Esta es una gran pregunta.
El TLDR es; Sí , Los centros de llamadas generalmente son menos seguros que los pagos en línea . La razón de esto se debe al factor humano inherente en un centro de llamadas, por ejemplo, guardando los detalles de la tarjeta de pago en el bloc de notas para procesarlos más tarde, ya que el servicio de pago está inactivo (¡en serio!).
Pero, hay un par de cosas que tratar aquí, 1. Seguridad de pagos y 2. Seguridad de llamadas.
Para comenzar con 2. Las llamadas están encriptadas en su camino hacia el banco desde la central de su Telco, y nuevamente una vez que llegan a los bancos DMZ, con una cosa llamada SBC (Session Border Controller) . Esto ha sido estándar desde la proliferación de la tecnología VoIP en el entorno empresarial. Dicho esto, la calidad de dicho cifrado no es excelente (Base64 ??) y se basa en la suposición de que tanto su compañía de telecomunicaciones como el equipo de telefonía de los bancos están aplicando parches a su kit y lo están actualizando cuando sea necesario.
En 1, la industria bancaria / de pagos ha estado a la vanguardia de la comprensión de la importancia de hacer que esto funcione correctamente durante mucho tiempo porque representa un gran riesgo para ellos.
El estándar para procesos de pagos seguros / infraestructura / arquitectura se denomina PCI DSS . PCI DSS fue desarrollado específicamente para brindar a los consumidores como nosotros una mejor seguridad al realizar pagos. Todos los centros de llamadas, incluidos los bancos, deben cumplir con sus normas. Esto también se aplica a cualquier otro "punto final" de pago, como pagos en tienda o en línea.
Hay diferentes niveles de cumplimiento de PCI según la cantidad de pagos que esté procesando cada año. Incluso el más bajo requiere que se realicen 4 auditorías aleatorias cada año para que una organización retenga su certificado de cumplimiento.
De hecho, las PCI DSS son casi una industria propia en estos días, ya que las compañías están creando infraestructura y servicios de pago para que los servicios de pago de las organizaciones queden "fuera del alcance" de las PCI DSS al asumir todo el riesgo.
Para responder específicamente a su pregunta, algunas de las cosas clave descritas por PCI DSS son:
- Nunca almacene los datos de la tarjeta en texto plano en reposo: se utiliza la tokenización para solucionar esto.
- Nunca almacene ID de verificación de tarjeta como CVV o Pin - Nunca jamás
- Usando el principio de privilegio mínimo
- Para acceder a los servicios de red
- Para acceder a las GUI de pago (agentes del centro de llamadas)
- Para acceder a las grabaciones de llamadas con fines de control de calidad
- La garantía de transmisión de datos de titulares de tarjetas a través de redes públicas está encriptada, con estándares como SSL / TLS
- Enmascaramiento de DTMF: de modo que si ingresa su número de tarjeta desde el teclado, todos los pitidos son monótonos
No tengo suficiente representante para publicar más de 2 enlaces, pero para obtener una mejor visión general de lo que se requiere para pagos por teléfono, consulte este publicación de blog .
Por lo tanto, los bancos y los centros de llamadas pueden almacenar parte de la información de su tarjeta de pago en reposo, siempre y cuando se muestre en una red amurallada compatible con PCI. Además, se le proporcionará un cifrado básico en la llamada que se realiza, y nuevamente dentro de la red de telefonía de los bancos, más el enmascaramiento DTMF durante los pagos del teclado.
En resumen, con estos estándares y prácticas, está más seguro desde una perspectiva tecnológica cuando paga con un servicio automatizado que cuando habla con un humano.
Lo siento por el largo post! :)