Ya han pasado casi 7 años desde la publicación de la versión 2.0 del suplemento informativo para la protección de datos de tarjetas en pagos por teléfono (“Information Supplement: Protecting Telephone-based Payment Card Data”). En noviembre de 2018 el PCI SSC publicó la versión 3.0 del mismo documento, fruto del trabajo de los grupos de interés especial (“Special Interest Group” – SIG), que se encargaron de actualizar los criterios de seguridad con base en las nuevas tecnologías de telefonía y soluciones de centros de contacto (“contact centers”). De hecho, uno de los principales objetivos de esta actualización está en la gestión de la seguridad a tener en cuenta en las migraciones de telefonía basada en RDSI (Red Digital de Servicios Integrados – “Integrated Services Digital Network” – ISDN) y RPTC (Red Pública Telefonica Conmutada – “Public Switched Telephone Networks” – PSTN) hacía servicios de Voz sobre IP (“Voice-over-IP” – VoIP) basados en H.323 y Session Initiation Protocol (SIP).

 NOTA: Se puede encontrar información adicional en el artículo “Protección de datos de tarjetas en pagos vía telefónica y grabación de llamadas en Centros de Llamadas (Call Centers)” en donde se analizó la versión 2.0 del suplemento informativo de pagos por teléfono.

La publicación de este suplemento informativo es particularmente importante, dado que los delincuentes están interesándose cada vez más en la captura de datos de tarjetas de pago en transacciones de tarjeta no presente (“Card-not-present” – CNP), como aquellas basadas en comercio electronico y pagos telefónicos, ya que los pagos con tarjeta presente suelen ser más seguros debido a la masificación de tecnologías como EMV y P2PE.

Por otro lado, en el documento se presenta una categorización de las tecnologías empleadas en los pagos telefónicos, lo que permite analizar en detalle sus ventajas, desventajas, controles de seguridad a implementar y alternativas técnicas para asegurar los pagos por teléfono:

Categorización en términos de experiencia de usuario o tipo de contacto:

  • Atendida: En donde la entidad mantiene el contacto mediante voz directa con el cliente durante la totalidad de la llamada.
  • Desatendida: En donde parte o la totalidad de la llamada no se mantiene mediante voz directa sino que se hace uso de una tecnología adicional como IVR.

Categorización en términos de tecnología:

  • Basada en telefonía: En donde existe una dependiencia de los sistemas telefónicos de la entidad, como es el caso de tonos DTMF.
  • Basada en tecnología digital: En donde se emplean vías alternas de ingreso de los datos de tarjetas como un SMS, un mensaje de correo electrónico o una página web, en donde el cliente proporciona su información empleando un teléfono inteligente, una tableta o un ordenador.

Con esta categorización se presenta el siguiente diagrama de flujo para la identificación del entorno de pagos por teléfono (incluído en el Anexo C):

Algunos puntos relevantes de esta actualización son:

  • Debido a la convergencia entre las redes de voz y de datos mediante comunicaciones unificadas (“unified communications”), el entorno de cumplimiento de PCI DSS se puede ampliar cubriendo a toda la organización. Por ello, es necesario establecer estrategias detalladas de segmentación y aislamiento, prestando atención a la conexión con otros servicios asociados como mensajería instantánea, buzones de voz digitales, correo electrónico, fax o video.
  • Al margen del formato de almacenamiento (análogo o digital), los datos del PAN deben ser almacenados de forma segura, de acuerdo con el requisito 3.4 de PCI DSS.
  • Si se reciben datos sensibles de autenticación (“sensitive authentication data” – SAD), como el código de validación (CVV2), la entidad DEBE proteger estos datos después del proceso de autorización. Si se almacenan (por una necesidad de negocio) se debe hacer de forma segura o se deben eliminar.
  • Una red de VoIP transmitiendo datos de tarjetas puede estar sujeta a los mismos requerimientos de PCI DSS que aplicarían a una red de datos interna basada en IP que transmita datos de tarjetas.
  • El requerimiento 4.1 (encriptación de datos en transporte) puede aplicar si existe transmisión de datos de tarjetas a través de un servicio compartido o público de VoIP.
  • El punto de demarcación en donde empieza el entorno de cumplimiento de PCI DSS de una entidad que recibe datos a través de redes de telecomunicación pública es en donde finaliza el canal de telecomunicaciones operado por el proveedor (carrier). Por lo general, en las centrales telefónicas (Private Branch Exchange – PBX).
  • El área de riesgo más crítica en un entorno de pagos por teléfono es el personal (representantes de ventas, operadores, agentes, supervisores y administradores).  Se debe prestar especial atención al personal que opera en teletrabajo, que debe ingresar al entorno empleando autenticación multifactor (MFA).
  • Se deben implementar procesos para restringir la grabación de datos de tarjetas de forma escrita o en medios electrónicos, denegando el acceso a materiales y dispositivos con funcionalidades que permitan esta grabación. En términos general, se debe denegar el acceso de agendas, cuadernos, bolígrafos, teléfonos móviles con capacidad de tomar notas, dispositivos que permitan la grabación de voz y dispositivos que permitan tomar fotografías. De igual manera, se debe controlar el uso de dispositivos de almacenamiento removible (como memorias USB), grabadores bluetooth y/o dispositivos o software de registro de teclas (“keyloggers”).
  • Se debe minimizar al máximo la visualización del PAN completo en pantallas, recibos de pago o en reportes en papel.
  • Gestionar de forma detallada el acceso físico en aquellas áreas en las que el equipamiento telefónico y las estaciones de los agentes se encuentran ubicadas.
  • Si los datos de tarjetas se escriben o se imprimen por necesidad del negocio, se debe garantizar que se almacenan y se destruyen de forma segura.
  • Los protocolos relacionados con VoIP como Session Initiation Protocol (SIP) y Real-time Transport Protocol (RTP) son inseguros por defecto. Si se emplean en el entorno, se deberían emplear sus contrapartes seguras (SIPS y SRTP).

