Módulo 6: Pagos telefónicos + PCI DSS

Los pagos con tarjeta tomados por teléfono crean un problema de cumplimiento de PCI DSS que la mayoría de los negocios subestima. Los pagos en línea pueden sacarse de alcance con formularios alojados y tokenización; los pagos telefónicos no, porque un agente humano se ubica en la ruta de audio entre el cliente y el procesador de pagos. Esta guía explica cómo PCI DSS trata los pagos telefónicos y qué controles realmente funcionan.

Actualizada a PCI DSS v4.0.1, la versión actual del estándar (obligatoria desde el 31 de marzo de 2025). Los requisitos 3.1–3.7 referenciados abajo se alinean con la numeración v4.0.1 del Requisito 3: Proteger los datos de cuenta almacenados.

Los pagos telefónicos caen bajo PCI DSS — el Payment Card Industry Data Security Standard — desde el momento en que un número de tarjeta se dice en voz alta, se escribe en la pantalla de un agente o queda capturado en una grabación de llamada. Cada sistema que lleva esos dígitos pasa a formar parte del entorno de datos del titular de tarjeta, y requiere los mismos controles que un sistema de pago en línea. El reto es particularmente duro porque el agente está en la ruta de audio; los centros de contacto suelen resolverlo enrutando los datos de tarjeta lejos del agente por completo.

Un pago telefónico es cualquier transacción con tarjeta procesada durante una llamada de voz — con asistencia de un agente, por IVR (respuesta de voz interactiva) entrante o por cobranza saliente. PCI DSS para pagos telefónicos no tiene un conjunto de reglas aparte; aplican los mismos 12 requisitos, pero su aplicación se complica porque los datos de tarjeta fluyen por sistemas diseñados originalmente para voz: grabaciones de llamada, plataformas IVR, pantallas de agente, redes VoIP (Voz sobre IP). Reducir el alcance, por tanto, se reduce a mantener los números de tarjeta fuera de esos sistemas por completo.

El reto oculto de cumplimiento

La mayoría de negocios piensa en PCI DSS en términos de pagos en línea — sitios web, carritos de compra y páginas de pago alojadas. Pero hay un canal de pago que genera muchos más dolores de cabeza de cumplimiento que cualquier otro: el teléfono. Si tu negocio toma pagos con tarjeta por teléfono, estás lidiando con lo que muchos profesionales de cumplimiento consideran la parte más compleja de PCI DSS.

La razón es directa. Cuando un cliente paga en línea, puedes usar tokenización, páginas de pago alojadas y cifrado para asegurar que los datos de tarjeta nunca toquen tus sistemas. Por teléfono, la dinámica es totalmente distinta. Una persona — tu agente — participa en la conversación. Los números de tarjeta pueden decirse en voz alta, escribirse en pantallas, capturarse en grabaciones de llamada o transmitirse por sistemas VoIP. Cada uno de estos crea un posible punto de exposición, y cada uno mete en alcance PCI sistemas que quizá no habías considerado.

Como hablamos en el Módulo 1, PCI DSS aplica a toda organización que almacene, procese o transmita datos del titular de tarjeta. Para los pagos telefónicos, la parte de "transmite" es la palabra clave. Aunque nunca almacenes un número de tarjeta, el hecho de que pase por tu sistema telefónico, tu red y los oídos de tu agente te mete de lleno en alcance.

Por qué los pagos telefónicos son distintos

Con los pagos en línea, reducir el alcance es relativamente directo. Rediriges a los clientes a una página de pago alojada o usas un iframe, y los datos de tarjeta nunca entran a tu entorno. Listo. Pero una llamada telefónica es una interacción analógica y humana que pasa en tiempo real. Eso la vuelve, de entrada, más difícil de controlar.

Piensa lo que pasa en un pago telefónico típico sin tecnología especial. El agente pide el número de tarjeta del cliente. El cliente lo dicta. El agente oye cada dígito. Lo escribe en una pantalla de pago — lo cual significa que aparece en su monitor. Si la llamada se graba (y la mayoría de centros de contacto graban llamadas por calidad y capacitación), el número de tarjeta completo queda ahora en un archivo de audio en algún servidor. Si el agente anotó el número en una nota adhesiva como respaldo — algo que pasa más de lo que nadie admite — hay también un registro físico.

Cada uno de estos puntos de contacto es una preocupación de PCI DSS. La estación de trabajo del agente está en alcance. El sistema de grabación de llamadas está en alcance. La red que lleva la llamada está en alcance. El software de grabación de pantalla, si lo usas, está en alcance. El escritorio donde está la nota adhesiva está en alcance. El sistema telefónico — sea un PBX tradicional o una plataforma VoIP en la nube — está en alcance. De repente, tu entorno PCI no es solo tu pasarela de pagos; es toda la infraestructura de tu centro de contacto.

