Sistema de voz, el gran olvidado de los departamentos de seguridad: el caso de PCI

estandar de seguridad PCI. En este artículo, Iago Soto, CMO de Quobis, explica cómo la tecnología ayuda a garantizar el cumplimiento del estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS, en sus siglas en inglés), cuando un cliente llama a un contact center y realiza un pago por teléfono.

Según estudios de la industria, cuando se les preguntó a los clientes cómo pagaron la última vez que compraron por teléfono, un 46% de los encuestados respondió que se les pidió que leyeran los detalles de su tarjeta en voz alta. Este método conlleva un alto riesgo de filtración de datos, ya que no sólo el agente tiene acceso a esta información, sino que también, si se están grabando las llamadas, otras personas que accedan a esos sistemas (bien con permisos o sin ellos) también tendrá acceso a esta información.

Todos los centros de contacto que actualmente procesan pagos están familiarizados con el estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS). Se trata de un estándar para todas las organizaciones que manejan pagos con tarjeta de crédito, con el fin de evitar el fraude con las mismas. El Security Standards Council (SSC) se formó para agrupar las normativas individuales de todos los gestores de tarjetas de crédito (Visa, MasterCard, American Express, Discover y JCB) y construir un criterio conjunto. La versión v1.0 fue lanzada ya en 2004 y actualmente estamos en la versión 3.2.1.

Históricamente los departamentos de seguridad no han prestado una gran atención a los sistemas de voz. Intercepción ilegal, escuchas, grabaciones ilegales, suplantación de identidad, etc. son ejemplos de los múltiples ataques que pueden sufrir estos servicios. No se debe subestimar el riesgo y el impacto de las filtraciones de estas comunicaciones. Los call centers deben considerar no solo los costos directos (honorarios legales o las compensaciones a los clientes) sino también los costos como la reputación de la marca y la pérdida de confianza, lo que también tiene implicaciones financieras tangibles.Estándar PCI DSS.

El uso de tonos DTMF para el envío de información sensible

Existen varias opciones sobre cómo abordar el cumplimiento legal. Por ejemplo, se puede segmentar la red, pausar la grabación cuando el cliente proporciona los detalles de la tarjeta, hacer que otros equipos procesen estos pagos, etc. pero todas estas soluciones implican un alto costo de implementación y requieren cambios organizativos y tecnológicos. Una de las soluciones que están adoptando los call centers es el uso de tonos DTMF para entregar información al IVR. Por ejemplo, en llamadas de voz para recuperar deudas se utilizan tonos para enviar el número de la tarjeta de crédito. Estos tonos deben ser administrados por la pasarela de pagos, pero permanecer ocultos al agente, para minimizar el potencial riesgo de violación de datos.

Este enfoque permite cumplir dos de los requisitos de PCI que afectan los pagos a través de los sistemas de voz:

● Requisito 4. Encriptar la transmisión de datos de titulares de tarjetas a través de redes públicas abiertas. El cifrado sólido, que incluye el uso solo de claves y certificaciones confiables, reduce el riesgo de ser atacado por personas malintencionadas mediante piratería.
● Requisito 7. Restringir el acceso a los datos del titular de la tarjeta solo al personal autorizado. Se deben utilizar sistemas y procesos para restringir el acceso a los datos del titular de la tarjeta.

Esfuerzo de certificación PCI

Otro coste es el de certificación, que se traduce principalmente en costes de auditoría y procedimientos administrativos de regulación. Estos no afectan a todos los actores de la misma manera, ya que dependen del número de transacciones anuales, desde el nivel 1 (más de 6 millones por año) hasta el nivel 4 (menos de 20.000 transacciones por año). En cualquier caso, este coste de confirmación de que se han implementado los procedimientos de seguridad está presente y debe ser tenido en cuenta.

Existen una serie de recomendaciones que pueden ayudar a los call centers a reducir los costes y cumplir de una manera más fácil con la normativa PCI:

● La ocultación de los tonos DTMF como una forma de reducir los riesgos de seguridad y garantizar el cumplimiento de la normativa. Pausar y reanudar la grabación puede parecer una solución válida y barata, pero la realidad es que el agente escucha la información financiera del cliente. Esto significa que todavía hay un punto de riesgo en la cadena. Adicionalmente, los clientes suelen ser reacios a proporcionar sus datos bancarios a otra persona.
● Mantener los datos personales más críticos fuera de los sistemas del call center, siempre que sea posible: cuantos más datos recopilen y almacenen las empresas, mayor será el riesgo de pérdida de datos. Esto se traduce en mayores requisitos para garantizar el cumplimiento no solo con PCI sino también con otras regulaciones como GDPR.

Quobis ayuda a las empresas a implementar los elementos más adecuados para cumplir con la normativa actual. La arquitectura se basa en el uso de SBCs y/o servidores de medios que eliminan los tonos DTMF en la parte de agente mientras se entregan de manera segura a los elementos de gestión de pagos.

(Iago Soto, CMO de Quobis)