Call Center e MOTO

Pagamentos MOTO e conformidade PCI: o que os call centers precisam de saber

20 de janeiro de 2025 11 min de leitura

Mail Order / Telephone Order, comummente abreviado como MOTO, continua a ser um dos canais de pagamento mais significativos para as empresas europeias. Companhias de seguros, agências de viagens, serviços governamentais, fornecedores de materiais, retalhistas por catálogo e fornecedores B2B dependem em grande medida dos pagamentos telefónicos. Apesar do crescimento do comércio eletrónico, as transações MOTO representaram um volume estimado de 180 mil milhões de euros em pagamentos europeus em 2024, e o canal continua a crescer nos setores onde a atenção personalizada, as encomendas complexas ou os requisitos normativos tornam a interação telefónica essencial.

No entanto, os ambientes MOTO apresentam alguns dos desafios de conformidade PCI DSS mais difíceis. Os dados de cartão são pronunciados em voz alta pelos clientes, introduzidos nos sistemas pelos agentes, potencialmente visualizados em ecrãs visíveis para o pessoal próximo e capturados em gravações de chamadas que podem conservar-se durante anos. Cada um destes pontos de contacto representa um ponto de exposição que deve ser protegido segundo o PCI DSS. Para os operadores de call centers, isto cria um programa de conformidade fundamentalmente diferente, e muitas vezes mais dispendioso, do que o necessário para proteger uma página de checkout online.

Pontos-chave
  • Os pagamentos MOTO criam um âmbito PCI único: os dados de cartão podem ser expostos através de áudio vocal, ecrãs dos agentes, entrada por teclado e gravações de chamadas em simultâneo.
  • O mascaramento DTMF e o IVR seguro permitem aos clientes introduzir os dígitos do cartão pelo teclado de modo que o agente nunca ouça nem veja o número completo do cartão.
  • Os call centers que utilizam um PCI Proxy com mascaramento DTMF podem tipicamente qualificar-se para SAQ A-EP em vez do muito mais exigente SAQ D.

O que são os pagamentos MOTO e como funcionam

Os pagamentos MOTO são transações card-not-present (CNP) em que o titular do cartão fornece os seus dados de cartão por correio ou telefone em vez de apresentar um cartão físico ou interagir com um formulário online. Na prática, a grande maioria do volume MOTO atual é por telefone. O fluxo típico é simples: um cliente telefona a uma empresa, um agente assiste com a encomenda e, quando chega o momento de pagar, o cliente lê o seu número de cartão, a data de validade e o CVV. O agente introduz estes dados num terminal de pagamento, no sistema CRM ou num formulário de pagamento web, e a transação é processada.

A simplicidade deste fluxo é precisamente o que o torna problemático do ponto de vista PCI. Em múltiplos pontos durante a interação, os dados sensíveis do cartão existem de forma acessível ao ser humano: o cliente pronuncia-os, o agente ouve-os, o ecrã do agente exibe-os, o teclado do agente captura-os e, de forma crítica, o sistema de gravação de chamadas pode armazená-los. Cada um destes pontos de exposição cria âmbito PCI DSS e exige controlos de segurança específicos.

As transações MOTO classificam-se como transações card-not-present pelas redes de cartões, o que significa que estão sujeitas a taxas de fraude mais elevadas e comissões de intercâmbio mais altas do que as transações autenticadas com chip-e-PIN ou 3D Secure. Isto significa também que a responsabilidade pelas transações fraudulentas recai tipicamente sobre o comerciante.

Requisitos PCI DSS específicos para ambientes MOTO

O PCI DSS não tem uma norma separada para os pagamentos MOTO, mas vários requisitos têm implicações específicas para os ambientes de pagamento telefónico. A norma aplica-se a qualquer sistema, processo ou pessoa que armazene, processe ou transmita dados de titulares de cartão, e num call center isto inclui os agentes, os seus postos de trabalho, a infraestrutura telefónica, a aplicação CRM ou de pagamento e o sistema de gravação de chamadas.

Requisitos PCI DSS fundamentais para os call centers

  • Requisito 3: Proteger os dados armazenados dos titulares de cartão. Se os números de cartão aparecerem em gravações, registos CRM ou notas dos agentes, devem estar cifrados, mascarados ou, idealmente, não ser armazenados de todo.
  • Requisito 4: Cifrar a transmissão de dados de titulares de cartão. A ligação telefónica entre o cliente e o sistema de pagamento deve ser protegida: aplica-se a trunks SIP, ligações IVR e comunicações do posto de trabalho do agente.
  • Requisito 7: Limitar o acesso aos dados dos titulares. Os agentes devem ver apenas os dados de cartão mínimos necessários, e o acesso deve ser baseado em funções e registado.
  • Requisito 8: Identificar e autenticar o acesso. Cada agente deve ter um ID único, com autenticação multifator para os sistemas que gerem dados de cartão ao abrigo do PCI DSS v4.0.
  • Requisito 9: Segurança física. Os postos dos agentes nas áreas de gestão de cartões devem estar em ambientes controlados com câmaras, cartões de acesso e restrições a dispositivos pessoais.