En términos de identificación del entorno de cumplimiento de PCI DSS (“scope”), a continuación se enumeran algunos criterios que son descritos a lo largo del suplemento informativo:

Elemento¿Dentro del alcance de PCI DSS?Explicación
Proveedores de accesos telefónicos tradicionalesNOSe considera que las entidades afectadas por PCI DSS no son responsables por la transmisión de datos de tarjetas de pago a través de líneas telefónicas externas tradicionales, ya que el riesgo de captura de estos datos es bajo.
Infraestructura y servicios de las compañías de telecomunicacionesNOCualquier equipamiento propiedad de una compañía de telecomunicaciones y operado por esta misma compañía ubicado en la infraestructura de la entidad para el propósito de provisionar el acceso a la red pública puede ser considerado fuera del alcance de PCI DSS.
Transmisiones de llamadas VoIP fuera de la infraestructura de la entidad (hacia/desde los titulares de tarjeta)NOSe considera que la entidad no puede controlar los métodos que usa el títular de tarjeta para hacer y recibir llamadas. Esto aplica independientemente de si la transmisión es iniciada por la entidad o por el titular de tarjeta.
Proveedores que ofrezcan servicios de respuesta de voz interactiva o IVR ("Interactive Voice Response"), grabación de llamadas o SIP trunkingSISi los servicios anteriormente descritos almacenan, procesan y/o transmiten datos de tarjetas de pago, se encontrarán dentro del alcance de cumplimiento de PCI DSS. En este caso, el proveedor puede demostrar su cumplimiento de PCI DSS de forma independiente o puede incluirse dentro del ámbito de cumplimiento de la entidad.
Transmisiones de llamadas VoIP a otra entidad (business-to-business)SI (*)(*) Solamente en los servicios, redes y/o sistemas en donde la entidad tenga control.
Transmisiones de llamadas VoIP en la red internaSILos controles de PCI DSS son aplicables a todos los sistemas que procesen, almacenen y/o transmitan datos de tarjetas en la red interna.
Componentes que no están involucrados directamente con el proceso de pago pero que tienen conectividad con los sistemas de pago o con el entorno de telefonía en donde los datos de pago son procesados, almacenados y/o transmitidos.SI (*)(*) Estos sistemas se encontrarán en el entorno de cumplimiento si no existen implementados controles de segmentación y aislamiento.
Entornos de continuidad del negocio y/o planes de recuperación de desastresSI (*)(*) Dependiendo del tipo de estrategia de recuperación empleada (sitios "hot", "warm" o "cold").
Backups y archivos de las grabaciones de llamadasSI (*)(*) Si se almacenan los datos de tarjeta (excluyendo SAD) en cualquier formato.
Se recomienda que estas copias se almacenen en sistemas o medios que no estén conectados a la red.
Estaciones de trabajo de los agentes telefónicos (incluyendo teletrabajo)SI (*)(*) Si las estaciones de trabajo están conectadas a la misma red por donde se transmiten datos de tarjetas o se emplean para ingresar esta información, estarán dentro del entorno de cumplimiento.
Se incluye también el uso de "softphones".
Cualquier red o sistema de telefonía (switches, PBX, IVR, SIP trunking, análisis de voz, sistemas de grabación de llamadas, etc.) servidores de DNS, DHCP, servicios de directorio, servicios de seguridad (antivirus, actualizaciones, firewalls, IDS/IPS, etc.)SISi estos sistemas almacenan, procesan y/o transmiten datos de tarjetas (CDE), están conectados a estos sistemas o pueden afectar directa o indirectamente la seguridad de ese ámbito, estarán dentro del entorno de cumplimiento de PCI DSS.
Entorno físico en donde se ubica el personal y la infraestructura del entornoSICubierto por el requerimiento 9 de PCI DSS.
Se recomienda la implementación de un aislamiento a nivel físico en una sala segura.
Cualquier tecnología o servicio empleado para reducir el alcance de cumplimiento en entornos de pago por teléfonoSISe incluyen sistemas de IVR, pausado automático de llamadas, Dual-Tone Multi-Frequency signaling (DTMF), ocultamiento o enmascaramiento de la voz, etc.
Sistemas de Gestión Empresarial (SGE) como CRM, ERP, PLM, SCM y SRM.SI (*)(*) Si estos sistemas están conectados al entorno de datos de tarjetas y/o almacenan datos de tarjetas, deben cumplir con los controles de PCI DSS.

También se ha actualizado la siguiente FAQ relacionada con la aplicabilidad de PCI DSS en redes de VoIP:

Finalmente, es importante leer y revisar los conceptos descritos en las siguientes FAQ, relacionadas con pagos por teléfono:

Como siempre, los comentarios y el foro están abiertos a cualquier duda o sugerencia.