Capa de Servicios Comunes (CSL) en pagos | Paytia

Una Capa de Servicios Comunes (CSL) es un nivel de middleware compartido que se sitúa entre los sistemas de primera línea (aplicaciones de centro de contacto, CRM, IVR) y la pasarela de pagos, de modo que los datos de tarjeta se gestionan en un único punto dentro del alcance de PCI en lugar de dispersos por cada aplicación conectada.

Una Capa de Servicios Comunes, normalmente abreviada como CSL, es un nivel de middleware compartido que se sitúa entre las aplicaciones que usan tus agentes (CRM, plataforma de centro de contacto, IVR, formularios web) y la pasarela de pagos o el adquirente que está detrás de ellas. En lugar de que cada sistema de primera línea tenga su propia integración con la pasarela y maneje directamente los datos del titular de la tarjeta, todos invocan a una única CSL, y es la CSL la que hace el trabajo regulado.

Si has visto el término en un pliego de licitación o en una presentación de arquitectura y no tenías claro qué hace realmente, la respuesta corta es: es la pieza que convierte el alcance de PCI en un edificio, no en un campus.

Qué hace realmente una Capa de Servicios Comunes

En su forma más simple, una CSL es una abstracción de pago. La aplicación de primera línea dice "cobra 42,50 £ a este cliente contra el pedido 1183" y la CSL se encarga de todo lo que viene después:

  • Capturar o recibir los datos de la tarjeta (DTMF, campo alojado, referencia tokenizada)
  • Validar la tarjeta frente al emisor
  • Enrutar al adquirente o pasarela correctos según la moneda, el esquema o el identificador de comercio
  • Devolver un token o una referencia de transacción al sistema que la invocó
  • Almacenar el rastro de auditoría para la conciliación y la gestión de disputas

El CRM o la aplicación de centro de contacto nunca ve el PAN. Ve una referencia. Ese es todo el truco.

Por qué existe: el alcance de PCI

El alcance de PCI DSS se define por aquello que toca los datos del titular de la tarjeta. Si tu CRM los almacena, tu CRM está dentro del alcance. Si tu plataforma de centro de contacto graba llamadas que los contienen, las grabaciones están dentro del alcance. Si tu IVR los captura, el IVR está dentro del alcance. El alcance es contagioso.

Una CSL detiene el contagio. Los datos de tarjeta aterrizan en la CSL y solo en la CSL, que pasa a ser lo único que tienes que evaluar frente a PCI DSS. Todo lo que está aguas arriba queda fuera del alcance o apenas dentro de él (sistemas conectados al CDE), y tu SAQ anual se reduce en consecuencia.

Esa es la razón arquitectónica por la que existen las CSL. La razón de negocio es el coste: cada sistema dentro del alcance de PCI necesita endurecimiento, registro de eventos, escaneos trimestrales, control de cambios y una auditoría anual. Reducir veinte sistemas a uno es la diferencia entre un programa de cumplimiento asumible y un problema estratégico.

Cómo encaja una CSL en un centro de contacto típico

Imagina una llamada de pago que pasa por un centro de contacto que usa una CSL:

  1. El cliente llama y contacta con un agente a través de la plataforma de centro de contacto.
  2. El agente identifica al cliente en el CRM y llega al paso del pago.
  3. El CRM (o un botón en el escritorio del agente) invoca a la CSL con un importe y una referencia de pedido.
  4. La CSL inicia un flujo de captura segura: enmascaramiento DTMF, una página alojada o un enlace de pago tokenizado. El agente permanece en línea pero nunca oye ni ve los dígitos.
  5. La CSL se comunica con la pasarela, obtiene la autorización y devuelve un token de éxito al CRM.
  6. El CRM actualiza el pedido. La plataforma de centro de contacto graba la llamada sin el segmento de introducción de la tarjeta (porque estaba silenciado, o porque el audio se desvió).

En ningún momento el número de tarjeta reside en otro lugar que no sea dentro de la CSL y la pasarela. La pantalla del agente, la base de datos del CRM, la grabación de la llamada: todo limpio.