Grabaciones de llamada: la violación más común

Las grabaciones de llamada merecen atención especial porque son una de las violaciones de PCI DSS más comunes que detectan los auditores. Muchos negocios graban llamadas por razones legítimas — resolución de disputas, monitoreo de calidad, cumplimiento regulatorio (la FCA exige a algunas firmas grabar llamadas) y capacitación. El problema surge cuando esas grabaciones capturan datos de tarjeta.

El Requisito 3 de PCI DSS es claro: los datos de autenticación sensibles — incluido el código de seguridad CVV/CVC — nunca deben almacenarse tras la autorización. Si un cliente dicta su CVV durante una llamada grabada, acabas de almacenarlo. Eso es una violación, punto. Y no es solo el CVV. Almacenar el PAN completo (número de cuenta principal) en una grabación sin cifrar también crea obligaciones de cumplimiento importantes bajo los Requisitos 3.1 a 3.7.

El reto es que la mayoría de sistemas de grabación de llamadas no distinguen entre una conversación normal y una transacción de pago. Graban todo. Algunos negocios intentan resolverlo con tecnología de "pausa y reanudación", donde la grabación se pausa mientras se toman los datos de tarjeta y se reanuda después. Vamos a ver enseguida por qué este enfoque tiene limitaciones importantes.

Hay otro ángulo que muchos negocios pasan por alto: aunque borres las grabaciones que contienen datos de tarjeta tras un período fijado, ya las almacenaste. PCI DSS exige que, si almacenas datos del titular de tarjeta, debes tener políticas documentadas de retención, controles de acceso, cifrado y procesos regulares de purga. El enfoque más simple es evitar que los datos de tarjeta entren a las grabaciones desde el inicio.

Acceso del agente y el factor humano

Tus agentes no son una amenaza de seguridad — pero sí son una consideración de seguridad. Cualquier persona que pueda oír, ver o acceder a datos del titular de tarjeta es parte de tu alcance PCI. Eso significa que las estaciones de trabajo de los agentes deben cumplir requisitos PCI de control de acceso (Requisito 7), identificación única de usuario (Requisito 8) y seguridad física (Requisito 9).

En términos prácticos, esto significa que cada agente que maneja pagos telefónicos necesita credenciales únicas de inicio de sesión, su acceso a los sistemas de pago debe registrarse y monitorearse, sus estaciones de trabajo deben cumplir estándares de seguridad y el entorno físico necesita controles para prevenir el "shoulder surfing" y el robo de datos. Si tienes 200 agentes en un centro de contacto, son 200 puntos finales, 200 conjuntos de credenciales y una carga de cumplimiento continua importante.

Las grabaciones de pantalla y las herramientas de pantalla compartida suman otra capa. Si una captura de pantalla o sesión de soporte remoto graba la pantalla de pago mientras los datos de tarjeta están visibles, creaste otra copia de datos del titular de tarjeta que hay que gestionar bajo PCI DSS.

La rotación de personal agrava el problema. Los centros de contacto suelen tener tasas altas de rotación, lo cual significa estar todo el tiempo dando y quitando accesos, capacitando personal nuevo en procedimientos PCI y monitoreando violaciones de política. Cada nuevo ingreso necesita capacitación en concientización PCI, y a cada saliente hay que revocarle el acceso rápido — el Requisito 8.1.4 exige que las cuentas inactivas se eliminen dentro de 90 días.

VoIP y alcance de red

Si tu sistema telefónico usa Voz sobre IP (VoIP) — y la mayoría de sistemas modernos lo hacen — entonces tu red de datos lleva tráfico de voz que puede contener datos del titular de tarjeta. Esto mete tu infraestructura de red en alcance PCI bajo los Requisitos 1 y 4. Cortafuegos, switches, routers y cualquier segmento de red que lleve tráfico de voz tienen que cumplir estándares PCI.

Esta es una expansión importante del alcance que muchos negocios no anticipan. Un sistema telefónico analógico tradicional estaba separado de la red de datos. Con VoIP, voz y datos comparten la misma infraestructura. Si se dictan números de tarjeta durante llamadas que pasan por esa red, la propia red pasa a ser parte del entorno de datos del titular de tarjeta.

