Questa è una grande domanda.
Il TLDR è; Sì , I call center sono generalmente meno sicuri dei pagamenti online . La ragione di ciò è dovuta al fattore umano intrinseco in un call center - ad es. salvare i dettagli della carta di pagamento nel blocco note per l'elaborazione in seguito perché il servizio di pagamento è inattivo (sul serio !!!).
Ma ci sono un paio di cose da affrontare qui, 1. Sicurezza dei pagamenti e 2. Sicurezza delle chiamate.
Per iniziare con 2. Le chiamate sono crittografate sia sulla loro strada verso la banca dal PBX di Telco, sia quando colpiscono le banche DMZ, con una cosa chiamata SBC (Session Border Controller) . Questo è stato uno standard dalla proliferazione della tecnologia VoIP nell'ambiente aziendale. Detto questo, la qualità di detta crittografia non è eccezionale (Base64 ??) e si basa sul presupposto che sia il team di telco che quello telefonico della banca stiano applicando le patch al loro kit e aggiornandolo quando necessario.
All'indirizzo 1, il settore bancario / dei pagamenti è stato in prima linea nel comprendere l'importanza di ottenere questo diritto a lungo termine perché è un rischio enorme per loro.
Lo standard per i processi di pagamento / infrastruttura / architettura sicuri si chiama PCI DSS . PCI DSS è stato sviluppato appositamente per fornire ai consumatori come noi una maggiore sicurezza durante i pagamenti. Tutti i call center, comprese le banche, devono rispettare i propri standard. Questo vale anche per qualsiasi altro "endpoint" di pagamento, come i pagamenti in negozio o online.
Esistono diversi livelli di conformità PCI in base al numero di pagamenti che vengono elaborati ogni anno. Anche il minimo richiede 4 controlli casuali da eseguire ogni anno affinché un'organizzazione mantenga il proprio certificato di conformità.
In effetti PCI DSS è quasi un settore in questi giorni, con le aziende che sviluppano infrastrutture e servizi di pagamento per portare i servizi di pagamento delle organizzazioni "fuori dagli obiettivi" di PCI DSS possedendo tutti i rischi.
Per rispondere in modo specifico alla tua domanda, alcune delle cose principali delineate da PCI DSS sono:
- Mai memorizzare i dati delle carte in testo normale a riposo - La tokenizzazione viene utilizzata per superare questo problema.
- Non memorizzi mai ID di verifica della carta come CVV o Pin - Mai e poi mai
- Utilizzare il principio del privilegio minimo
- Per l'accesso ai servizi di rete
- Per accedere alle GUI di pagamento (agenti del call center)
- Per accedere alle registrazioni delle chiamate a fini di controllo qualità
- Garantire la trasmissione dei dati dei titolari di carta sulle reti pubbliche è crittografato - Con standard come SSL / TLS
- Mascheratura DTMF - in modo che se si esegue il punch sul numero della carta dalla tastiera, tutti i segnali acustici sono monotoni
Non ho abbastanza rep per pubblicare più di 2 link, ma per una migliore visione di ciò che è necessario per i pagamenti basati su telefono, controlla questo post di blog .
Quindi, le banche e i call center possono archiviare alcune delle informazioni della carta di pagamento a riposo, a condizione che siano tokenizzate e archiviate in una rete conforme agli standard PCI. Inoltre, si avrà la crittografia di base fornita durante la chiamata e di nuovo all'interno della rete telefonica della banca, oltre al mascheramento DTMF durante i pagamenti della tastiera.
In sintesi, con questi standard e pratiche, sei più sicuro dal punto di vista della tecnologia quando paghi con un servizio automatizzato rispetto a quando parli con un essere umano!
Ci scusiamo per il post lungo! :)