at

Dentro de los canales operativos por los cuales se reciben datos de tarjetas se encuentran los canales presenciales (aquellos en los cuales el usuario tiene que estar presente para verificar su identidad digitando su PIN) y los canales no presenciales (en los cuales se emplean otras  alternativas para la validación de la identidad del usuario, como por ejemplo el  código de verificación (CVV2, CVC2, CID o CAV2)). Dentro de este último canal podemos encontrar las transacciones MOTO (Mail Order/ Telephone Order) y transacciones realizadas por comercio electrónico. En este artículo se hablará acerca de las transacciones vía telefónica, el almacenamiento de datos de tarjetas de pago, el cumplimiento de PCI DSS y las alternativas técnicas para alinearse con el estándar.

Transacciones telefónicas y datos de tarjetas de pago

En una transacción típica vía telefónica, el usuario titular de tarjeta efectúa o recibe una llamada a un centro de servicio en la cual un agente le solicita sus datos de tarjeta de pago (PAN, nombre del titular, fecha de expiración y código de validación) y efectúa un cobro actuando en su nombre. A diferencia de otras transacciones no presenciales como las realizadas por comercio electrónico, los pagos vía telefónica han tenido una serie de inconvenientes que se desprenden de las necesidades propias de su modelo de operación:

  • Acceso a datos de tarjetas de pago por parte del agente telefónico: Dependiendo de cuál sea el método mediante el cual el usuario titular de tarjeta entrega sus datos al agente telefónico, éste último puede almacenarlos de forma no segura (escritos en un papel, almacenados en una hoja de cálculo o un documento de texto, por ejemplo) e inclusive extraerlos de la organización usando sistemas de mensajería (correo electrónico, mensajería instantánea, etc.), lo cual puede redundar en potenciales problemas de fraude e incumplimiento del estándar PCI DSS.  Igualmente, la terminal del agente telefónico que se emplea para ingresar los datos de tarjeta del usuario puede almacenar información sensible o permitir la visualización en texto claro. Al respecto, el PCI SSC hace una serie de aclaraciones relacionadas con la implementación de seguridad física en Centros de Llamadas en la FAQ “Are audio/voice recordings containing cardholder data and/or sensitive authentication data included in the scope of the PCI DSS?” (10/2/2012).
  • Almacenamiento de datos de tarjetas de pago: Una práctica común para gestionar los niveles de calidad y servicio en la operativa telefónica consiste el grabar las llamadas telefónicas. Esta grabación puede ser realizada utilizando medios análogos o digitales, almacenando todo el contenido de la llamada e incluyendo la información proporcionada por el usuario al agente para la realización del pago, dentro de la cual se puede encontrar:
    • Primary Account Number: Este dato debe ser almacenado de forma segura según el requerimiento 3.4 de PCI DSS
    • Datos confidenciales de autenticación: Conforme con el requerimiento 3.2 de PCI DSS no se deben almacenar datos confidenciales de autenticación (datos de la banda magnética, CAV2/CVC2/CVV2/CID y/o PIN/PINBLOCK) posterior a la autorización.
    • Fecha de expiración
    • Datos del titular de tarjeta

El problema detrás de todos estos requerimientos está en la complejidad técnica que puede conllevar la aplicación de estos controles en el almacenamiento de las grabaciones de llamadas.  No todas las alternativas son válidas y en función del tipo de almacenamiento empleado, las cosas se pueden poner aún más difíciles. Al igual que con la seguridad física, el PCI SSC describió una serie de acciones a realizar para el cumplimiento y protección de datos de tarjetas en PCI DSS en la siguiente FAQ (10/3/2011):

“Are audio/voice recordings containing cardholder data and/or sensitive authentication data included in the scope of PCI DSS?
This response is intended to provide clarification for call centers that record cardholder data in audio recordings, and applies only to the storage of card validation codes and values (referred to as CAV2, CVC2, CVV2 or CID codes by the payment brands).
It is a violation of PCI DSS requirement 3.2 to store any sensitive authentication data, including card validation codes and values, after authorization even if encrypted.
It is therefore prohibited to use any form of digital audio recording (using formats such as wav, mp3 etc) for storing CAV2, CVC2, CVV2 or CID codes after authorization if that data can be queried; recognizing that multiple tools exist that potentially could query a variety of digital recordings.
Where technology exists to prevent recording of these data elements, such technology should be enabled.
If these recordings cannot be data mined, storage of CAV2, CVC2, CVV2 or CID codes after authorization may be permissible as long as appropriate validation has been performed. This includes the physical and logical protections defined in PCI DSS that must still be applied to these call recording formats.
This requirement does not supersede local or regional laws that may govern the retention of audio recordings.”

