Mail Order / Telephone Order, comúnmente abreviado como MOTO, sigue siendo uno de los canales de pago más significativos para las empresas europeas. Compañías de seguros, agencias de viajes, servicios gubernamentales, proveedores de suministros, minoristas por catálogo y proveedores B2B dependen en gran medida de los pagos telefónicos. A pesar del crecimiento del ecommerce, las transacciones MOTO representaron un volumen estimado de 180.000 millones de euros en pagos europeos en 2024, y el canal sigue creciendo en los sectores donde la atención personalizada, los pedidos complejos o los requisitos normativos hacen esencial la interacción telefónica.
Sin embargo, los entornos MOTO presentan algunos de los desafíos de cumplimiento PCI DSS más difíciles. Los datos de tarjeta son pronunciados en voz alta por los clientes, introducidos en los sistemas por los agentes, potencialmente visualizados en pantallas visibles para el personal cercano y capturados en grabaciones de llamadas que pueden conservarse durante años. Cada uno de estos puntos de contacto representa un punto de exposición que debe protegerse según el PCI DSS. Para los operadores de call centers, esto crea un programa de cumplimiento fundamentalmente diferente, y a menudo más costoso, que el necesario para proteger una página de checkout online.
- Los pagos MOTO crean un alcance PCI único: los datos de tarjeta pueden exponerse a través de audio vocal, pantallas de agentes, entrada de teclado y grabaciones de llamadas simultáneamente.
- El enmascaramiento DTMF y el IVR seguro permiten a los clientes introducir las cifras de la tarjeta por teclado de forma que el agente nunca oiga ni vea el número completo de la tarjeta.
- Los call centers que usan un PCI Proxy con enmascaramiento DTMF pueden calificar típicamente para SAQ A-EP en lugar del mucho más exigente SAQ D.
Qué Son los Pagos MOTO y Cómo Funcionan
Los pagos MOTO son transacciones card-not-present (CNP) en las que el titular de la tarjeta proporciona sus datos de tarjeta por correo o teléfono en lugar de presentar una tarjeta física o interactuar con un formulario online. En la práctica, la gran mayoría del volumen MOTO actual es por teléfono. El flujo típico es simple: un cliente llama a una empresa, un agente asiste con el pedido y, cuando llega el momento de pagar, el cliente lee su número de tarjeta, la fecha de caducidad y el CVV. El agente introduce estos detalles en un terminal de pago, en el sistema CRM o en un formulario de pago web, y la transacción se procesa.
La simplicidad de este flujo es precisamente lo que lo hace problemático desde el punto de vista PCI. En múltiples puntos durante la interacción, los datos sensibles de la tarjeta existen de forma accesible al ser humano: el cliente los pronuncia, el agente los escucha, la pantalla del agente los muestra, el teclado del agente los captura y, de manera crítica, el sistema de grabación de llamadas podría almacenarlos. Cada uno de estos puntos de exposición crea alcance PCI DSS y requiere controles de seguridad específicos.
Las transacciones MOTO se clasifican como transacciones card-not-present por las redes de tarjetas, lo que significa que están sujetas a tasas de fraude más altas y comisiones de intercambio más elevadas que las transacciones autenticadas con chip-y-PIN o 3D Secure. Esto también significa que la responsabilidad por las transacciones fraudulentas recae típicamente sobre el comercio.
Requisitos PCI DSS Específicos para Entornos MOTO
El PCI DSS no tiene un estándar separado para los pagos MOTO, pero varios requisitos tienen implicaciones específicas para los entornos de pago telefónico. El estándar se aplica a cualquier sistema, proceso o persona que almacene, procese o transmita datos de titulares de tarjeta, y en un call center esto incluye a los agentes, sus puestos de trabajo, la infraestructura telefónica, la aplicación CRM o de pago y el sistema de grabación de llamadas.
Requisitos PCI DSS Clave para los Call Centers
- Requisito 3: Proteger los datos almacenados de los titulares de tarjeta. Si los números de tarjeta aparecen en grabaciones, registros CRM o notas de agentes, deben estar cifrados, enmascarados o, idealmente, no almacenarse en absoluto.
- Requisito 4: Cifrar la transmisión de datos de titulares de tarjeta. El enlace telefónico entre el cliente y el sistema de pago debe protegerse: aplica a trunks SIP, conexiones IVR y comunicaciones del escritorio del agente.
- Requisito 7: Limitar el acceso a los datos de titulares. Los agentes deben ver solo los datos de tarjeta mínimos necesarios, y el acceso debe estar basado en roles y registrado.
- Requisito 8: Identificar y autenticar el acceso. Cada agente debe tener un ID único, con autenticación multifactor para los sistemas que gestionan datos de tarjeta bajo PCI DSS v4.0.
- Requisito 9: Seguridad física. Los puestos de los agentes en las áreas de gestión de tarjetas deben estar en entornos controlados con cámaras, tarjetas de acceso y restricciones de dispositivos personales.
