En el mundo de los pagos telefónicos seguros, uno de los debates más habituales gira en torno a una pregunta muy concreta: ¿es imprescindible incorporar un SBC para construir una arquitectura PCI-DSS segura en el canal de voz?
La respuesta corta es no.
Y precisamente por eso conviene explicar bien el matiz.
El Payment Card Industry Security Standards Council establece que PCI DSS aplica a todos los canales de aceptación de pago, incluido el canal mail order / telephone order, es decir, MOTO. Su guía específica para pagos telefónicos deja claro además que se trata de una guía complementaria: ayuda a interpretar escenarios y riesgos, pero no añade ni sustituye requisitos del estándar.
Eso significa que el debate no debería centrarse en si “hay o no hay SBC”, sino en si la arquitectura realmente aísla el dato sensible, reduce superficie de exposición y protege correctamente el punto en el que la organización almacena, procesa o transmite información de pago.
El error habitual: confundir una buena arquitectura con una arquitectura sobredimensionada
Durante años, parte del mercado ha asociado seguridad adicional con más piezas técnicas. Y en algunos casos eso tiene sentido. Pero en otros, simplemente añade complejidad, coste y puntos de integración sin que el resultado final mejore de forma proporcional.
En pagos telefónicos, la pregunta correcta no es “¿lleva SBC?”, sino “¿dónde viaja el dato de tarjeta y quién puede tocarlo?”.
Ese es el verdadero punto crítico.
Si el dato de tarjeta queda expuesto al agente, a las grabaciones o a los sistemas internos del contact center, el problema de seguridad y de cumplimiento es evidente. Si, en cambio, el dato se captura en un entorno IVR seguro, aislado del operador y del puesto de trabajo, el modelo cambia radicalmente.
Por eso las arquitecturas modernas de pagos por voz persiguen tres objetivos muy claros: minimizar exposición, reducir alcance PCI y mantener trazabilidad sin comprometer la seguridad.
Qué dice realmente PCI SSC sobre telefonía, VoIP y alcance PCI DSS
Aquí es donde conviene ir a la fuente oficial.
La guía “Protecting Telephone-Based Payment Card Data” del PCI Security Standards Council explica que PCI DSS protege los datos de tarjeta durante todo el ciclo de vida de la transacción y que sus requisitos aplican a los pagos por teléfono. También señala expresamente que la guía no sustituye los requisitos del estándar ni determina por sí sola si una implementación concreta es conforme; esa validación depende del marco de cumplimiento correspondiente y de la evaluación aplicable.
El mismo material aclara un punto especialmente importante para arquitecturas de voz: cuando los datos de tarjeta son transmitidos por dispositivos o redes bajo control de la entidad, esos elementos pueden entrar en alcance PCI DSS. En los escenarios donde existe redirección del dato de pago desde la infraestructura de la organización, el dispositivo que realiza esa redirección puede formar parte del entorno de datos de tarjeta. Además, si esos datos se envían a través de red pública, deben protegerse mediante cifrado fuerte o conexiones seguras, por ejemplo VPN o protocolos seguros como SRTP.
Traducido a lenguaje de negocio: PCI SSC no impone un SBC como requisito universal, pero sí exige que la organización proteja correctamente el tramo y los componentes en los que realmente circula el dato sensible dentro de su responsabilidad.
Entonces, ¿cuándo no hace falta un SBC?
En la mayoría de proyectos bien diseñados, no hace falta convertir el SBC en una condición obligatoria.
Si la arquitectura de pagos telefónicos consigue que:
el cliente introduzca sus datos directamente en una plataforma segura,
el agente no vea ni escuche el PAN o el CVV,
la grabación no recoja información sensible,
y el procesamiento ocurra dentro de un entorno controlado y certificado,
entonces la solución ya puede ofrecer un nivel muy alto de protección sin necesidad de añadir un SBC como requisito general.
Ese es precisamente el principio de las plataformas IVR seguras modernas: no intentar proteger el dato después de exponerlo, sino evitar que quede expuesto desde el principio.
Cuándo sí puede tener sentido un SBC
Ahora bien, que no sea obligatorio no significa que no tenga valor.
Lo tiene. Y mucho, en determinados perfiles de cliente.
Un SBC puede ser una decisión estratégica cuando la organización quiere reforzar todavía más el canal de voz mediante una capa adicional de control perimetral, segmentación, supervisión y gobierno técnico de la llamada.
