Mail Order / Telephone Order, comúnmente abreviado como MOTO, sigue siendo uno de los canais de pago mais significativos para las empresas europeas. Compañías de seguros, agencias de viajes, serviços gubernamentales, fornecedores de suministros, retalhistas por catálogo e fornecedores B2B dependen en gran medida de los pagos telefónicos. A pesar del crecimiento del ecommerce, las transações MOTO representaron un volumen estimado de 180.000 millones de euros en pagos europeus en 2024, e el canal sigue a crescer en los sectores onde la atenção personalizada, los encomendas complejos o los requisitos normativos hacen esencial la interacção telefónica.
Sin embargo, los ambientes MOTO presentan algunos de los desafíos de conformidade PCI DSS mais difíciles. Los dados de cartão são pronunciados en voz alta por los clientes, introducidos en los sistemas por los agentes, potencialmente visualizados en pantallas visibles para el personal cercano e capturados en gravações de chamadas que podem conservarse durante años. Cada uno de estos puntos de contacto representa un punto de exposição que deve protegerse según el PCI DSS. Para los operadores de call centers, esto crea un programa de conformidade fundamentalmente diferente, e a menudo mais dispendioso, que el necesario para proteger una página de checkout online.
- Los pagos MOTO crean un âmbito PCI único: los dados de cartão podem exponerse através de audio vocal, pantallas de agentes, entrada de teclado e gravações de chamadas simultáneamente.
- El mascaramento DTMF e el IVR seguro permiten a los clientes introducir las dígitos de la cartão por teclado de forma que el agente nunca oiga ni vea el número completo de la cartão.
- Los call centers que usan un PCI Proxy con mascaramento DTMF podem calificar tipicamente para SAQ A-EP en lugar del mucho mais exigente SAQ D.
Qué São los Pagos MOTO e Como funcionan
Los pagos MOTO são transações card-not-present (CNP) en las que el titular de la cartão proporciona sus dados de cartão por correo o telefone en lugar de presentar una cartão física o interactuar con un formulário online. En la práctica, la gran mayoría del volumen MOTO actual es por telefone. El fluxo típico es simple: un cliente llama a una empresa, un agente asiste con el pedido y, quando llega el momento de pagar, el cliente lee su número de cartão, la fecha de validade e el CVV. El agente introduce estos detalles en un terminal de pago, en el sistema CRM o en un formulário de pago web, e la transação se processa.
La simplicidade de este fluxo es precisamente lo que lo faz problemático desde el punto de vista PCI. En múltiples puntos durante la interacção, los dados sensíveis de la cartão existen de forma accesible al ser humano: el cliente los pronuncia, el agente los escucha, la pantalla del agente los muestra, el teclado del agente los captura y, de manera crítica, el sistema de grabação de chamadas podría almacenarlos. Cada uno de estos puntos de exposição crea âmbito PCI DSS e exige controles de segurança específicos.
Las transações MOTO se clasifican como transações card-not-present por las redes de cartões, lo que significa que estão sujetas a tasas de fraude mais altas e comisiones de intercambio mais elevadas que las transações autenticadas con chip-y-PIN o 3D Secure. Esto também significa que la responsabilidade por las transações fraudulentas recae tipicamente sobre el comércio.
Requisitos PCI DSS Específicos para Ambientes MOTO
El PCI DSS no tem un estándar separado para los pagos MOTO, mas varios requisitos têm implicaciones específicas para los ambientes de pago telefónico. El estándar se aplica a cualquier sistema, proceso o persona que almacene, procese o transmita dados de titulares de cartão, e en un call center esto inclui a los agentes, sus puestos de trabajo, la infraestrutura telefónica, la aplicação CRM o de pago e el sistema de grabação de chamadas.
Requisitos PCI DSS Clave para los Call Centers
- Requisito 3: Proteger los dados almacenados de los titulares de cartão. Si los números de cartão aparecen en gravações, registros CRM o notas de agentes, devem estar cifrados, enmascarados o, idealmente, no almacenarse en absoluto.
- Requisito 4: Cifrar la transmisión de dados de titulares de cartão. El enlace telefónico entre el cliente e el sistema de pago deve protegerse: aplica a trunks SIP, conexiones IVR e comunicaciones del escritorio del agente.
- Requisito 7: Limitar el acceso a los dados de titulares. Los agentes devem ver apenas los dados de cartão mínimos necesarios, e el acceso deve estar basado en roles e registrado.
- Requisito 8: Identificar e autenticar el acceso. Cada agente deve ter un ID único, con autenticação multifactor para los sistemas que gerem dados de cartão bajo PCI DSS v4.0.
- Requisito 9: Segurança física. Los puestos de los agentes en las áreas de gestão de cartões devem estar en ambientes controlados con cámaras, cartões de acceso e restricciones de dispositivos personales.
