomplexitás kialakulása • (univerzális bank) • Információkezelés, • sales loop kialakítása • Ügyfél-bank viszony átalakulása: • Intelligencia „pótlás” lehetősége • felkészült ügyfél megjelenése
Kiszolgálási pontok várható átalakulása • Multi-opcionális értékesítés valósul meg; az univerzális médiahasználat irányába mozdul el a kiszolgálás.
Mit jelent ez a támogatás (IT) oldaláról? Új technológiák bevezetése: tudásalapú kiszolgálás megjelenése • egységesített ügyféladat-kezelés és analízis (Datawarehouse, Datamining) • 24 órás adatszolgáltatás és tranzakciófogadás (STP, 7/24) • egységes, központi azonosítás- és limitfigyelési rendszer igénye/lehetősége • központosított termék-munkafolyamati rendszer • központi értékesítéstámogató rendszer (CRM, univerzális médium-”csatolóegység”) • web alapú (inter/intranet, wap, stb.) alkalmazások fokozott terjedése
Email GSM IVR Call Center FAX Internet GSM FAX Internet IVR CALL CENTER ÉRTÉKESÍTÉSI CSATORNA KEZELŐ RENDSZER Keresőgép. egyeztetés Profilok Tartalom (INFO) ADAT INTEGRÁTOR Transakciók NYILVÁNTARTÓ RENDSZEREK NYILVÁNTARTÓ RENDSZEREK ADATBÁZISOK ADATBÁZISOK Átalakuló értékesítés támogatás
Védelem és azonosítás elkülönülése • Eldöntendő kérdés: Visszaáélés vagy rendszerbetörés?! • ...szinte mindegy, mivel a tipikusan felmerülõ helyzetek: • nincs kidolgozott adatvédelmi kockázat politika a vállalatnál • nem megfelelõ módon biztosítottak a külsõ adathozzáférési lehetõségek • egységes jogosultságkezelés hiánya • hiányos vagy hibás munkafolyamati leírások • hiányos adatkapcsolati szakmai ismeretek... • Mégis: 100%-os védelem nincs! A kockázat mindig az üzlet része marad... • Figyelem! A visszaélések kb. 80-90%-a belsõ információra épül!
Kapcsolat az “arctalan” ügyféllel... • E-business célja: • elektronikus úton személyre szóló információk nyújtása az ügyfelek számára, valamint • személyes (azonosítható) pénzügyi rendelkezések megadásának lehetővé tétele • Veszélyforrás: anonim ügyfélkapcsolatok kialakulása! • Jog által szükségszerûen támogatott kérdések: távolban levő partnerek jogi viszonyai • ->elektronikus aláírás és adatkezelés szabályzása • Kérdések: • szükséges, de elégséges-e a kialakuló szabályozás? • technikai lebonyolítás (CA-k kialakulása, stb)
Ügyfélazonosítás problémája • Alapkérdés: a pénzintézet “szolgáltat” vagy terméket árul?! • Termékhasználat: • Az ügyfél által használt csatornán az igénybe vett termék a kívánt érték mellett megfelelő kockázattal kezelhető-e (azonsítás biztonsági szintje megfelelő-e)? • Az ügyfél által használt csatornán az igényelt információ biztosíthat-e (azonsítás biztonsági szintje megfelelő-e)? • Ügyfélkiszolgálás • Hogyan viselkedjen a szervezet az ügyfélel szemben (CRM)
Modern azonosítási rendszerek • Követelmények: • A bank és a felhasználó kölcsönösen és egyértelmően azonosíthassa egymást • A bank a felhasználó jogosultságait saját üzleti logikája szerint rugalmasan szabályozhassa • A jogosultásg kezelő rendszernek nyitottnak kell lennie, hogy a későbbiekben bővülő szolgáltatásrendszerekhez kapcsolódó újabb azonosítási módozatok is beilleszthetők legyen keretei közé
Azonosítás típusok • Valami, amit a felhasználó tud (egy faktorú azonosítás): jelszó, PIN kód, megegyezett válasz • Valamit, amit a felhasználó birtokol (egy vagy két faktorú): kulcs, mágneskártya, smart kártya, token Az eszközöknek a használata sokszor párosul az első pontban bemutatott „valamit tudni” elvvel, tehát, meg kell adni még a jelszót is. Ezt a szekvenciát nevezik 2 faktorúnak azonosításnak, vagy „erős azonosításnak”. • Valami, amivel csak a felhasználó rendelkezik biometrikus tulajdonság: tenyér geometriája, ujjlenyomat, retina ér-térképe, emberi hang.