Para um call center sem qualquer tecnologia de redução de âmbito, estes requisitos traduzem-se no SAQ D, o questionário de autoavaliação PCI mais completo, com mais de 300 controlos individuais. O custo de manter a conformidade SAQ D para um call center com 200 postos oscila tipicamente entre 120.000 e 250.000 € anuais, considerando segmentação de rede, zonas seguras dedicadas, auditorias QSA, testes de penetração, ferramentas de segurança e formação do pessoal.

O dilema da gravação de chamadas

A gravação de chamadas é obrigatória em muitos setores europeus. As empresas de serviços financeiros devem gravar chamadas ao abrigo da MiFID II. As seguradoras gravam para resolução de litígios e conformidade normativa. Os serviços de atendimento ao cliente gravam para controlo de qualidade e formação. O problema é que se os dados de cartão forem pronunciados durante uma chamada e esta for gravada, a gravação torna-se um local de armazenamento de dados de titulares, colocando toda a infraestrutura de gravação no âmbito do PCI DSS.

O Requisito PCI DSS 3.2 estabelece explicitamente que os dados de autenticação sensíveis (incluindo os códigos CVV/CVC) não devem ser armazenados após a autorização, mesmo que estejam cifrados. Isto significa que se um cliente pronunciar o seu CVV durante uma chamada gravada e a gravação capturar esse áudio, está em infração ao PCI DSS, independentemente de a gravação estar cifrada. O CVV não pode ser armazenado após a autorização, ponto final.

A solução tradicional era o pause-and-resume: o agente pausa manualmente a gravação quando o cliente começa a comunicar os dados do cartão e retoma-a depois de o cartão ter sido processado. Isto funciona em teoria, mas introduz risco operacional. Os agentes podem esquecer-se de fazer a pausa, fazê-la demasiado tarde ou não retomar a gravação. Em call centers de alto volume, taxas de conformidade do pause-and-resume de 95% ou superiores são consideradas excelentes, mas isso significa que 5% das chamadas poderiam conter dados de cartão na gravação, o que constitui uma infração PCI.

Mais criticamente, o pause-and-resume deixa o agente completamente exposto aos dados de cartão. Ouve o número completo do cartão, vê-o no ecrã e escreve-o no sistema de pagamento. O agente e o seu posto permanecem completamente no âmbito PCI.

Protocolos de segurança para os agentes

Nos ambientes MOTO tradicionais, sem redução tecnológica do âmbito, os agentes que gerem dados de cartão devem operar sob controlos físicos e procedimentais rigorosos, exigidos pelos Requisitos PCI DSS 7, 8 e 9.

Ambientes clean room: Os agentes que gerem dados de cartão devem trabalhar em áreas fisicamente protegidas. Estas "salas limpas" ou "zonas seguras" exigem acesso controlado (leitores de cartão, portas com mantrap), videovigilância CCTV, restrições a telemóveis pessoais, câmaras e dispositivos de armazenamento USB, e proibição de papel, canetas e qualquer material utilizável para copiar números de cartão. Equipar e manter uma sala limpa para uma equipa de 50 postos custa entre 30.000 e 60.000 € de investimento inicial mais 10.000-20.000 € anuais.

Mascaramento de ecrã e controlos de sessão: As aplicações de ambiente de trabalho dos agentes devem ser configuradas para mascarar os dados de cartão no ecrã, mostrando tipicamente apenas os últimos quatro dígitos após a introdução do cartão. O software de captura de ecrã deve estar bloqueado e o acesso à área de transferência deve ser restringido.

Verificação de antecedentes e formação: Os agentes com acesso a dados de titulares devem submeter-se a verificações de antecedentes e receber formação anual de sensibilização sobre PCI. Devem assinar declarações de conhecimento das políticas de segurança.

Controlos de auriculares e áudio: Em alguns ambientes de alta segurança, os agentes utilizam auriculares especializados que impedem que o áudio seja ouvido pelo pessoal adjacente. Barreiras acústicas, geradores de ruído branco e requisitos de distância entre postos de trabalho também podem ser impostos.

Soluções tecnológicas para a conformidade MOTO

A boa notícia é que as soluções tecnológicas modernas podem eliminar a maioria dos controlos de segurança humanos e físicos descritos anteriormente, garantindo que os agentes nunca tenham acesso aos dados de cartão. Três tecnologias principais abordam este desafio.

Mascaramento DTMF

O mascaramento DTMF (Dual-Tone Multi-Frequency) é a tecnologia mais amplamente adotada para os pagamentos MOTO seguros. Quando o agente chega à fase de pagamento, clica num botão para iniciar a captura do cartão. É pedido ao cliente que introduza o número de cartão, a data de validade e o CVV usando o teclado do telefone em vez de pronunciar os dígitos em voz alta.

Um PCI Proxy posiciona-se entre o telefone do cliente e o fluxo de áudio do agente. Interceta os tons DTMF genuínos (que codificam os dígitos reais), captura-os e substitui o áudio enviado ao agente por tons planos e uniformes. O agente ouve "bip, bip, bip" mas não consegue determinar que dígitos foram premidos. Até a gravação da chamada captura apenas os tons planos. Entretanto, o PCI Proxy tokeniza o número de cartão e devolve um token no ecrã do agente.