Con el fin de aclarar y facilitar la elección de una u otra solución para proteger los datos de tarjetas en transacciones telefónicas, el PCI SSC publicó en Marzo de 2011 el documento “Information Supplement: Protecting Telephone-based Payment Card Data” en donde se describen una serie de pautas y recomendaciones para la securización de la información de tarjetas con base en los criterios de PCI DSS.

Alternativas técnicas válidas para la protección de datos de tarjetas de pago en transacciones telefónicas

Como se comentó anteriormente, para el cumplimiento de PCI DSS se requiere almacenar de forma segura el PAN (en caso que sea necesario) y eliminar los datos confidenciales de autenticación posterior a la autorización. A continuación se analizarán diferentes alternativas para abordar estos requerimientos y se compararán sus pros y contras.

No grabar la llamada

En función de un análisis de riesgos y de un análisis coste/beneficio se puede implementar esta alternativa, en la cual la organización opta por eliminar el potencial riesgo de almacenamiento de datos de tarjetas de pago evitando la grabación de las llamadas.

Ventajas:

  • Costes de implementación: Al no existir necesidad de implementar ningún control debido a que no hay almacenamiento de datos por la ausencia de grabación, no se incurre en costes adicionales. Por otro lado, la infraestructura de grabación de llamadas no será necesaria, con lo cual la empresa no necesitará invertir en mantenimiento y soporte de dichos equipos.
  • Minimización del alcance de cumplimiento: Los equipos de grabación de llamadas ya no serán requeridos, minimizando el entorno de PCI DSS.

Desventajas:

  • Perdida de valor agregado: En un entorno operativo real, optar por obviar la grabación de las llamadas implica que la organización no obtendrá las mejoras y ventajas provistas por esta herramienta, tales como gestión de calidad, monitorización del servicio, seguimiento de umbrales de niveles de servicio al cliente, información estadística, evidencias legales en caso de conflictos o investigaciones, formación al personal, etc.
  • El agente telefónico continuará teniendo acceso a los datos de tarjeta: A pesar que no existirá almacenamiento de datos de tarjeta provenientes de la grabación de llamadas, el agente telefónico que obtiene los datos del usuario seguirá teniendo acceso a esta información, con lo cual este potencial riesgo seguirá latente y deberá ser gestionado de acuerdo con los controles de PCI DSS.

Uso de Interactive Voice Response (IVR)

Un sistema de Respuesta de Voz Interactiva (Interactive Voice Response – IVR) es un sistema automatizado que permite que el usuario interactúe con una serie de opciones previamente configuradas (menús) para la obtención de información mediante el uso de:

Entre otros.

Estos sistemas pueden ser usados de forma totalmente automatizada (no hay agentes humanos) o en un formato híbrido, en el cual el agente puede llevar la llamada hasta el momento en el cual se requiera el ingreso de datos de tarjetas de pago, desviando la llamada hacia el sistema IVR.

Ventajas:

  • No hay interacción con agentes telefónicos humanos en el ingreso de datos de tarjetas de pago: Al no depender del ingreso manual de datos, el potencial riesgo proveniente del almacenamiento y extracción de datos de tarjetas por los agentes telefónicos es eliminado.
  • Se evita el almacenamiento de datos de tarjetas de pago provenientes de las llamadas telefónicas: En función del uso de una alternativa totalmente automatizada o híbrida, la interacción con el sistema IVR se puede desvincular de la grabación de las llamadas.