Para un call center sin ninguna tecnología de reducción de alcance, estos requisitos se traducen en SAQ D, el cuestionario de autoevaluación PCI más completo, con más de 300 controles individuales. El coste de mantener el cumplimiento SAQ D para un call center con 200 puestos oscila típicamente entre 120.000 y 250.000 € anuales, considerando segmentación de red, zonas seguras dedicadas, auditorías QSA, tests de penetración, herramientas de seguridad y formación del personal.
El Dilema de la Grabación de Llamadas
La grabación de llamadas es obligatoria en muchos sectores europeos. Las empresas de servicios financieros deben grabar llamadas en virtud de la MiFID II. Las aseguradoras graban para resolución de disputas y cumplimiento normativo. Los servicios de atención al cliente graban para control de calidad y formación. El problema es que si los datos de tarjeta se pronuncian durante una llamada y esta se graba, la grabación se convierte en una ubicación de almacenamiento para datos de titulares, poniendo toda la infraestructura de grabación en el alcance del PCI DSS.
El Requisito PCI DSS 3.2 establece explícitamente que los datos de autenticación sensibles (incluyendo los códigos CVV/CVC) no deben almacenarse después de la autorización, incluso si están cifrados. Esto significa que si un cliente pronuncia su CVV durante una llamada grabada, y la grabación captura ese audio, estás en infracción del PCI DSS, independientemente de si la grabación está cifrada. El CVV no puede almacenarse después de la autorización, punto.
La solución tradicional era el pause-and-resume: el agente pone manualmente en pausa la grabación cuando el cliente empieza a comunicar los detalles de la tarjeta, y la reanuda después de que la tarjeta haya sido procesada. Esto funciona en teoría pero introduce riesgo operativo. Los agentes pueden olvidar hacer la pausa, hacerlo demasiado tarde o no reanudar la grabación. En call centers de alto volumen, tasas de cumplimiento del pause-and-resume del 95% o superiores se consideran excelentes, pero eso significa que el 5% de las llamadas podría contener datos de tarjeta en la grabación, lo que es una infracción PCI.
Más críticamente, el pause-and-resume deja al agente completamente expuesto a los datos de tarjeta. Escucha el número completo de la tarjeta, lo ve en pantalla y lo escribe en el sistema de pago. El agente y su puesto permanecen completamente en alcance PCI.
Protocolos de Seguridad para los Agentes
En los entornos MOTO tradicionales, sin reducción tecnológica del alcance, los agentes que gestionan datos de tarjeta deben operar bajo estrictos controles físicos y procedimentales, exigidos por los Requisitos PCI DSS 7, 8 y 9.
Entornos clean room: Los agentes que gestionan datos de tarjeta deben trabajar en áreas físicamente protegidas. Estas "salas limpias" o "zonas seguras" requieren acceso controlado (lectores de tarjeta, puertas con mantrap), videovigilancia CCTV, restricciones en teléfonos móviles personales, cámaras y dispositivos de almacenamiento USB, y prohibición de papel, bolígrafos y cualquier material utilizable para copiar números de tarjeta. Acondicionar y mantener una sala limpia para un equipo de 50 puestos cuesta entre 30.000 y 60.000 € de inversión inicial más 10.000-20.000 € anuales.
Enmascaramiento de pantalla y controles de sesión: Las aplicaciones de escritorio de los agentes deben configurarse para enmascarar los datos de tarjeta en pantalla, mostrando típicamente solo los últimos cuatro dígitos tras la introducción de la tarjeta. El software de captura de pantalla debe estar bloqueado y el acceso al portapapeles debe restringirse.
Verificación de antecedentes y formación: Los agentes con acceso a datos de titulares deben someterse a verificaciones de antecedentes y recibir formación anual de concienciación sobre PCI. Deben firmar declaraciones de conocimiento de las políticas de seguridad.
Controles de auriculares y audio: En algunos entornos de alta seguridad, los agentes usan auriculares especializados que impiden que el audio sea escuchado por el personal adyacente. Las barreras acústicas, los generadores de ruido blanco y los requisitos de distancia entre escritorios también pueden imponerse.
Soluciones Tecnológicas para el Cumplimiento MOTO
La buena noticia es que las soluciones tecnológicas modernas pueden eliminar la mayoría de los controles de seguridad humanos y físicos descritos anteriormente, garantizando que los agentes nunca tengan acceso a los datos de tarjeta. Tres tecnologías principales abordan este desafío.
Enmascaramiento DTMF
El enmascaramiento DTMF (Dual-Tone Multi-Frequency) es la tecnología más ampliamente adoptada para los pagos MOTO seguros. Cuando el agente llega a la fase de pago, hace clic en un botón para iniciar la captura de la tarjeta. Se pide al cliente que introduzca el número de tarjeta, la fecha de caducidad y el CVV usando el teclado del teléfono en lugar de pronunciar las cifras en voz alta.
Un PCI Proxy se posiciona entre el teléfono del cliente y el flujo de audio del agente. Intercepta los tonos DTMF genuinos (que codifican los dígitos reales), los captura y sustituye el audio enviado al agente por tonos planos y uniformes. El agente escucha "bip, bip, bip" pero no puede determinar qué cifras se han pulsado. Incluso la grabación de la llamada captura solo los tonos planos. Mientras tanto, el PCI Proxy tokeniza el número de tarjeta y devuelve un token en la pantalla del agente.