Qué hay dentro de una CSL

Las implementaciones varían, pero la mayoría de las CSL incluyen alguna combinación de:

  • Servicios de captura: las piezas que realmente reciben los datos de tarjeta — interceptores de DTMF, iframes de campos alojados, generadores de enlaces de pago, formularios de pedidos por correo.
  • Tokenización: sustituir el PAN por un token que los sistemas posteriores puedan almacenar y reutilizar de forma segura. Consulta la tokenización de red para la versión a nivel de esquema.
  • Enrutamiento de pasarelas: un único punto de integración que conecta hacia múltiples adquirentes, pasarelas o métodos de pago alternativos.
  • Gestión de 3D Secure: superar los desafíos de 3DS2 cuando se requieran y devolver el resultado de la autenticación.
  • Bóveda de tarjetas: un almacén seguro para los escenarios de tarjeta en archivo — renovaciones de suscripciones, pedidos recurrentes, devoluciones de depósitos.
  • Informes y conciliación: el registro de transacciones que necesitan los equipos de finanzas.

CSL frente a pasarela de pagos: no son lo mismo

A veces se usan "CSL" y "pasarela de pagos" como si fueran intercambiables. No son lo mismo.

Una pasarela es un único punto final que se comunica con un adquirente (o un conjunto de adquirentes) y procesa una transacción a la vez. Es un componente de fontanería.

Una CSL es una capa por encima de eso. Puede comunicarse con múltiples pasarelas, múltiples mecanismos de captura y múltiples aplicaciones de primera línea. Es la parte de la arquitectura que decide cómo se captura un pago, dónde se enruta y quién puede invocarla. Si quitaras la CSL, tendrías una pasarela y un montón de integraciones a medida. Con ella, tienes una única integración que todos los sistemas pueden compartir.

Patrones habituales de CSL en la práctica

Hay tres configuraciones que aparecen una y otra vez:

CSL de inquilino único dentro del comercio

Un gran comercio construye su propia CSL como microservicio o como equipo de plataforma. Todas las aplicaciones internas — CRM, facturación, web, centro de contacto — la invocan. Habitual en empresas que tienen los recursos de ingeniería y quieren control total.

CSL alojada por un proveedor

El comercio compra una CSL como servicio. El proveedor la opera bajo su certificación PCI de Nivel 1, y el comercio se integra una sola vez. Este es el modelo que usan la mayoría de los proveedores de pagos seguros (Paytia incluido — nuestro servicio de captura con enmascaramiento DTMF y tokenización es, funcionalmente, una CSL para centros de contacto).

CSL híbrida a través de un socio CCaaS

El proveedor de la plataforma de centro de contacto (Genesys, Five9, Amazon Connect, etc.) ofrece puntos de conexión con una CSL operada por un socio. El CCaaS gestiona la voz y la experiencia del agente; la CSL gestiona el momento regulado del pago.

Aspectos a vigilar al evaluar una CSL

Si estás evaluando una CSL — para construirla o comprarla — algunas preguntas te ahorrarán disgustos:

  • ¿Dónde empieza y dónde termina exactamente el alcance de PCI? Pide al proveedor que trace la línea en un diagrama. "Todo está fuera del alcance" no es una respuesta.
  • ¿Qué pasa con las grabaciones de llamadas? Una CSL que captura DTMF sin silenciar la grabadora no reduce el alcance — solo traslada el problema.
  • Tokens: ¿del proveedor o de la red? Los tokens del proveedor te atan a él. Los tokens de red (Visa, Mastercard) siguen a la tarjeta entre proveedores.
  • ¿Cuál es el modo de fallo? Si la CSL está caída, ¿el agente recurre al papel y reintroduce los datos después (de vuelta dentro del alcance), o el sistema los pone en cola de forma controlada?
  • ¿Cómo gestiona MOTO, comercio electrónico y pagos recurrentes en paralelo? Una CSL que solo gestiona un canal te obliga a mantener otra integración para los demás.

