¿Qué es un terminal virtual?

Un terminal virtual es una pantalla de pago con tarjeta basada en navegador en la que un agente inicia sesión para teclear los datos de la tarjeta del cliente y procesar un pago. Funcionalmente es el equivalente software de un terminal físico de mostrador, pero en lugar de presentar una tarjeta a un dispositivo chip-and-PIN, el agente teclea el número largo de la tarjeta, la fecha de caducidad, el código de seguridad y el importe en un formulario web. Es la herramienta estándar para el trabajo de tarjeta no presente: MOTO (Mail Order / Telephone Order), pagos de facturas de back-office y transacciones manuales puntuales. Casi todos los proveedores de servicios de pago lo incluyen de serie con una cuenta de comercio. La contrapartida es la parte que la mayoría de los comercios solo descubre después de su primera auditoría PCI: en el momento en que un agente teclea números de tarjeta en un terminal virtual, la estación de trabajo del agente forma parte del Entorno de Datos del Titular (CDE) de PCI DSS, y el centro de contacto está en SAQ D.

Los terminales virtuales existen porque no todos los pagos son un checkout de comercio electrónico. Algunos se cobran por teléfono, otros llegan por correo, otros los procesa un equipo de back-office reclamando facturas. El comercio necesita una forma de enviarlos a través de su adquirente sin comprar hardware físico, y una página web en la que iniciar sesión es la respuesta obvia. Como pieza pura de software, funciona bien. La complicación es lo que hace con el alcance PCI del comercio, y por eso existe esta entrada.

Cómo funciona un terminal virtual

El agente (o usuario de back-office) inicia sesión en el portal web de la pasarela, navega hasta la pantalla del terminal virtual y se le presenta un formulario: número de tarjeta, mes y año de caducidad, código de seguridad, código postal de facturación e importe. Teclea cada campo a medida que el cliente lo dicta por teléfono o lo copia de un pedido en papel y, luego, envía.

A partir de ahí es una autorización estándar de tarjeta no presente. La pasarela envía la solicitud a través del adquirente, el emisor aprueba o rechaza y el resultado vuelve a la pantalla del agente. La transacción se liquida en la cuenta del comercio con el siguiente lote. No hay nada técnicamente novedoso: un terminal virtual es solo una interfaz web sobre los mismos raíles de autorización que utiliza un checkout de comercio electrónico.

El problema con PCI DSS

Lo que hace que un terminal virtual sea un riesgo de cumplimiento no es la pasarela, sino el entorno del agente. El alcance de PCI DSS lo determinan los sistemas que "almacenan, procesan o transmiten" datos del titular. En el momento en que un agente dicta un número de tarjeta y lo teclea en un navegador, toda la cadena entra en el alcance:

La estación de trabajo del agente está dentro del alcance: pulsaciones de teclado capturadas, caché del navegador con posibles datos del formulario, pantalla visible para cualquiera que pase por delante. Necesita antivirus, cifrado de disco duro, gestión de parches y escaneos trimestrales de vulnerabilidades.

La llamada telefónica está dentro del alcance: el cliente dicta el número de tarjeta al auricular del agente, lo que significa que el flujo de audio y cualquier grabación de la llamada capturan el PAN. La pausa y reanudación se vuelven obligatorias; las grabaciones antiguas requieren limpieza.

La red en la que se encuentra la estación está dentro del alcance: lo que implica segmentación del resto de la red de oficina, reglas de cortafuegos y detección de intrusiones.

El propio agente está dentro del alcance: verificaciones de antecedentes, formación de concienciación en seguridad y aceptaciones firmadas de la política de manejo de datos del titular.

Lo que iba a ser una forma sencilla de aceptar pagos telefónicos arrastra al centro de contacto al SAQ D: 329 controles, visita anual de QSA y cada estación de trabajo es un activo PCI. Para un pequeño comercio que procesa un puñado de pagos MOTO a la semana, esto es totalmente desproporcionado. Para un centro de contacto con 50 agentes, supone una factura de cumplimiento de cientos de miles de libras al año.