Azonosítás “erősségek” problémája • Az azonosítás igényelt erőssége relatív fogalom: az alkalmazandó megoldásnak pontosan az azonosítással védeni tervezett információ kockázati szintjének megfelelő kezelése lehet csak célja. A túlfeszített „biztonság” használhatóság csökkenést eredményez! • Az azonosítási módszerek alkalmazásának lehetőségét az alkalmazott médium technológiája befolyásolja! Egyelőre nincs univerzális azonosítási mód. Az ügyfelek többcsatornás értékesítés esetén szükségszerűen különböző módon azonosítják magukat.
„Black box” (AAA) koncepció • Tudásalapú ügyfélazonosítási modul • logikája kívülről láthatatlan • szabadon bővíthető új azonosítási módszerekkel • külső azonosítási szolgáltatók bekapcsolásának lehetősége (CMS modul, CA szolgáltatók) • egyszerűsített “go/no go” válasz kimenet • Működés: • Bemenet: tranzakciós üzenet + tetszőleges azonosítási módszer • Takart funkció: azonosítás ellenőzése, • azonosítási szint összrendelése a termékhasználati igénnyel, válasz generálás • Kimenet: egyszerűsített válasz
Azonosítási “erősségek” kezelése • Az azonosítást végző rendszernek képesnek kell lennie egyfajta pontozási rendszerben értékeket hozzárendelni az egyes használható módszerekhez. Ezzel lehetőség nyílik a termék vagy szolgáltatás használat szintekre osztott definiálására.
Termék/csatorna/ügyfél összerendelés • Példa: három dimenziós ábrázolás: • Kiszolgált felhasználók tere. A számlavezetési szolgáltatások specialitása, hogy nemcsak a számla tulajdonosa, hanem annak megbízottjai is rendelkezhetnek felette. Így az azonosítás kérdése nemcsak az ügyfelekre, hanem azok meghatalmazottaira is ki kell terjedjen. • Igénybe vehető értékesítési csatornák és azonosítási módozatok fajtái. Ezek száma és fajtái folyamatosan változnak. A különböző médiumokhoz természetszerűleg sokszor más és más azonosítási módszerek kapcsolódnak. • Igénybe vehető termékek használati limitei. Az egyes médiumokon alkalmazott azonosítás fajtája és a számlatulajdonos által meghatározott korlátok együttesen határozzák meg a szolgáltatások igénybe vételi lehetőségét. Válasz generálása scoring alapon, ahol a térmátrix csomópontjaihoz előírt azonosítási szinteket szükséges hozzárendelni.
Kockázatcsökkentés/kezelés módjai • Rendszerint csak az azonosítási módszerre gondolunk, pedig... • nem az egyre feszesebb azonosítás (pl. e-szigno) alkalmazása az egyetlen módszer. Vannak más kockázat csökkentési eszközök: pl. tranzakciós limitkorlátozások, ügyfél-szokás vizsgálat • a kockázat a pénzügyi szolgáltatóra nézve is veszély, nem az ügyfél problémája csak -> közös érdek a jó és minden szereplő számára elfogadható szolgáltatás kialakítása • a kockázat kérdése a jogi szabályzás, az alkalmazott biztonsági módszer valamint a védendő információ fontosságának összességéből (pl. használati frekvencia) tevődik össze
Központi azonosítás: szervezeti igények • Környező rendszerekkel szembeni követelmények: • azonosítási folyamatok szükségszerű átirányítása az azonosítási modul irányába (beépítet logikák kikapcsolása vagy „superuser”-ré átkapcsolása) • 7/24, igen magas (négy-öt kilences) rendelkezésre állás • Jogosultságok szintjei: • nem ad hoc (lásd piackövetés...), hanem megalapozott bankbiztonság technikai (technológia) és üzleti döntés alapján kerül besorolásra. Jellemzi a szervezet kockázatviselési koncepcióját. • Felhasználói csoportok • ügyfél (belső, külső) szegmentációjának megfelelő termék/szolgáltatás használati jogosultságcsoportok felállítása (pl. lakossági ügyfél, kisvállalati ügyfél, stb.). Egyszerűsíti az alapbeállítások megvalósítását új ügyfél esetén. • Delegálható funkciók: • black box operátori jogosultsága és üzemeltetése erősen korlátozott számú felhasználók körében (pl. bankbiztonság) • felhasználó regisztráció szervezet széles körében delegált feladat
Köszönöm kristofszabo@raiffeisen.hu