De dónde viene el término

"Capa de Servicios Comunes" nació en la arquitectura SOA empresarial de los años 2000 — cualquier nivel de servicios compartidos al que pudieran invocar varias aplicaciones de primera línea. La industria de pagos lo adoptó porque el patrón arquitectónico encajaba con tanta limpieza en el problema del alcance de PCI. Hoy en día, si alguien dice CSL en un contexto de pagos, casi siempre se refiere específicamente a una capa de middleware de servicios de pago.

Ideas relacionadas que conviene conocer

Una CSL no existe en solitario. Suele formar parte de una arquitectura más amplia de reducción de alcance que incluye enmascaramiento DTMF, tokenización, páginas de pago alojadas y grabación de llamadas con pausa y reanudación. Cada una de esas es una táctica; la CSL es el marco en el que encajan.

Cómo Paytia lo usa
Paytia es, en la práctica, una Capa de Servicios Comunes para centros de contacto. Cuando un agente activa un pago desde su CRM o su aplicación de centro de contacto, los datos de la tarjeta del cliente se capturan mediante nuestra captura de pago segura con enmascaramiento DTMF, se enrutan a través de nuestra infraestructura certificada PCI de Nivel 1 y se devuelven al sistema que la invocó como una referencia de transacción o un token. El CRM, la plataforma de centro de contacto y la grabación de la llamada quedan fuera del alcance de PCI. Te integras una sola vez con nuestra API; nosotros nos encargamos de la captura, el enrutamiento de la pasarela y el rastro de auditoría. Esa es la versión práctica de lo que "CSL" describe a nivel arquitectónico.
PCI DSSenmascaramiento DTMFtokenización

Preguntas frecuentes

¿Es una CSL lo mismo que una pasarela de pagos?+

No. Una pasarela procesa una única transacción frente a un adquirente. Una CSL es la capa que está por encima: decide cómo se captura la tarjeta, qué pasarela usar y aporta un único punto de integración compartido al que puede invocar cada aplicación de primera línea. Puedes tener una CSL que se comunique con varias pasarelas por debajo.

¿Usar una CSL hace que mi centro de contacto cumpla automáticamente con PCI?+

Reduce el alcance, lo que hace que el cumplimiento sea alcanzable. Que cumplas realmente sigue dependiendo de cómo esté configurado el resto del entorno: grabación de llamadas, segmentación de red, política de los puestos de trabajo de los agentes. Una CSL gestiona la parte de los datos del titular de la tarjeta; tú sigues teniendo que ocuparte de los sistemas conectados.

¿Puedo construir mi propia CSL o necesito comprar una?+

Puedes construir una si cuentas con el equipo de ingeniería y quieres asumir tus propias obligaciones de PCI de Nivel 1. La mayoría de los comercios compran porque los costes de auditoría e infraestructura superan al coste de un proveedor. El patrón arquitectónico es el mismo en cualquier caso.

¿Funciona una CSL con centros de contacto en la nube como Genesys o Amazon Connect?+

Sí, y de hecho es el despliegue más habitual ahora mismo. La plataforma CCaaS gestiona la voz y la experiencia del agente, y la CSL se acopla para el momento del pago mediante integración SIP, puntos de conexión por API o un widget del lado del agente. La grabación se pausa o los tonos DTMF se enmascaran en el origen.

¿Cuál es la diferencia entre una CSL y una plataforma de orquestación de pagos?+

Hay solapamiento. La orquestación de pagos suele centrarse en enrutar transacciones entre varios adquirentes para optimizar el coste o la tasa de éxito. Una CSL se centra en ser el punto de integración compartido y dentro del alcance. Muchas CSL hacen orquestación; no todas las plataformas de orquestación reducen el alcance de PCI como lo hace una CSL.

Términos relacionados

PCI DSSEnmascaramiento DTMFTokenización3D Secure / SCAToken de red

Read this definition in English

Ready to take secure payments?

Book a demo with our team. We'll show you DTMF masking live, talk through PCI DSS scope reduction, and put together pricing based on your call volume.

PCI DSS Level 1
Cyber Essentials Plus
Book a demoContact us

Trusted by law firms, insurers, healthcare providers and regulated businesses worldwide. Learn more about Paytia