Cumplimiento PCI para Call Centers: Consideraciones clave

La transformación digital en todas las industrias ha dejado mucho que desear en el ámbito de la ciberseguridad. Por esta razón, para resolver algunas de las preocupaciones acerca del procesamiento y almacenamiento de datos, las compañías más grandes de tarjetas bancarias decidieron crear el Payment Card Industry Data Security Standard, abreviado como PCI-DSS.

El estándar PCI afecta prácticamente a todos los sectores que procesan información bancaria, obligando a las compañías a cumplir con las mejores prácticas de seguridad para reducir la vulnerabilidad y disminuir el riesgo de ciberataques. Como resultado, las empresas que no cumplen con PCI corren el riesgo de sufrir graves consecuencias negativas como la pérdida de ingresos, reputación dañada, y penalizaciones que empiezan desde los 5.000 dólares mensuales.

Como ya mencionamos, el estándar afectará a casi todos los verticales en 2018, incluyendo a hoteles, agencias de viaje, y call centers (¿es obligatorio PCI para tu empresa? Más info aquí). Hoy, presentaremos algunas consideraciones que los call centers deben tener en cuenta antes de su preparación para PCI.

Los cambios que traerá el Cumplimiento PCI a los Call Centers

Para garantizar las mejores prácticas de gestión y almacenamiento de datos, los call centers deben cumplir con los seis objetivos establecidos por el Security Standards Council:

• Construir y mantener una red segura - la información sensible debe estar protegida con firewalls robustos y controles estrictos de seguridad.

• Proteger los datos bancarios del titular - la información del titular no puede almacenarse en el sistema de la compañía sin haber sido encriptada previamente. Escribirla sobre una hoja de papel no será aceptable.

• Mantener un programa de gestión de vulnerabilidad - ¿Están actualizados todos tus programas de software? Si la respuesta es no, tendrás que asegurarte de que todos los sistemas y aplicaciones han sido actualizados a su última versión, y protegidos por un software anti-virus.

• Implementar un acceso controlado a la información sensible - el acceso físico a los datos del titular tiene que ser restringido, y tus agentes deben tener asignado un ID único para poder acceder a la información vía ordenador.

• Monitorizar y examinar las redes con regularidad - todo el acceso a los recursos y los datos de la red debe ser monitorizado con frecuencia y examinado por motivos de seguridad.

• Mantener una Política de Seguridad Informativa que proporciona toda la información necesaria a los empleados y proveedores.

Prácticas peligrosas y obsoletas que los Call Centers deben abandonar

Una investigación reciente realizada por Semafone reveló que más de 70% de los call centers procesan información de maneras que comprometen la seguridad, como por ejemplo leyendo los datos sensibles de los usuarios en voz alta. Estas son algunas de las prácticas que deben desaparecer con el Cumplimiento PCI:

• Transacciones inseguras - recopilar la información bancaria por teléfono leyendo el número de la cuenta del titular en voz alta.

• Acceso libre a los datos bancarios incluso si el cliente no está al teléfono.

• Compartir la información personal con otros agentes ilegalmente, sin ningún objetivo justificado y sin implementar las medidas de seguridad necesarias.

• No avisar sobre situaciones peligrosas a las autoridades correspondientes.

• Utilizar bolígrafo y papel para apuntar datos personales.

• Permitir teléfonos móviles personales en el call center, una práctica que aumenta el riesgo de filtración de información.

Otro factor subestimado que debe tenerse en cuenta son las malas decisiones de outsourcing de empleados, ya que aumentan el riesgo de ciberataques. En realidad, estas decisiones son responsables de más del 63% de las brechas de datos que ocurren en los call centers y otras compañías con actividades similares.

Cumplimiento PCI para Call Centers: las mejores prácticas

Para hacer el procesamiento y el almacenamiento de la información bancaria significativamente más seguro, los call centers deben implementar algunas de las siguientes prácticas:

• Asegurarse que todos los agentes y supervisores disponen de su propia cuenta de usuario con ID único con sus restricciones correspondientes (dependiendo del puesto) para controlar y limitar la exposición de datos.

• Usar pizarra en lugar de escribir la información sobre una hoja de papel, ya que esto limita el almacenamiento físico de la información del usuario.

• Prohibir los teléfonos móviles en el call center para minimizar el riesgo de fuga de información.

• Proteger las transacciones de voz - la grabación de llamadas está sujeta al estándar PCI. Si vas a grabar y almacenar tus llamadas, asegúrate de que estén en cumplimiento. En el caso contrario, utiliza tecnologías para pausar la grabación cuando el usuario esté pronunciando sus datos personales.

• Los objetos y bolsos personales deben estar prohibidos en el puesto de trabajo, y se recomienda que los agentes pasen por un control de seguridad a la hora de entrar en el edificio.

Resulta crítico garantizar que todos tus sistemas e infraestructuras estén en cumplimiento con PCI, y que todos los procesos internos estén cubiertos con diferentes capas de protección adicionales.

Procesar datos bancarios con un proveedor cualificado

La obtención del Cumplimiento PCI es obligatoria para todos los call centers que graban, almacenan, y procesan la información bancaria de sus consumidores. Sin embargo, cumplir con todos los requisitos puede ser excesivamente caro para muchas empresas, con precios que exceden a los $200.000 al año dependiendo del tamaño de la empresa y el número de tarjetas de crédito que se procesan.

Por esta razón, muchas compañías que procesan y almacenan datos de tarjetas bancarias y otra información personal identificable, prefieren procesar sus transacciones de pago con un proveedor cualificado que ya esté en cumplimiento con PCI, como MYMOID - una pasarela de pagos de nueva generación que ofrece soluciones de pago completamente seguras.