En noviembre de 2018, el Consejo de Normas de Seguridad de la Industria de las Tarjetas de Pago (PCI SSC) publicó las renovadas y largamente esperadas directrices para la Protección de los Datos de las Tarjetas de Pago por Teléfono v.3.0. Mientras que la versión anterior de las directrices, que data de 2011, era una visión general de alto nivel, las actuales se combinan en un documento detallado y exhaustivo de más de 60 páginas.

El documento se basa en tres pilares principales: las personas, los procesos y la tecnología.

  1. Las personas siendo el eslabón más débil como siempre y el mayor riesgo cuando se trata de la seguridad de los datos de las tarjetas de pago por teléfono.
  2. Procesos relacionados con las personas, ya que es necesario adaptarlos a cada escenario.
  3. Tecnología al servicio de las personas y de los procesos.

En el documento se presta mucha atención, con razón, al alcance y a la aplicabilidad del PCI DSS a los entornos de telefonía. En cuanto a los tres pilares, sin embargo, la mayor parte de la atención se centra en la tecnología. Esto se hace cubriendo la seguridad de toda la infraestructura de TI, aspectos arquitectónicos, sistemas de escritorio, softphones, DTMF (Dual-Tone Multi-Frequency), grabaciones de voz y de pantalla. Las tecnologías se clasifican en atendidas o desatendidas y basadas en telefonía o digitales, lo que nos da 4 opciones diferentes dentro de una pequeña matriz de 2x2. Dependiendo de las tecnologías que se utilicen, se sugieren diferentes métodos de reducción de alcance - por ejemplo, supresión DTMF o enmascaramiento para tecnologías basadas en telefonía atendida, así como otras formas comunes de reducción de alcance - pausa y reanudación, segmentación física o subcontratación completa a un proveedor de servicios especializado de terceros.

Otra sección dedicada a los proveedores de servicios de terceros. Con referencia al requisito 12.8 del PCI DSS y a las Directrices del PCI SSC para la garantía de seguridad de terceros. Se describen una serie de servicios comunes relacionados con la telefonía: PBX (Centralita Privada), SIP (Protocolo de Iniciación de Sesión), IVR (Respuesta de Voz Interactiva), detección/monitoreo de fraude, análisis de voz, y por último pero no menos importante, grabación de llamadas.

Finalmente, el Apéndice E es una sección dedicada al uso y seguridad de VoIP (Voz sobre IP), incluyendo protocolos, puertos y redes, ataques y vulnerabilidades de VoIP, encriptación y escucha, y comunicaciones unificadas.

El documento es de obligada lectura para cualquier centro de llamadas que se ocupe de los datos de las tarjetas de pago, y cualquier empresa que externalice los servicios de centro de llamadas debería, como mínimo, consultar la sección 7 "Proveedores de servicios de terceros".

Nuestros expertos en PCI DSS están siempre al día cuando se trata de las nuevas versiones de los estándares PCI DSS. Contáctenos si necesita ayuda o consulta sobre la protección de los datos de las tarjetas de pago por teléfono.

Irmantas Brazaitis

Written by Irmantas Brazaitis

PCI QSA and Information Security professional with more than 14 years of experience within the payment card industry. I’ve been involved in dozens of ATM compliance and security projects having worked for global payment service providers alongside the Fraud team, engaged in end-to-end fraud prevention process (from monitoring of suspicious transactions to seizure of criminals).

Certified as Qualified Security Assessor (QSA) by PCI Security Standards Council.