¿Qué es Pause and Resume?

Pause and resume (a veces llamado stop-start recording o recording suppression) es un control de call center en el que el sistema de grabación se pausa mientras el cliente facilita los datos de la tarjeta y se reanuda una vez capturado el pago. Existe en dos variantes: manual, en la que el agente pulsa un botón, y automatizada, en la que el grabador reacciona a un evento de pantalla o a un paso del IVR. En cualquier caso, el fichero de audio acaba con los datos de tarjeta omitidos. Lo que no consigue es sacar al agente, a su puesto de trabajo ni al recorrido de la voz del alcance de PCI DSS, motivo por el que pause and resume se ve ampliamente como el primo débil del enmascaramiento DTMF.

Pause and resume es el truco más viejo de reducción de alcance en los pagos en centros de contacto, y el que peor ha envejecido. El mecanismo es simple: cortas la grabación antes de que se diga el número de tarjeta y la vuelves a activar tras la respuesta de autorización. El problema es todo lo que pasa alrededor. El stop-start recording manual depende de que los agentes pulsen el botón correcto en el momento correcto en cada llamada, y no lo hacen: olvidan, hacen clic mal, cuelgan sin reanudar, y cualquiera de esos errores deja un PAN completo sentado en una grabación que nadie ha marcado. El pause and resume automatizado va mejor, pero el agente sigue oyendo los dígitos dictados en voz alta, lo que significa que el puesto de trabajo, el auricular, la red y cualquiera al alcance del oído siguen en alcance. El Information Supplement de marzo de 2018 del PCI SSC sobre pagos telefónicos lo dice sin rodeos: pause and resume «por sí solo no es suficiente», y los comercios deberían evaluar si sus controles son realmente adecuados. La mayoría no lo son.

¿Qué es Pause and Resume?

Pause and resume es un método de gestionar los pagos con tarjeta por teléfono en el que la grabación de la llamada se detiene temporalmente mientras el cliente facilita los datos de su tarjeta y se reanuda una vez completado el pago. La idea es sencilla: si la grabación está pausada, los números de tarjeta y los códigos de seguridad no se capturan en el fichero de audio, lo que ayuda con el cumplimiento de PCI DSS.

Este enfoque se adoptó ampliamente en los primeros tiempos de la seguridad de pagos en centros de contacto porque era sencillo de entender y relativamente fácil de implementar. Un agente pulsa un botón (o activa un atajo) para pausar la grabación, recibe los datos de la tarjeta de viva voz, procesa el pago y luego reanuda la grabación. Inicialmente no se requería hardware o software especial más allá de los controles básicos de grabación de llamadas.

Cómo Funciona Pause and Resume en la Práctica

El flujo típico de pause and resume tiene esta forma:

• El agente llega a la fase de pago de la llamada y pulsa un botón para pausar la grabación
• El cliente dicta su número de tarjeta, fecha de caducidad y código de seguridad
• El agente teclea los datos en un terminal de pago o terminal virtual
• Se procesa el pago
• El agente reanuda la grabación de la llamada y continúa la conversación

Algunas implementaciones más sofisticadas automatizan partes de este proceso. Por ejemplo, la grabación puede pausarse automáticamente al abrir el agente una pantalla de pago, o reanudarse de forma automática transcurrido un cierto tiempo. Pero el mecanismo fundamental sigue siendo el mismo: la grabación se desconecta durante la parte sensible de la llamada.

El Problema de Cumplimiento

Aunque pause and resume saca los datos de tarjeta de las grabaciones, tiene varias limitaciones importantes que lo convierten, en el mejor de los casos, en una solución parcial.

El Agente Sigue Oyéndolo Todo

Este es el mayor problema. Pausar la grabación no hace nada por evitar que el agente oiga los datos de la tarjeta. El cliente dicta el número completo, la fecha de caducidad y el CVV, y el agente oye cada dígito. Eso significa que:

• Los agentes pueden anotar los datos de la tarjeta o memorizarlos
• Otras personas en el centro de contacto pueden oír por casualidad la información
• Las herramientas de pantalla compartida o de monitorización pueden capturar los datos mientras se teclean
• Todo el entorno del puesto del agente sigue dentro del alcance de PCI DSS

Error Humano

Pause and resume depende de que el agente recuerde pulsar el botón de pausa en el momento correcto y el de reanudación después. En un centro de contacto con cientos de llamadas al día, los agentes inevitablemente se olvidan. Una sola pausa fallida significa que los datos de la tarjeta quedan grabados íntegros, y esa grabación se convierte entonces en un pasivo de cumplimiento.

Los estudios han demostrado que el pause and resume manual tiene una tasa de fallo sorprendentemente alta. Incluso los agentes bien formados en centros bien gestionados cometen errores, sobre todo bajo la presión de atender llamadas con rapidez.

Reducción de Alcance Incompleta

Como el agente sigue oyendo y manejando los datos de tarjeta, pause and resume no saca al centro de contacto del alcance de PCI DSS. Los puestos de los agentes, la red en la que se sitúan, las pantallas que usan y la infraestructura de telefonía siguen en alcance para la evaluación PCI. Esto significa que el negocio sigue teniendo que cumplir toda la gama de requisitos de PCI DSS en todo el entorno del centro de contacto, una empresa costosa y compleja.

Pause and Resume frente a Enmascaramiento DTMF

La diferencia clave entre pause and resume y el enmascaramiento DTMF está en lo que ocurre con los datos de la tarjeta durante la llamada.

Con pause and resume, el cliente dicta los datos de su tarjeta en voz alta. El agente los oye, los teclea y la grabación se pausa temporalmente. Los datos de la tarjeta pasan por el canal de voz y por el entorno del agente.

Con el enmascaramiento DTMF, el cliente teclea los datos de la tarjeta en el teclado de su teléfono. Los tonos se sustituyen por sonidos planos antes de llegar al agente, así que el agente nunca oye los dígitos reales. Los datos se enrutan directamente al procesador de pagos sin entrar en ningún momento en el entorno del agente.

El impacto práctico de esta diferencia es significativo:

• Alcance PCI DSS Pause and resume deja todo el centro de contacto en alcance. El enmascaramiento DTMF lo saca por completo.
• Riesgo de error humano Pause and resume depende de que los agentes pulsen botones en el momento adecuado. El enmascaramiento DTMF funciona de forma automática sin acción del agente.
• Exposición de datos Pause and resume sigue exponiendo los datos de la tarjeta a los agentes. El enmascaramiento DTMF garantiza que nadie en la cadena de la llamada oiga ni vea los datos.
• Coste de cumplimiento Mantener el cumplimiento PCI en todo un centro de contacto es caro. Reducir el alcance con enmascaramiento DTMF disminuye drásticamente ese coste.

Cuándo Puede Seguir Usándose Pause and Resume

A pesar de sus limitaciones, pause and resume lo siguen usando algunas organizaciones, normalmente porque:

• Están en una fase temprana de mejora de su seguridad de pagos y pause and resume es un primer paso rápido
• Sus volúmenes de llamadas son muy bajos y la carga operativa es manejable
• Aún no han migrado a una solución más completa como el enmascaramiento DTMF

Sin embargo, a medida que los requisitos de PCI DSS se han endurecido —especialmente con la versión 4.0— y el coste y la complejidad de mantener entornos dentro de alcance han aumentado, la mayoría de las organizaciones se están moviendo hacia soluciones que sacan los datos de tarjeta del canal de voz por completo.