Para un call center sin ninguna tecnología de reducção de âmbito, estos requisitos se traducen en SAQ D, el cuestionario de autoavaliação PCI mais completo, con mais de 300 controles individuales. El custo de manter el conformidade SAQ D para un call center con 200 puestos oscila tipicamente entre 120.000 e 250.000 € anuales, considerando segmentação de red, zonas seguras dedicadas, auditorias QSA, tests de penetração, ferramentas de segurança e formação del personal.
El Dilema de la Grabação de Chamadas
La grabação de chamadas es obligatoria en muchos sectores europeus. Las empresas de serviços financieros devem grabar chamadas en virtud de la MiFID II. Las aseguradoras graban para resolução de disputas e conformidade normativo. Los serviços de atenção al cliente graban para control de calidade e formação. El problema es que si los dados de cartão se pronuncian durante una chamada e esta se graba, la grabação se convierte en una ubicação de armazenamento para dados de titulares, poniendo toda la infraestrutura de grabação en el âmbito del PCI DSS.
El Requisito PCI DSS 3.2 establece explícitamente que los dados de autenticação sensíveis (incluyendo los códigos CVV/CVC) no devem almacenarse después de la autorização, incluso si estão cifrados. Esto significa que si un cliente pronuncia su CVV durante una chamada grabada, e la grabação captura ese audio, estás en infracção del PCI DSS, independientemente de si la grabação está cifrada. El CVV no pode almacenarse después de la autorização, punto.
La solução tradicional era el pause-and-resume: el agente pone manualmente en pausa la grabação quando el cliente empieza a comunicar los detalles de la cartão, e la reanuda después de que la cartão haya sido procesada. Esto funciona en teoría mas introduce riesgo operativo. Los agentes podem olvidar fazer la pausa, hacerlo demasiado tarde o no reanudar la grabação. En call centers de alto volumen, tasas de conformidade del pause-and-resume del 95% o superiores se consideran excelentes, mas eso significa que el 5% de las chamadas podría contener dados de cartão en la grabação, lo que es una infracção PCI.
Mais críticamente, el pause-and-resume deja al agente completamente expuesto a los dados de cartão. Escucha el número completo de la cartão, lo ve en pantalla e lo escribe en el sistema de pago. El agente e su puesto permanecen completamente en âmbito PCI.
Protocolos de Segurança para los Agentes
En los ambientes MOTO tradicionales, sin reducção tecnológica del âmbito, los agentes que gerem dados de cartão devem operar bajo estrictos controles físicos e procedimentales, exigidos por los Requisitos PCI DSS 7, 8 e 9.
Ambientes clean room: Los agentes que gerem dados de cartão devem trabajar en áreas físicamente protegidas. Estas "salas limpias" o "zonas seguras" exigem acceso controlado (lectores de cartão, puertas con mantrap), videovigilancia CCTV, restricciones en teléfonos móviles personales, cámaras e dispositivos de armazenamento USB, e prohibição de papel, bolígrafos e cualquier material utilizable para copiar números de cartão. Acondicionar e manter una sala limpia para un equipa de 50 puestos cuesta entre 30.000 e 60.000 € de inversión inicial mais 10.000-20.000 € anuales.
Mascaramento de pantalla e controles de sesión: Las aplicaciones de escritorio de los agentes devem configurarse para enmascarar los dados de cartão en pantalla, mostrando tipicamente apenas los últimos cuatro dígitos tras la introducção de la cartão. El software de captura de pantalla deve estar bloqueado e el acceso al portapapeles deve restringirse.
Verificação de antecedentes e formação: Los agentes con acceso a dados de titulares devem someterse a verificaciones de antecedentes e recibir formação anual de concienciação sobre PCI. Devem firmar declaraciones de conocimiento de las políticas de segurança.
Controles de auriculares e audio: En algunos ambientes de alta segurança, los agentes usan auriculares especializados que impiden que el audio sea escuchado por el personal adyacente. Las barreras acústicas, los generadores de ruido blanco e los requisitos de distancia entre escritorios também podem imponerse.
Soluciones Tecnológicas para el Conformidade MOTO
La buena noticia es que las soluciones tecnológicas modernas podem eliminar la mayoría de los controles de segurança humanos e físicos descritos anteriormente, garantizando que los agentes nunca tengan acceso a los dados de cartão. Tres tecnologías principales abordan este desafío.
Mascaramento DTMF
El mascaramento DTMF (Dual-Tone Multi-Frequency) es la tecnología mais ampliamente adoptada para los pagos MOTO seguros. Cuando el agente llega a la fase de pago, faz clic en un botón para iniciar la captura de la cartão. Se pide al cliente que introduzca el número de cartão, la fecha de validade e el CVV usando el teclado del telefone en lugar de pronunciar las dígitos en voz alta.
Un PCI Proxy se posiciona entre el telefone del cliente e el fluxo de audio del agente. Intercepta los tonos DTMF genuinos (que codifican los dígitos reales), los captura e substitui el audio enviado al agente por tonos planos e uniformes. El agente escucha "bip, bip, bip" mas no pode determinar qué dígitos se han pulsado. Incluso la grabação de la chamada captura apenas los tonos planos. Mientras tanto, el PCI Proxy tokeniza el número de cartão e devuelve un token en la pantalla del agente.
