Sí, está en el alcance. En realidad, hay una guía bastante completa y explícita del Consejo de Normas de Seguridad de PCI (la gente de DSS) para su pregunta exacta aquí:
Suplemento de información: protección de datos de tarjetas de pago telefónicas
Lo que hace afirmaciones razonablemente claras como esta sobre los números de tarjeta:
Los centros de llamadas deberán asegurarse de que los datos de PAN se vuelvan ilegibles
(por ejemplo, cifrado usando criptografía fuerte) cuando se almacena.
Esto es parte del Requisito 3.4 de las PCI DSS e incluye asegurar los PAN
almacenados dentro de las soluciones de control de calidad / grabación y CRM se cifran utilizando
criptografía fuerte, o de lo contrario se hace ilegible.
y esto sobre CVV:
Es una violación del requisito 3.2 de PCI DSS almacenar cualquier información confidencial
datos de autenticación, incluidos los códigos y valores de validación de la tarjeta, después de
Autorización incluso si está encriptada.
Por lo tanto, está prohibido utilizar cualquier
Forma de grabación de audio digital (utilizando formatos como WAV, MP3, etc.)
para almacenar CAV2, CVC2, CVV2 o códigos CID después de la autorización, si eso
los datos pueden ser consultados; Reconociendo que existen múltiples herramientas que
potencialmente podría consultar una variedad de grabaciones digitales.
... y va en todas las otras formas en que los centros de llamadas y grabaciones se ven afectados (por ejemplo, encriptación de red, autenticación y autorización, etc., etc.)