El resultado: el agente nunca ve, oye ni tiene acceso al número completo de la tarjeta. La grabación de la llamada no contiene datos de titulares. El puesto del agente queda fuera del alcance PCI. Y el cliente vive una interacción de pago fluida y natural sin ser transferido a un sistema automatizado.
IVR Seguro
El IVR (Interactive Voice Response) seguro es un enfoque alternativo en el que el cliente se transfiere brevemente a un sistema de voz automatizado que recoge los detalles de la tarjeta. El agente queda en espera durante el proceso de captura y no tiene acceso a los datos de tarjeta. Una vez que la tarjeta está tokenizada, la llamada vuelve al agente con el token mostrado en pantalla.
El IVR seguro es especialmente útil en entornos donde la fiabilidad del DTMF es un problema o donde la base de clientes es menos cómoda con la introducción por teclado. El IVR puede guiar en múltiples idiomas y proporcionar instrucciones claras. El sistema de grabación excluye completamente el segmento IVR o captura solo las instrucciones automatizadas sin datos de titulares.
Tokenización PCI Proxy
Tanto el enmascaramiento DTMF como el IVR seguro alimentan el motor de tokenización del PCI Proxy. El proxy captura los datos de tarjeta en un entorno certificado PCI DSS Level 1, valida la tarjeta, tokeniza el PAN y devuelve un token en la pantalla del agente. El token puede usarse para el procesamiento del pago, almacenarse en el CRM y referenciarse para transacciones futuras, todo sin que ningún sistema del call center tenga acceso al número real de tarjeta.
Este enfoque desplaza al call center de SAQ D (más de 300 requisitos) a SAQ A-EP (aproximadamente 140 requisitos) o incluso SAQ A (aproximadamente 22 requisitos), dependiendo de la arquitectura de integración. Los ahorros en costes son dramáticos: entre 80.000 y 150.000 € anuales para una operación típica de 200 puestos.
Comparación de Costes de los Enfoques de Cumplimiento
El caso financiero para el cumplimiento MOTO basado en tecnología es convincente. Esta es una comparación realista de los tres enfoques principales para un call center europeo con 200 puestos que procesa 500.000 transacciones MOTO al año.
| Categoría de Coste | Tradicional (SAQ D) | Pause & Resume | PCI Proxy + DTMF |
|---|---|---|---|
| Segmentación de red | €25K–€40K | €20K–€35K | €0 |
| Sala limpia / seguridad física | €30K–€60K | €30K–€60K | €0 |
| Honorarios auditoría QSA | €20K–€50K | €20K–€50K | €5K–€15K |
| Pentests y escaneos | €15K–€30K | €15K–€30K | €5K–€10K |
| Herramientas de seguridad y monitoreo | €15K–€30K | €15K–€30K | €3K–€8K |
| Formación y verificación de personal | €10K–€20K | €10K–€20K | €2K–€5K |
| Suscripción PCI Proxy | - | - | €18K–€36K |
| Total Anual | €115K–€230K | €110K–€225K | €33K–€74K |
Los números cuentan una historia clara. El pause-and-resume ofrece ahorros insignificantes frente al enfoque tradicional porque el agente sigue gestionando los datos de tarjeta y todos los controles físicos, procedimentales y de monitoreo siguen siendo necesarios. PCI Proxy con enmascaramiento DTMF, por el contrario, elimina completamente al agente del flujo de datos de tarjeta, suprimiendo la necesidad de salas limpias, segmentación de red extensa y gran parte del alcance de auditoría QSA. La reducción total de costes es típicamente del 60-75%.
Conclusión
Los pagos MOTO no van a desaparecer. Para muchas empresas europeas, los pagos telefónicos siguen siendo un canal esencial, impulsado por la preferencia de los clientes, los requisitos normativos, la complejidad del producto o la necesidad de atención personal. Pero la carga del cumplimiento PCI DSS para los entornos MOTO tradicionales es desproporcionadamente alta en relación al riesgo, y los costes se acumulan año tras año con cada ciclo de auditoría, oleada de rotación de personal y actualización de infraestructura.
Las soluciones basadas en tecnología, enmascaramiento DTMF, IVR seguro y tokenización PCI Proxy, cambian fundamentalmente la ecuación. Al eliminar los datos de tarjeta del agente y de la infraestructura del call center, estas soluciones eliminan la causa raíz de la complejidad PCI MOTO. Los agentes se concentran en el servicio al cliente en lugar de en los procedimientos de seguridad. Las grabaciones de llamadas permanecen continuas y completas, satisfaciendo tanto los requisitos PCI como los normativos. Y los costes de cumplimiento se reducen entre un 60-75%, liberando presupuesto para las prioridades de negocio.
Si tu call center sigue usando pause-and-resume o la captura de tarjeta tradicional, la pregunta no es si adoptar un PCI Proxy, sino cuán rápido puedes implementarlo. La tecnología está madura, la integración es sencilla y el ROI se mide en semanas, no en años.