El conformidade PCI en call centers es uno de los ámbitos mais complejos de la conformidade PCI DSS porque el problema surge en un canal que por naturaleza no foi concebido para la segurança de los dados de cartão: el telefone. Cada vez que un operador escucha el número de cartão de un cliente, ese operador, su puesto de trabajo, el sistema de grabação de chamadas e toda la infraestrutura telefónica entran en el perímetro del CDE. Existen soluciones técnicas precisas para eliminar este problema, sin sacrificar la experiência del cliente.
El problema PCI en el call center: el operador que escucha el PAN
En los pagos MOTO (Mail Order / Telephone Order), el cliente comunica verbalmente el número de cartão al operador, que lo introduce en el sistema de pago. Este esquema simple crea un enorme problema de conformidade: el operador tem acceso directo al PAN, el sistema de grabação de chamadas lo captura en claro, e cualquier sistema conectado al puesto del operador entra en el CDE. El perímetro a certificar se convierte en todo el call center.
Los requisitos PCI DSS para un call center que gere PAN incluyen controles físicos en los puestos de trabajo (sin teléfonos personales, sin papel e bolígrafo), políticas de acceso granulares, monitorização continua de las sesiones e reglas precisas sobre la grabação de audio. Prohibir la grabação de chamadas durante la fase de comunicação del PAN es un requisito, mas es técnicamente difícil de implementar de forma fiable sin soluciones dedicadas.
DTMF e IVR: las dos soluciones técnicas para los pagos telefónicos
La solução mais eficaz para eliminar el PAN de la interacção con el operador es el DTMF (Dual-Tone Multi-Frequency). Con esta tecnología, quando llega el momento del pago, el cliente introduce el número de cartão através del teclado del telefone en lugar de comunicarlo verbalmente. Los tonos DTMF são capturados directamente por el sistema de telefonía e enviados al vault de tokenização, sin pasar nunca por el audio que escucha el operador. El call center queda eliminado del ámbito PCI.
La segunda solução es el IVR (Interactive Voice Response): un sistema automático que gere toda la fase de recogida del pago sin intervenção humana. El cliente se transfiere temporalmente al sistema IVR, introduce los dados de cartão, e luego se reconecta con el operador para completar la asistencia. Ambas soluciones podem integrarse con PCI Proxy EU através de API estándar compatibles con los principales sistemas de telefonía e contact center as a service.
Como PCI Proxy EU elimina el call center del ámbito PCI
La integração de PCI Proxy EU en el fluxo MOTO funciona de este modo: quando el operador inicia una transação, el sistema genera una sesión de pago segura. El cliente introduce el número de cartão mediante DTMF o IVR; los tonos são interceptados e enviados directamente al vault de PCI Proxy EU, que devuelve un token. El operador apenas ve el token en su interfaz: nunca tem acceso al PAN real.
El resultado práctico es que el call center, los puestos de los operadores, los sistemas de grabação de chamadas e la infraestrutura telefónica salen del perímetro PCI DSS. Permanece en el ámbito únicamente el vault de PCI Proxy EU, que está certificado PCI DSS Level 1. Para la empresa, esto significa menos documentação, menos controles, menos custos de conformidade, con la misma capacidade operativa de aceptar pagos telefónicos.
Preguntas frecuentes
La grabação de chamadas sempre está prohibida en el ámbito PCI?
No está prohibida en absoluto, mas el PCI DSS exige que los dados de autenticação sensíveis (incluidos CVV e dados de la pista) no se graben nunca, ni siquiera en forma de audio. Si la grabação captura el momento en que el cliente comunica el número de cartão, esa grabação no cumple el estándar. Con el DTMF, los tonos se eliminan del fluxo de audio antes de llegar al sistema de grabação, lo que faz posible la grabação completa de forma conforme.
El DTMF funciona também con los números 900 e gratuitos?
Sí. El DTMF es un protocolo estándar de telefonía compatible con cualquier infraestrutura telefónica, incluidos los números gratuitos e los sistemas VoIP. La implementação exige que el fornecedor de telefonía suporte la decodificação de los tonos DTMF e los pase al sistema de PCI Proxy EU. La mayoría de los contact center as a service modernos suportam esta funcionalidade de forma nativa.
Cuánto tiempo se tarda en integrar una solução DTMF?
Los prazos varían según la infraestrutura telefónica existente. En un ambiente cloud contact center (como Genesys, Twilio, Amazon Connect), la integração con PCI Proxy EU exige tipicamente entre 2 e 4 semanas entre desarrollo, testes e puesta en marcha. En sistemas de telefonía on-premise mais legacy, los prazos podem extenderse a 2-3 meses debido a la complejidade de la integração.
Quieres eliminar el riesgo PCI de los pagos telefónicos de tu call center? Descubre PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nos