El resultado: el agente nunca ve, oye ni tem acceso al número completo de la cartão. La grabação de la chamada no contiene dados de titulares. El puesto del agente queda fuera del âmbito PCI. Y el cliente vive una interacção de pago fluida e natural sin ser transferido a un sistema automatizado.
IVR Seguro
El IVR (Interactive Voice Response) seguro es un enfoque alternativo en el que el cliente se transfiere brevemente a un sistema de voz automatizado que recoge los detalles de la cartão. El agente queda en espera durante el proceso de captura e no tem acceso a los dados de cartão. Una vez que la cartão está tokenizada, la chamada vuelve al agente con el token mostrado en pantalla.
El IVR seguro es especialmente útil en ambientes onde la fiabilidade del DTMF es un problema o onde la base de clientes es menos cómoda con la introducção por teclado. El IVR pode guiar en múltiples idiomas e proporcionar instrucciones claras. El sistema de grabação excluye completamente el segmento IVR o captura apenas las instrucciones automatizadas sin dados de titulares.
Tokenização PCI Proxy
Tanto el mascaramento DTMF como el IVR seguro alimentan el motor de tokenização del PCI Proxy. El proxy captura los dados de cartão en un ambiente certificado PCI DSS Level 1, valida la cartão, tokeniza el PAN e devuelve un token en la pantalla del agente. El token pode usarse para el processamento del pago, almacenarse en el CRM e referenciarse para transações futuras, todo sin que ningún sistema del call center tenga acceso al número real de cartão.
Este enfoque desplaza al call center de SAQ D (mais de 300 requisitos) a SAQ A-EP (aproximadamente 140 requisitos) o incluso SAQ A (aproximadamente 22 requisitos), dependiendo de la arquitectura de integração. Los ahorros en custos são dramáticos: entre 80.000 e 150.000 € anuales para una operação típica de 200 puestos.
Comparação de Custos de los Enfoques de Conformidade
El caso financiero para el conformidade MOTO basado en tecnología es convincente. Esta es una comparação realista de los tres enfoques principales para un call center europeu con 200 puestos que processa 500.000 transações MOTO al año.
| Categoría de Custo | Tradicional (SAQ D) | Pause & Resume | PCI Proxy + DTMF |
|---|---|---|---|
| Segmentação de red | €25K–€40K | €20K–€35K | €0 |
| Sala limpia / segurança física | €30K–€60K | €30K–€60K | €0 |
| Honorários auditoría QSA | €20K–€50K | €20K–€50K | €5K–€15K |
| Pentests e escaneos | €15K–€30K | €15K–€30K | €5K–€10K |
| Ferramentas de segurança e monitoreo | €15K–€30K | €15K–€30K | €3K–€8K |
| Formação e verificação de personal | €10K–€20K | €10K–€20K | €2K–€5K |
| Subscrição PCI Proxy | - | - | €18K–€36K |
| Total Anual | €115K–€230K | €110K–€225K | €33K–€74K |
Los números cuentan una historia clara. El pause-and-resume ofrece ahorros insignificantes frente al enfoque tradicional porque el agente sigue gestionando los dados de cartão e todos los controles físicos, procedimentales e de monitoreo siguen siendo necesarios. PCI Proxy con mascaramento DTMF, por el contrario, elimina completamente al agente del fluxo de dados de cartão, suprimiendo la necesidade de salas limpias, segmentação de red extensa e gran parte del âmbito de auditoría QSA. La reducção total de custos es tipicamente del 60-75%.
Conclusão
Los pagos MOTO no van a desaparecer. Para muchas empresas europeas, los pagos telefónicos siguen siendo un canal esencial, impulsado por la preferencia de los clientes, los requisitos normativos, la complejidade del producto o la necesidade de atenção personal. Pero la carga del conformidade PCI DSS para los ambientes MOTO tradicionales es desproporcionadamente alta en relação al riesgo, e los custos se acumulan año tras año con cada ciclo de auditoría, oleada de rotação de personal e atualização de infraestrutura.
Las soluciones basadas en tecnología, mascaramento DTMF, IVR seguro e tokenização PCI Proxy, cambian fundamentalmente la ecuação. Al eliminar los dados de cartão del agente e de la infraestrutura del call center, estas soluciones eliminan la causa raíz de la complejidade PCI MOTO. Los agentes se concentran en el serviço al cliente en lugar de en los procedimientos de segurança. Las gravações de chamadas permanecen continuas e completas, satisfaciendo tanto los requisitos PCI como los normativos. Y los custos de conformidade se reducen entre un 60-75%, liberando presupuesto para las prioridades de negocio.
Si tu call center sigue usando pause-and-resume o la captura de cartão tradicional, la pregunta no es si adoptar un PCI Proxy, sino cuán rápido puedes implementarlo. La tecnología está madura, la integração es sencilla e el ROI se mide en semanas, no en años.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nos