Desventajas:

  • Re-definición del modelo de atención al usuario: Debido a que se ingresa un nuevo elemento al flujo de la llamada, es necesario reajustar la operación para que la llamada sea interrumpida cuando se van a ingresar datos de tarjetas de pago, lo cual implica formación a los agentes telefónicos y notificaciones e instrucciones a los clientes y usuarios del servicio.
  • Re-definición de la infraestructura tecnológica del servicio: Ingresar un nuevo elemento dentro de la infraestructura del servicio de atención telefónica puede ser traumático en función de la complejidad de la organización. Así mismo, se requiere integrar el servicio de IVR al software de procesamiento de pagos para que el ingreso de datos sea automatizado.
  • Abandono de llamada: El uso de un sistema automatizado puede hacer que un usuario “dudoso” abandone la llamada (por ejemplo en el caso de una venta difícil o de pagos de créditos o cuotas), minimizando la efectividad del servicio telefónico.
  • Tiempos muertos: El tiempo mientras que el usuario está interactuando con el sistema IVR es tiempo “muerto” del agente telefónico, lo cual puede implicar costes al servicio. Igualmente, los tiempos de llamadas se extenderán, incrementando los costes de facturación telefónica.
  • Envío de transacciones erróneas al centro autorizador:  Debido a que no hay un punto de validación (double-check) en el ingreso de datos de tarjeta vía IVR por parte del usuario, se pueden presentar errores en los datos enviados al centro autorizador, incrementando los costes del servicio (si se paga por transacción procesada).
  • Soporte a usuarios: Finalmente, algunos usuarios requerirán de soporte para el uso del sistema, con lo cual se debe formar a los agentes telefónicos para que puedar dar las instrucciones necesarias en el uso del sistema IVR, alargando los tiempos medios de llamadas.

Pausar automáticamente la grabación

Mediante esta opción, la grabación es detenida de forma automática en el momento del ingreso de datos de tarjetas de pago con base en una serie de “activadores” en la pantalla del agente telefónico o del formulario de pago empleado.

Ventajas:

  • No requiere cambios en la operación de la llamada: Debido a que la desactivación de la grabación debe ser automática y vinculada a eventos específicos, no se requiere ningún cambio en la atención de la llamada por parte del agente telefónico o cambios en la interacción del usuario.
  • Se evita el almacenamiento de datos de tarjetas de pago provenientes de las llamadas telefónicas: Debido a que la grabación de la llamada es detenida en el momento de ingreso de datos de tarjeta, no existirá almacenamiento de este tipo de datos.

Desventajas:

  • Interacción con el software de procesamiento de pagos: Debido a que la premisa de esta alternativa es la automatización en la desactivación de la llamada,  se requiere un tiempo prudencial en el proceso de desarrollo e integración entre el software de procesamiento de pagos y el sistema de grabación de llamadas.
  • Impacto de cambios en el software de procesamiento de pagos: Cualquier cambio que sea realizado en el software de procesamiento de pagos implicará nuevos desarrollos, integración y pruebas con los “activadores” definidos para detener la grabación.
  • El agente telefónico continuará teniendo acceso a los datos de tarjeta: A pesar que no existirá almacenamiento de datos de tarjeta provenientes de la grabación de llamadas, el agente telefónico que obtiene los datos del usuario seguirá teniendo acceso a esta información, con lo cual este potencial riesgo seguirá latente y deberá ser gestionado de acuerdo con los controles de PCI DSS.

Ocultar o enmascarar automáticamente la voz

Esta opción es una variación de la opción anterior de “Pausar la grabación”. La diferencia radica en que en vez de detener la grabación en el momento en el que el usuario dicta los datos de tarjeta, se “oculta” o “enmascara” la voz (empleando un pitido, silencio o ruído) para que no quede en la grabación. Esta opción también debe contar con un automatismo especial que permita que el “ocultamiento” de la voz sea activado en determinados eventos.

Las ventajas y desventajas son las mismas que en la opción de “Pausar la grabación”.

Uso de Dual-Tone Multi-Frequency signaling (DTMF)

Esta opción combina funcionalidades de la opción “Uso de Interactive Voice Response (IVR)” y “Ocultar o enmascarar la voz”. En esta alternativa, el agente telefónico mantiene la llamada normalmente y con base en determinados eventos (o “activadores”) se le pide al usuario que ingrese sus datos de tarjeta de pago empleando las teclas de su teléfono. Estos datos son procesados internamente por un filtro DTMF (sin necesidad de que la llamada sea re-enrutada) y convertidos de tonos a texto, ingresando la información en los campos correspondientes del software de procesamiento de pago.