Las plataformas de centro de contacto en la nube (CCaaS) tienen sus propias consideraciones. Aunque el proveedor de la plataforma maneja gran parte del cumplimiento de infraestructura, todavía tienes que asegurar que la conexión entre tu entorno y la plataforma en la nube sea segura, y que cualquier componente local (softphones, audífonos, red local) cumpla los requisitos PCI. Tu responsabilidad no termina en la frontera de la nube.

Soluciones: reducir el alcance del canal telefónico

Ante todos estos retos, la estrategia más efectiva es la misma que tratamos en el Módulo 5: reducir el alcance. Saca los datos de tarjeta del proceso de pago telefónico para que tus agentes, grabaciones de llamada, estaciones de trabajo y sistemas telefónicos nunca entren en contacto con ellos.

Se usan principalmente dos tecnologías para esto:

Pausa y reanudación intenta resolver el problema de la grabación de llamadas pausando la grabación mientras el cliente da sus datos de tarjeta. El agente normalmente pide el número de tarjeta, pausa la grabación, toma los datos, procesa el pago y reanuda la grabación. Aunque esto evita que los datos de tarjeta aparezcan en las grabaciones, tiene limitaciones importantes. El agente sigue oyendo el número de tarjeta. La estación de trabajo del agente sigue mostrándolo. El sistema telefónico sigue llevándolo. La pausa y reanudación atiende un síntoma pero no reduce el alcance del entorno. El agente y su estación de trabajo siguen plenamente en alcance PCI.

El enmascaramiento DTMF toma un enfoque fundamentalmente distinto. En vez de que el cliente dicte su número de tarjeta en voz alta, lo ingresa en el teclado de su teléfono mientras sigue en la línea con el agente. Los tonos DTMF (los pitidos que oyes al pulsar los botones del teléfono) se interceptan y reemplazan con tonos planos y uniformes. El agente oye un sonido por cada pulsación pero no puede distinguir qué dígito se pulsó. Los datos de tarjeta reales se enrutan directo al procesador de pagos, saltándose por completo al agente, a la grabación de llamada y a toda tu infraestructura. Esta es la tecnología que ofrece Paytia, y por eso el enmascaramiento DTMF se considera el estándar de oro de la seguridad en pagos telefónicos.

Vamos a más detalle sobre cómo funciona el enmascaramiento DTMF en el Módulo 7: Enmascaramiento DTMF explicado.

El caso de negocio para reducir el alcance de los pagos telefónicos

Más allá de los beneficios de seguridad, reducir el alcance de tu canal de pago telefónico tiene sentido de negocio claro. Cuando los agentes nunca oyen ni ven datos de tarjeta, eliminas el riesgo de fraude interno. Cuando las grabaciones de llamada no contienen números de tarjeta, tus programas de monitoreo de calidad y capacitación pueden funcionar sin restricciones PCI. Cuando la infraestructura de tu centro de contacto está fuera de alcance PCI, tu validación de cumplimiento se vuelve mucho más simple — pudiendo calificar para SAQ A en vez del SAQ D mucho más exigente, como explicamos en el Módulo 4.

También hay un beneficio en la experiencia del cliente. Con enmascaramiento DTMF, el cliente nunca tiene que dictar su número de tarjeta en voz alta en un lugar potencialmente público. Solo pulsa los dígitos en su teléfono mientras sigue hablando con el agente. El pago ocurre dentro de la llamada, sin interrumpir la conversación, sin silencios incómodos ni transferencias a sistemas automatizados.

Puntos clave

• Los pagos telefónicos crean el alcance PCI más amplio de cualquier canal de pago, metiendo agentes, estaciones de trabajo, sistemas telefónicos, grabaciones de llamada e infraestructura de red
• Las grabaciones de llamada que contienen datos de tarjeta son una de las violaciones PCI más comunes — almacenar CVV en cualquier forma, incluida la de audio, está explícitamente prohibido
• Los sistemas VoIP meten tu red de datos en alcance porque el tráfico de voz con datos de tarjeta comparte la misma infraestructura que tus datos de negocio
• La pausa y reanudación tiene limitaciones importantes — atiende las grabaciones de llamada pero no saca de alcance a los agentes, las estaciones de trabajo ni los sistemas telefónicos
• El enmascaramiento DTMF reduce el alcance del canal telefónico por completo al asegurar que los datos de tarjeta nunca lleguen a los agentes, las grabaciones ni tu infraestructura — se enrutan directo al procesador de pagos
• Reducir el alcance de los pagos telefónicos baja la carga de cumplimiento, elimina el riesgo de fraude interno y puede simplificar tu SAQ de D a A
• El canal telefónico merece atención prioritaria en cualquier programa de cumplimiento PCI — suele ser el área con mayor riesgo no reconocido