Terminal virtual frente a terminal físico de tarjeta

Un terminal físico de mostrador (el dispositivo chip-and-PIN de una tienda) se encuentra en otra categoría PCI. La tarjeta se presenta físicamente, el dispositivo es un PED certificado y los datos del titular nunca entran en la red del comercio: el terminal habla directamente con el adquirente por su propio canal cifrado. La caja del comercio nunca toca el PAN. Por eso los comercios con tarjeta presente suelen acabar en SAQ B o SAQ P2PE, los cuestionarios más ligeros.

Un terminal virtual parece una pieza de software de pago, pero desde el punto de vista PCI se comporta como un punto de captura de datos de tarjeta totalmente expuesto. Como el agente teclea los dígitos en un navegador normal sobre un PC normal, ninguna de las protecciones que existen alrededor de un terminal hardware se aplica.

Cómo es un terminal virtual seguro

La solución no es eliminar los terminales virtuales (los agentes siguen necesitando una forma de cobrar pagos telefónicos), sino mantener los datos de tarjeta fuera del entorno del agente desde el principio. Hay dos enfoques principales.

El primero es el enmascaramiento de DTMF: en lugar de que el cliente dicte el número de tarjeta, el agente lo transfiere a un paso de captura segura donde teclea los dígitos en el teclado de su teléfono. Los tonos DTMF se interceptan antes de llegar al auricular del agente, se sustituyen por un tono plano en el audio y los dígitos se enrutan directamente a la pasarela. El agente sigue en la llamada pero nunca oye el número de tarjeta; la grabación captura el mismo tono plano; la estación del agente nunca ve el PAN. La pantalla del agente sigue mostrando un resumen tipo terminal virtual (importe, últimos cuatro dígitos, estado de autorización) para confirmar el pago con el cliente, pero la parte que antes contenía el número completo nunca se rellena.

El segundo es la separación de canales: enrutar al cliente a un canal seguro paralelo (normalmente un IVR o una página de pago alojada en su móvil) para el paso de captura de la tarjeta y, después, devolverlo al agente. El resultado es el mismo (el agente no maneja los dígitos) pero la arquitectura es distinta.

En cualquiera de los dos casos, el centro de contacto sale del entorno de datos del titular. El alcance PCI pasa de SAQ D a SAQ A. La auditoría anual se acorta y abarata, la formación del agente deja de ser un ejercicio de cumplimiento y el riesgo de cola larga de una infección de malware en el PC de un agente que robe datos de tarjeta desaparece.

Cuándo un terminal virtual tradicional sigue siendo aceptable

Hay algunos casos en los que la carga de SAQ D de un terminal virtual normal no merece la pena resolver. Un autónomo que acepta algún pago MOTO ocasional de un cliente de toda la vida. Un equipo de back-office muy pequeño con dos o tres transacciones a la semana. Cualquier lugar donde el volumen sea tan bajo que el coste de auditoría de mantenerse en SAQ D sea menor que el de integrar una solución fuera del alcance. Fuera de esos casos límite, en cualquier sitio donde el centro de contacto sea un canal de pagos relevante, un terminal virtual normal se convierte en una forma cara de aceptar pagos telefónicos una vez se incluye toda la factura de cumplimiento.

Qué preguntar al proveedor que se lo venda

Si un proveedor de pagos le ofrece un terminal virtual como respuesta a los pagos telefónicos, la pregunta clave es: ¿teclea el agente el número de tarjeta en el navegador o lo introduce el cliente en su teléfono con enmascaramiento de DTMF? Si es lo primero, está en SAQ D en cuanto vaya en vivo. Si es lo segundo, está en SAQ A. Los dos productos a menudo comparten interfaz pero se comportan de forma muy distinta detrás del formulario, y las páginas de marketing rara vez dejan clara la diferencia. La verdad vive en el contrato y en la evidencia de cumplimiento.