Un canal de confianza previamente establecido
Para que un canal sea considerado seguro, la prioridad es la confianza del usuario, no es suficiente para que simplemente sea seguro. También debe ser conveniente, a menos que el usuario esté absolutamente desesperado y encerrado.
Esto significa que necesitas reutilizar un canal que el usuario ya conoce y confía sin crear o explicar algo nuevo.
Las siguientes vías vienen a la mente:
- Si todos los usuarios tienen cuentas existentes en su sistema web, enviar el número de seguro social (SSN, por sus siglas en inglés) es tan correcto como de cualquier otra forma: deben confiar en usted de todos modos, pero un sitio web https adecuado se sentirá adecuado. Puede ser una ventaja si el SSN enviado no se almacena visiblemente, si su perfil de usuario solo muestra una casilla de verificación "Sí, ha enviado su SSN, lo hemos guardado en un lugar seguro".
- Si los usuarios tienen su aplicación móvil, entonces probablemente se sentirán seguros al ingresar los datos allí, ya que no hay indicadores razonables para que sientan que su enfoque es menos seguro que, por ejemplo. su correo electrónico en ese dispositivo. Es su trabajo asegurarse de que el envío sea realmente seguro, pero no influye directamente en las impresiones del usuario.
Las formas sugeridas de enviar por teléfono me parecen menos apropiadas. El hecho de decirle sus datos a un operador (probablemente el salario mínimo, posiblemente en el extranjero) por teléfono supone un riesgo de seguridad; se podría argumentar que, sin embargo, si su SSN llega allí, esos empleados no deberían tener acceso para verlo. Sin embargo, habrá un segmento de usuarios, por ejemplo, Personas mayores, que preferirán este canal de todos modos a cualquier cosa digital.
El correo electrónico con un enlace seguro parece ser la peor opción. Si bien su correo electrónico con ese enlace puede ser seguro, no hay una manera fácil de distinguirlo de una operación de phishing, por lo que dichos correos electrónicos serán (¡y deberían ser!) Desconfiados por definición. La forma adecuada sería un correo electrónico que les informe para iniciar sesión en su sitio de la forma habitual , y recibir una notificación personal en su sitio llevarlos al formulario correspondiente cuando / si se registran.