voip

Dentro de un proyecto de implantación PCI DSS nos podemos encontrar el caso en el que la entidad afectada reciba o proporcione datos de tarjeta a través de llamadas telefónicas, como puede pasar – por ejemplo – en un call center de venta telefónica. En estos casos nos pueden surgir dudas relacionadas sobre la aplicabilidad del estándar PCI DSS en dicho entorno, así como de las medidas de seguridad necesarias para su adecuada protección. En esta entrada intentaremos disipar algunas de estas dudas.

Para empezar, tenemos que tener claro que el estándar PCI DSS aplica a los entornos que almacenan, procesan o transmiten datos de tarjeta, y esto incluye los canales telefónicos (líneas tradicionales analógicas y de líneas de voz por IP (VoIP)). Podemos contrastar dicha aplicabilidad en el diagrama siguiente, que ha sido extraído del suplemento oficial del PCI SSC “Protecting Telephone-based Payment Card Data”:

flujograma

En concreto, podemos observar la aplicabilidad del estándar PCI DSS en los entornos de telefonía VoIP en la FAQ 1153 del PCI SSC:

Is VoIP in scope for PCI DSS?

PCI DSS requirements apply wherever account data is stored, processed, or transmitted. While PCI DSS does not explicitly reference the use of VoIP, VoIP traffic that contains cardholder data is in scope for applicable PCI DSS controls, in the same way that other IP network traffic containing cardholder data would be.

Note that VoIP transmissions originating from an external source and sent to an entity’s environment are not considered in scope for the entity’s PCI DSS compliance, as an entity cannot control the method of inbound phone calls that their customers and other parties may make, including whether any account data sent over that transmission is being adequately protected by the caller.  However, the entity does have control over transmissions, storage and processing of VoIP traffic within their own network, and any outbound transmissions that they instigate.  Therefore, VoIP traffic containing account data that is stored, processed or transmitted internally over an entity’s network, or transmitted externally by the entity, is in scope for applicable PCI DSS controls.

The PCI SSC also published an Information Supplement in March 2011 titled “Protecting Telephone Based Payment Card Data” which provides additional guidance for protecting cardholder data that is received via voice communications. This Information Supplement is available for download on the PCI SSC website.

Teniendo claro que el estándar PCI DSS aplica a este tipo de plataformas, la siguiente pregunta que nos podemos hacer es: ¿Cómo puedo aplicar los requerimientos del estándar PCI DSS a mi entorno de llamadas telefónicas?

Hoy en día, la mayoría de entidades disponen de sistemas de telefonía basados en Voz sobre IP (VoIP), cosa que hace que muchos de los requerimientos del estándar PCI DSS nos apliquen directamente a dicho entorno como, por ejemplo, los relacionados con la segmentación de las líneas de voz, el cifrado de las comunicaciones por canales públicos, la protección de las grabaciones de las llamadas, etc., y esto nos puede llegar a confundir.

Para solucionar dicha cuestión, ambos documentos nos dan una serie de recomendaciones a tener en cuenta para aplicar el estándar PCI DSS en dichos entornos de manera correcta, entre las que destacamos:

  • Las llamadas originadas desde un punto externo a nuestra entidad (por ejemplo un cliente que llame a nuestra centralita) no serán responsabilidad de la entidad afectada hasta el momento en el que dichas llamadas lleguen a las instalaciones de la misma. A partir de ese punto, el procesado, transmisión y/o almacenamiento de las llamadas deberá ser tratado acorde a los requerimientos de PCI DSS.
  • Será necesario aislar las VLANs de VoIP de las redes externas al entorno PCI DSS como si de redes de datos se trataran. Esto se deberá implementar a través de dispositivos capaces de definir ACL para segmentar a nivel de red (firewalls, routers, switches, etc).
  • Las llamadas que se originen en la entidad afectada y que sean transmitidas por redes públicas deberán ser cifradas, según el requerimiento 4 del estándar. Para ello, se presentan varias opciones:
    • Implementar un cifrado en la PBX, a través del protocolo SRTP.
    • Implementar un cifrado de canal a través de la PBX, con protocolo TLS 1.1 o superior (recordemos que SSL y las primeras versiones de TLS dejarán de ser aceptadas por el estándar PCI DSS en Junio 2018).
  • En caso de que no sea posible implementar dichas metodologías de cifrado, se deberán utilizar líneas analógicas de voz para la transmisión de la llamada por redes públicas.
  • En caso de que se almacenen grabaciones de las llamadas con datos de tarjeta, se deberá implementar una adecuada política de retención para dichos datos, según los requerimientos 3.1 y 3.2 del estándar. Esto incluye almacenar los datos PAN solamente el tiempo estrictamente necesario que haya definido el negocio, así como la prohibición del almacenamiento de los datos sensibles de autenticación (CVV2) después de la autorización bancaria.
  • Las grabaciones de llamadas telefónicas con datos de tarjeta se deberán almacenar de manera cifrada con algoritmos de criptografía sólida, según el requerimiento 3.4 del estándar. Esto pasa por cifrar dichas grabaciones con algoritmos robustos (como AES256 o superiores), e implementar una correcta gestión de claves de cifrado, de manera que solo el personal autorizado para tal efecto tenga acceso a escuchar a las grabaciones de llamadas.
  • El acceso lógico a la PBX, así como a los servidores y repositorios donde se almacenen las grabaciones de llamadas deberá estar restringido al máximo posible, de manera que solo el personal autorizado para tal efecto tenga acceso a dichos elementos, implementando una correcta aplicación de los requerimientos 7 y 8 del estándar.
  • Se deberán bastionar tanto la PBX como los servidores de grabación de llamadas y otros dispositivos involucrados en la transmisión de datos, según las mejores prácticas definidas por la industria.
  • Se deberán monitorizar las redes de voz con dispositivos IDS/IPS, de manera que las actividades no autorizadas sean detectadas a tiempo.
  • Las instalaciones físicas que almacenen las plataformas de llamadas deberán cumplir con los requisitos de seguridad física definidos en el requerimiento 9 del estándar.

Referencias

https://www.pcisecuritystandards.org/documents/protecting_telephone-based_payment_card_data.pdf

https://pcissc.secure.force.com/faq/articles/Frequently_Asked_Question/Is-VoIP-in-scope-for-PCI-DSS

https://pcissc.secure.force.com/faq/articles/Frequently_Asked_Question/Are-audio-voice-recordings-permitted-to-contain-sensitive-authentication-data

https://pciguru.wordpress.com/2011/06/07/voip-and-pci-compliance/

http://www.newvoicemedia.com/blog/voice-over-ip-and-pci-dss-compliance-what-are-the-issues/