El cumplimiento PCI en call centers es uno de los ámbitos más complejos de la conformidad PCI DSS porque el problema surge en un canal que por naturaleza no fue diseñado para la seguridad de los datos de tarjeta: el teléfono. Cada vez que un operador escucha el número de tarjeta de un cliente, ese operador, su puesto de trabajo, el sistema de grabación de llamadas y toda la infraestructura telefónica entran en el perímetro del CDE. Existen soluciones técnicas precisas para eliminar este problema, sin sacrificar la experiencia del cliente.
El problema PCI en el call center: el operador que escucha el PAN
En los pagos MOTO (Mail Order / Telephone Order), el cliente comunica verbalmente el número de tarjeta al operador, que lo introduce en el sistema de pago. Este esquema simple crea un enorme problema de cumplimiento: el operador tiene acceso directo al PAN, el sistema de grabación de llamadas lo captura en claro, y cualquier sistema conectado al puesto del operador entra en el CDE. El perímetro a certificar se convierte en todo el call center.
Los requisitos PCI DSS para un call center que gestiona PAN incluyen controles físicos en los puestos de trabajo (sin teléfonos personales, sin papel y bolígrafo), políticas de acceso granulares, monitorización continua de las sesiones y reglas precisas sobre la grabación de audio. Prohibir la grabación de llamadas durante la fase de comunicación del PAN es un requisito, pero es técnicamente difícil de implementar de forma fiable sin soluciones dedicadas.
DTMF e IVR: las dos soluciones técnicas para los pagos telefónicos
La solución más eficaz para eliminar el PAN de la interacción con el operador es el DTMF (Dual-Tone Multi-Frequency). Con esta tecnología, cuando llega el momento del pago, el cliente introduce el número de tarjeta a través del teclado del teléfono en lugar de comunicarlo verbalmente. Los tonos DTMF son capturados directamente por el sistema de telefonía y enviados al vault de tokenización, sin pasar nunca por el audio que escucha el operador. El call center queda eliminado del ámbito PCI.
La segunda solución es el IVR (Interactive Voice Response): un sistema automático que gestiona toda la fase de recogida del pago sin intervención humana. El cliente se transfiere temporalmente al sistema IVR, introduce los datos de tarjeta, y luego se reconecta con el operador para completar la asistencia. Ambas soluciones pueden integrarse con PCI Proxy EU a través de API estándar compatibles con los principales sistemas de telefonía y contact center as a service.
Cómo PCI Proxy EU elimina el call center del ámbito PCI
La integración de PCI Proxy EU en el flujo MOTO funciona de este modo: cuando el operador inicia una transacción, el sistema genera una sesión de pago segura. El cliente introduce el número de tarjeta mediante DTMF o IVR; los tonos son interceptados y enviados directamente al vault de PCI Proxy EU, que devuelve un token. El operador solo ve el token en su interfaz: nunca tiene acceso al PAN real.
El resultado práctico es que el call center, los puestos de los operadores, los sistemas de grabación de llamadas y la infraestructura telefónica salen del perímetro PCI DSS. Permanece en el ámbito únicamente el vault de PCI Proxy EU, que está certificado PCI DSS Level 1. Para la empresa, esto significa menos documentación, menos controles, menos costes de cumplimiento, con la misma capacidad operativa de aceptar pagos telefónicos.
Preguntas frecuentes
¿La grabación de llamadas siempre está prohibida en el ámbito PCI?
No está prohibida en absoluto, pero el PCI DSS exige que los datos de autenticación sensibles (incluidos CVV y datos de la pista) no se graben nunca, ni siquiera en forma de audio. Si la grabación captura el momento en que el cliente comunica el número de tarjeta, esa grabación no cumple el estándar. Con el DTMF, los tonos se eliminan del flujo de audio antes de llegar al sistema de grabación, lo que hace posible la grabación completa de forma conforme.
¿El DTMF funciona también con los números 900 y gratuitos?
Sí. El DTMF es un protocolo estándar de telefonía compatible con cualquier infraestructura telefónica, incluidos los números gratuitos y los sistemas VoIP. La implementación requiere que el proveedor de telefonía soporte la decodificación de los tonos DTMF y los pase al sistema de PCI Proxy EU. La mayoría de los contact center as a service modernos soportan esta funcionalidad de forma nativa.
¿Cuánto tiempo se tarda en integrar una solución DTMF?
Los plazos varían según la infraestructura telefónica existente. En un entorno cloud contact center (como Genesys, Twilio, Amazon Connect), la integración con PCI Proxy EU requiere típicamente entre 2 y 4 semanas entre desarrollo, pruebas y puesta en marcha. En sistemas de telefonía on-premise más legacy, los plazos pueden extenderse a 2-3 meses debido a la complejidad de la integración.
¿Quieres eliminar el riesgo PCI de los pagos telefónicos de tu call center? Descubre PCI Proxy EU.