¿Qué son los Pagos Telefónicos Seguros?

¿Qué son los Pagos Telefónicos Seguros?

Los pagos telefónicos seguros son transacciones con tarjeta realizadas por teléfono usando tecnología y procesos diseñados para proteger los datos de tarjeta del cliente frente a la exposición. La parte de «seguros» es crucial. Aceptar un pago por teléfono es fácil. Aceptar un pago por teléfono sin exponer el número de tarjeta a los agentes, a las grabaciones de llamadas o a los sistemas de TI es lo que lo hace seguro.

Tradicionalmente, los pagos telefónicos funcionaban así: el cliente llamaba, dictaba su número de tarjeta y el agente lo tecleaba en un terminal de pago o en un software. Este enfoque es simple pero profundamente defectuoso desde el punto de vista de la seguridad. El agente oye el número de tarjeta, la grabación de la llamada lo captura y el ordenador del agente lo muestra. Eso son tres puntos de exposición por cada transacción.

Por qué los pagos telefónicos tradicionales son un riesgo

Los riesgos del enfoque tradicional no son teóricos. El fraude interno, en el que los empleados roban datos de tarjeta, es un problema bien documentado en los centros de contacto. Las grabaciones de llamadas que contienen números de tarjeta son un tesoro para cualquiera que consiga acceder a ellas. Y cuantos más sistemas manejen datos de tarjeta, mayor será la superficie de ataque para los hackers externos.

PCI DSS exige que todos los sistemas que manejan datos de tarjeta estén asegurados a un nivel alto. Para un centro de contacto, esto significa asegurar los puestos de los agentes, la red de telefonía, los sistemas de grabación de llamadas, las aplicaciones CRM y la red interna. El coste y la complejidad de lograrlo en todo un centro de contacto son significativos, y cualquier punto de fallo puede dar lugar a una brecha.

Cómo funcionan los pagos telefónicos seguros

Las soluciones modernas de pago telefónico seguro abordan estos riesgos eliminando por completo los datos de tarjeta del entorno del centro de contacto. Hay varios enfoques:

Supresión DTMF

El cliente introduce los datos de su tarjeta usando el teclado de su teléfono mientras el agente permanece en la línea. Los tonos DTMF se suprimen o se sustituyen por tonos planos para que el agente no pueda identificar los dígitos. Los datos de tarjeta se enrutan directamente al procesador de pagos sin pasar por los sistemas del agente. El agente ve la confirmación del resultado del pago pero nunca ve el número de tarjeta.

Enlaces de pago

El agente envía un enlace de pago seguro al cliente por SMS o correo durante la llamada. El cliente pulsa el enlace, introduce los datos de su tarjeta en una página de pago alojada segura, y el agente ve la confirmación en su sistema. Los datos de tarjeta nunca entran en el entorno de telefonía.

Captura de pagos por IVR

El cliente se transfiere a un sistema IVR (Interactive Voice Response) automatizado que captura los datos de su tarjeta mediante la introducción en el teclado. Una vez procesado el pago, se devuelve al cliente al agente. Este enfoque saca al agente por completo del proceso de captura de datos de tarjeta.

Por qué los pagos telefónicos seguros importan a los negocios

El caso de negocio va más allá del cumplimiento. Los pagos telefónicos seguros reducen el riesgo de fraude, lo que reduce directamente los costes por contracargo. Eliminan la necesidad de pausa-y-reanudación de la grabación, lo que simplifica el cumplimiento de la grabación de llamadas y preserva los registros completos de la llamada para fines de calidad y formación. Eliminan la tentación y la oportunidad para el fraude interno, lo que protege a los empleados tanto como a los clientes.

La confianza del cliente también importa. Muchos clientes no se sienten cómodos dictando su número de tarjeta en voz alta, sobre todo si están llamando desde un lugar público o sospechan que la llamada se está grabando. Ofrecer un método de pago seguro que no les exija decir los datos de su tarjeta hace que la experiencia de pago sea más cómoda y genera confianza.

Desde el punto de vista del cumplimiento, las soluciones seguras de pago telefónico pueden sacar todo el centro de contacto del alcance de PCI DSS. Esto reduce el alcance de las evaluaciones anuales de cumplimiento, elimina la necesidad de fortificar los puestos de los agentes y quita la grabación de llamadas como preocupación de cumplimiento. Los ahorros de coste son sustanciales, sobre todo en centros de contacto más grandes.

¿Quién necesita pagos telefónicos seguros?

Cualquier negocio que acepte pagos con tarjeta por teléfono debería plantearse una solución segura. Esto incluye:

• Centros de contacto y call centres que gestionan pagos de clientes.
• Empresas de servicios públicos y de telecomunicaciones que cobran facturas.
• Administraciones locales y servicios gubernamentales que aceptan pagos por teléfono.
• Proveedores sanitarios que aceptan pagos por tratamientos o recetas.
• Organizaciones benéficas que procesan donaciones por teléfono.
• Negocios de viajes y hostelería que aceptan reservas y depósitos.
• Despachos profesionales que cobran honorarios.

Consideraciones prácticas

• La experiencia del agente importa. Las mejores soluciones mantienen al agente conectado con el cliente durante todo el pago. Las soluciones que exigen transferir al cliente a una línea separada o ponerlo en espera crean una experiencia entrecortada.
• La integración con los sistemas existentes es importante. La solución de pago debería funcionar con tu sistema telefónico actual, CRM y procesador de pagos sin requerir cambios al por mayor.
• La velocidad de despliegue varía. Las soluciones basadas en la nube a menudo pueden desplegarse en días, mientras que las soluciones on-prem pueden llevar semanas o meses.
• El coste debe ser proporcionado. La solución correcta depende de tu volumen de llamadas, el valor de las transacciones y los costes de cumplimiento actuales. Una solución que cueste más que la carga de cumplimiento que elimina no es la adecuada.
• La certificación PCI DSS del proveedor no es negociable. El proveedor que maneje tus datos de tarjeta tiene que estar certificado en PCI DSS Nivel 1.

Los pagos telefónicos seguros ya no son un «estaría bien tenerlo». Con PCI DSS v4.0 subiendo el listón del cumplimiento y los reguladores prestando más atención a la protección de datos, los negocios que aceptan pagos telefónicos sin la seguridad adecuada están asumiendo un riesgo innecesario con los datos de sus clientes y con su propia estabilidad financiera.