Ventajas:

  • No hay “cortes” en la llamada: La interacción entre usuario y agente fluye normalmente hasta el momento en el cual se ingresan los datos de tarjeta de pago. En este momento, el usuario usa las teclas de su teléfono para proporcionar la información pero la llamada no es “detenida” ni la grabación es cortada. El agente telefónico continuará con el control de la llamada.
  • No hay interacción con agentes telefónicos humanos en el ingreso de datos de tarjetas de pago: Al no depender del ingreso manual de datos, el potencial riesgo proveniente del almacenamiento y extracción de datos de tarjetas por los agentes telefónicos es eliminado.
  • Se evita el almacenamiento de datos de tarjetas de pago provenientes de las llamadas telefónicas: La interacción con DTFM evita que exista almacenamiento de datos de tarjetas de pago en las grabaciones de llamadas.

Desventajas:

  • Integración de un filtro en el sistema de telefonía: Para que esta alternativa sea funcional se requiere la integración de un filtro especial en el sistema de telefonía que sea capaz de detectar los tonos DTMF y convertirlos a texto. Este filtro requiere ser capaz de identificar cuándo los tonos pertenecen a datos de tarjetas y cuándo corresponden a acciones propias de una terminal IVR que pueda estar en la infraestructura telefónica, para no incurrir en solapamientos.
  • Interacción con el software de procesamiento de pagos: Se requiere la implementación de una serie de controles adicionales en el software de procesamiento de pagos para que sea capaz de integrarse con el filtro DTMF.
  • Impacto de cambios en el software de procesamiento de pagos: Cualquier cambio que sea realizado en el software de procesamiento de pagos implicará nuevos desarrollos, integración y pruebas con el filtro DTMF.

Alternativas técnicas NO VÁLIDAS para el cumplimiento de PCI DSS

En el mercado – y probablemente diseñadas para cubrir otro tipo de requerimientos operativos – existen una serie de alternativas que no son válidas para el cumplimiento de PCI DSS. Estas alternativas deben ser analizadas con mucho cuidado, con el fin de no incurrir en una inversión que al corto plazo no cubra con las necesidades técnicas descritas en los controles de PCI DSS.

Pausar manualmente la grabación

Conforme con el “Information Supplement: Protecting Telephone-based Payment Card Data”, los datos de tarjeta de pago deben ser removidos de la grabación de forma automática (esto es: sin intervención del agente).  La justificación asociada es la siguiente:

  • Si la pausa se realiza manualmente, el agente puede olvidar realizar esta acción, con lo cual se puede presentar un almacenamiento involuntario de datos de tarjeas de pago en la grabación, dando un falso sentido de seguridad y exponiendo a la organización a un potencial riesgo.
  • Por otro lado, si el agente es el encargado de la pausa de la llamada, puede detener de forma premeditada partes de la conversación que no quiere que sean trazadas, perdiendo sentido las acciones posteriores de revisión de calidad y servicio.

Uso de cifrado exclusivamente

El uso de cifrado de los datos almacenados como resultado de la grabación de llamadas no es suficiente para proporcionar el nivel de seguridad exigido por PCI DSS:

  • El requerimiento 3.2 de PCI DSS establece “No almacene datos confidenciales de autenticación después de recibir la autorización (aun cuando estén cifrados)”. De acuerdo con esto, inclusive si los medios donde se encuentra la grabación están cifrados, estarían incumpliendo con el estándar.
  • Si existe un proceso de cifrado, existirá su contrapartida: el descifrado. En algún momento, los responsables del Centro de Llamadas necesitarán acceder a la información guardada para realizar sus labores de calidad y monitorización. Estos roles tendrán acceso a los datos de tarjetas almacenados, incumpliendo la normativa y exponiendo esta información al mismo riesgo que se está tratando de controlar.

Uso de técnicas de reconocimiento de voz para eliminación de datos almacenados

En esta opción, se emplean técnicas de reconocimiento de voz en las grabaciones de llamadas realizadas, tratando de identificar aquellos apartados en los cuales se dictan datos de tarjetas de pago para proceder con su borrado. Lamentablemente, esta técnica no ofrece resultados totalmente confiables en la detección, pudiendo dejar datos de tarjetas remanentes y exponiendo a la organización a potenciales riesgos derivados de este almacenamiento no controlado.

Soluciones comerciales en el mercado que permiten el cumplimiento de PCI DSS en la grabación de llamadas telefónicas

A continuación se presentan como referencia algunas soluciones comerciales que permiten la implementación de los controles de PCI DSS implementando alguna de las alternativas descritas anteriormente:

¿Conoce de alguna otra técnica o solución para la protección de datos de tarjetas de pago en la grabación de llamadas? Los comentarios están abiertos a cualquier sugerencia.