En noviembre de 2018, el Consejo de Normas de Seguridad de la Industria de las Tarjetas de Pago (PCI SSC) publicó las renovadas y largamente esperadas directrices para la Protección de los Datos de las Tarjetas de Pago por Teléfono v.3.0. Mientras que la versión anterior de las directrices, que data de 2011, era una visión general de alto nivel, las actuales se combinan en un documento detallado y exhaustivo de más de 60 páginas.

El documento se basa en tres pilares principales: las personas, los procesos y la tecnología.

  1. Las personas siendo el eslabón más débil como siempre y el mayor riesgo cuando se trata de la seguridad de los datos de las tarjetas de pago por teléfono.
  2. Procesos relacionados con las personas, ya que es necesario adaptarlos a cada escenario.
  3. Tecnología al servicio de las personas y de los procesos.

En el documento se presta mucha atención, con razón, al alcance y a la aplicabilidad del PCI DSS a los entornos de telefonía. En cuanto a los tres pilares, sin embargo, la mayor parte de la atención se centra en la tecnología. Esto se hace cubriendo la seguridad de toda la infraestructura de TI, aspectos arquitectónicos, sistemas de escritorio, softphones, DTMF (Dual-Tone Multi-Frequency), grabaciones de voz y de pantalla. Las tecnologías se clasifican en atendidas o desatendidas y basadas en telefonía o digitales, lo que nos da 4 opciones diferentes dentro de una pequeña matriz de 2x2. Dependiendo de las tecnologías que se utilicen, se sugieren diferentes métodos de reducción de alcance - por ejemplo, supresión DTMF o enmascaramiento para tecnologías basadas en telefonía atendida, así como otras formas comunes de reducción de alcance - pausa y reanudación, segmentación física o subcontratación completa a un proveedor de servicios especializado de terceros.

Otra sección dedicada a los proveedores de servicios de terceros. Con referencia al requisito 12.8 del PCI DSS y a las Directrices del PCI SSC para la garantía de seguridad de terceros. Se describen una serie de servicios comunes relacionados con la telefonía: PBX (Centralita Privada), SIP (Protocolo de Iniciación de Sesión), IVR (Respuesta de Voz Interactiva), detección/monitoreo de fraude, análisis de voz, y por último pero no menos importante, grabación de llamadas.

Finalmente, el Apéndice E es una sección dedicada al uso y seguridad de VoIP (Voz sobre IP), incluyendo protocolos, puertos y redes, ataques y vulnerabilidades de VoIP, encriptación y escucha, y comunicaciones unificadas.

El documento es de obligada lectura para cualquier centro de llamadas que se ocupe de los datos de las tarjetas de pago, y cualquier empresa que externalice los servicios de centro de llamadas debería, como mínimo, consultar la sección 7 "Proveedores de servicios de terceros".

Nuestros expertos en PCI DSS están siempre al día cuando se trata de las nuevas versiones de los estándares PCI DSS. Contáctenos si necesita ayuda o consulta sobre la protección de los datos de las tarjetas de pago por teléfono.

Irmantas Brazaitis

Written by Irmantas Brazaitis

Information security professional with 12+ years of experience in information security consulting, 2+ years of experience in the role of information security manager, and 2+ years of experience in large scale governmental IT project management. Developed and delivered PCI DSS Implementation and ATM Security training sessions in 15+ different countries. Certified as Qualified Security Assessor (QSA) by PCI Security Standards Council, holding CISM, CISA and CISSP certifications in good standing.