O resultado: o agente nunca vê, ouve nem tem acesso ao número completo do cartão. A gravação da chamada não contém dados de titulares. O posto do agente fica fora do âmbito PCI. E o cliente vive uma interação de pagamento fluida e natural sem ser transferido para um sistema automatizado.

IVR Seguro

O IVR (Interactive Voice Response) seguro é uma abordagem alternativa em que o cliente é brevemente transferido para um sistema de voz automatizado que recolhe os dados do cartão. O agente fica em espera durante o processo de captura e não tem acesso aos dados de cartão. Uma vez tokenizado o cartão, a chamada regressa ao agente com o token apresentado no ecrã.

O IVR seguro é especialmente útil em ambientes onde a fiabilidade do DTMF é um problema ou onde a base de clientes está menos confortável com a introdução por teclado. O IVR pode orientar em múltiplos idiomas e fornecer instruções claras. O sistema de gravação exclui completamente o segmento IVR ou captura apenas as instruções automatizadas sem dados de titulares.

Tokenização PCI Proxy

Tanto o mascaramento DTMF como o IVR seguro alimentam o motor de tokenização do PCI Proxy. O proxy captura os dados de cartão num ambiente certificado PCI DSS Nível 1, valida o cartão, tokeniza o PAN e devolve um token no ecrã do agente. O token pode ser utilizado para o processamento do pagamento, armazenado no CRM e referenciado para transações futuras, tudo sem que qualquer sistema do call center tenha acesso ao número real do cartão.

Esta abordagem desloca o call center do SAQ D (mais de 300 requisitos) para o SAQ A-EP (aproximadamente 140 requisitos) ou mesmo o SAQ A (aproximadamente 22 requisitos), dependendo da arquitetura de integração. As poupanças em custos são dramáticas: entre 80.000 e 150.000 € anuais para uma operação típica de 200 postos.

Comparação de custos das abordagens de conformidade

O argumento financeiro para a conformidade MOTO baseada em tecnologia é convincente. Esta é uma comparação realista das três abordagens principais para um call center europeu com 200 postos que processa 500.000 transações MOTO por ano.

Categoria de custo Tradicional (SAQ D) Pause & Resume PCI Proxy + DTMF
Segmentação de rede €25K–€40K €20K–€35K €0
Sala limpa / segurança física €30K–€60K €30K–€60K €0
Honorários auditoria QSA €20K–€50K €20K–€50K €5K–€15K
Pentests e análises €15K–€30K €15K–€30K €5K–€10K
Ferramentas de segurança e monitorização €15K–€30K €15K–€30K €3K–€8K
Formação e verificação de pessoal €10K–€20K €10K–€20K €2K–€5K
Subscrição PCI Proxy - - €18K–€36K
Total Anual €115K–€230K €110K–€225K €33K–€74K

Os números contam uma história clara. O pause-and-resume oferece poupanças insignificantes face à abordagem tradicional porque o agente continua a gerir os dados de cartão e todos os controlos físicos, procedimentais e de monitorização continuam a ser necessários. O PCI Proxy com mascaramento DTMF, pelo contrário, elimina completamente o agente do fluxo de dados de cartão, suprimindo a necessidade de salas limpas, segmentação de rede extensa e grande parte do âmbito de auditoria QSA. A redução total de custos é tipicamente de 60-75%.

Conclusão

Os pagamentos MOTO não vão desaparecer. Para muitas empresas europeias, os pagamentos telefónicos continuam a ser um canal essencial, impulsionado pela preferência dos clientes, pelos requisitos normativos, pela complexidade do produto ou pela necessidade de atenção personalizada. Mas o encargo da conformidade PCI DSS para os ambientes MOTO tradicionais é desproporcionalmente elevado em relação ao risco, e os custos acumulam-se ano após ano com cada ciclo de auditoria, vaga de rotação de pessoal e atualização de infraestrutura.

As soluções baseadas em tecnologia — mascaramento DTMF, IVR seguro e tokenização PCI Proxy — alteram fundamentalmente a equação. Ao eliminar os dados de cartão do agente e da infraestrutura do call center, estas soluções eliminam a causa raiz da complexidade PCI MOTO. Os agentes concentram-se no serviço ao cliente em vez dos procedimentos de segurança. As gravações de chamadas mantêm-se contínuas e completas, satisfazendo tanto os requisitos PCI como os normativos. E os custos de conformidade reduzem-se entre 60-75%, libertando orçamento para as prioridades do negócio.

Se o seu call center ainda utiliza pause-and-resume ou captura de cartão tradicional, a questão não é se deve adotar um PCI Proxy, mas sim com que rapidez o pode implementar. A tecnologia está madura, a integração é simples e o ROI mede-se em semanas, não em anos.


Precisa de apoio na conformidade PCI?

A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.

Contacte-nos

Simplifique a conformidade PCI DSS hoje

Reduza o seu CDE, simplifique o SAQ e proteja os dados de cartão dos clientes com a PCI Proxy EU.