Esto suele encajar especialmente bien en compañías con una cultura de seguridad muy madura, en entornos muy regulados o en organizaciones que han decidido adoptar una lógica de defensa en profundidad.
En ese contexto, el SBC deja de verse como un mero componente de voz y pasa a ser una decisión de arquitectura: más control del perímetro, más trazabilidad técnica y más visibilidad sobre el canal.
La clave es entender que hablamos de un refuerzo opcional y estratégico, no de una obligación universal para que un pago telefónico sea seguro.
El enfoque de Pay by Call: aislamiento del dato primero, refuerzo arquitectónico cuando el cliente lo necesita
La propuesta de Pay by Call parte de una premisa clara: convertir la llamada en un canal de pago seguro sin exponer datos sensibles al agente ni al entorno operativo del contact center.
La propia web de Pay by Call lo resume así: la plataforma actúa como una capa IVR segura, el cliente introduce los datos directamente, no hay exposición a agentes o grabaciones, y el dato de tarjeta permanece dentro de la plataforma, permitiendo sacar al contact center del alcance PCI DSS en ese punto del flujo. También presenta como elementos diferenciales la certificación PCI DSS Level 1, ENS High Category, la condición de telecom operator y una arquitectura en Google Cloud.
Eso permite resolver la mayoría de los proyectos con una arquitectura limpia, eficiente y orientada a reducir riesgo real, no solo a acumular componentes.
Pero hay clientes para los que ese nivel no es el punto final. Es el punto de partida.
Para esas organizaciones, Pay by Call también puede acompañar una arquitectura reforzada con SBC, añadiendo una capa adicional de control dentro del canal de voz cuando la seguridad forma parte de la estrategia corporativa.
Más allá de PCI DSS: ENS Alta, cloud resiliente y capacidad telco
Aquí está una de las claves más potentes del posicionamiento de Pay by Call.
No se trata solo de hablar de PCI DSS. Se trata de construir una narrativa de seguridad enterprise.
El Esquema Nacional de Seguridad define un marco común de principios, requisitos y medidas para asegurar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de la información y de los servicios electrónicos. Esa lógica encaja especialmente bien con organizaciones que no quieren limitar la conversación a “cumplimiento de pago”, sino ampliarla a resiliencia operativa y seguridad institucional.
A esto se suma el hecho de que Google Cloud documenta su enfoque de reliability sobre pilares como redundancia, diseño tolerante a fallos, monitorización y procesos automatizados de recuperación, además de recursos como despliegues multirregión, copias de seguridad automatizadas y soluciones de disaster recovery para mejorar resiliencia.
Y, además, la CNMC establece en España el Registro de Operadores de redes y servicios de comunicaciones electrónicas para quienes explotan redes públicas o prestan servicios de comunicaciones electrónicas al público. Esa condición aporta un ángulo diferencial cuando se plantea una arquitectura reforzada en el propio canal de voz.
Visto en conjunto, el mensaje es muy potente: pagos telefónicos seguros PCI-DSS con aislamiento completo del dato como base; y, para quienes lo necesiten, una arquitectura ampliada con lógica telco, resiliencia cloud y un marco adicional de seguridad y continuidad.
La conclusión correcta sobre un SBC en pagos por voz
El SBC no debe presentarse como una obligación universal.
Debe presentarse como lo que realmente es en este contexto: una opción de refuerzo arquitectónico para organizaciones que quieren más control, más segmentación y más gobierno técnico del canal de voz.
La mayoría de los proyectos pueden resolverse de forma segura sin imponer un SBC como requisito imprescindible, siempre que la arquitectura aísle correctamente el dato y proteja el flujo de pago donde realmente entra en alcance PCI DSS.
Pero para aquellas empresas que entienden la seguridad no solo como cumplimiento, sino como una decisión estratégica corporativa, incorporar un SBC puede ser una evolución natural.
Y ahí es donde Pay by Call puede marcar una diferencia clara: no solo por el cumplimiento PCI DSS, sino por la combinación de aislamiento del dato, enfoque de arquitectura segura, ENS Alta, plataforma sobre Google Cloud y capacidad para acompañar diseños reforzados dentro del canal de voz.
En seguridad, no todas las organizaciones necesitan el mismo nivel de arquitectura.
Pero todas necesitan una respuesta seria, coherente y técnicamente bien planteada.
Si su organización quiere evaluar cuándo basta una arquitectura IVR PCI-DSS limpia y cuándo tiene sentido incorporar un SBC como capa adicional, Pay by Call puede ayudarle a diseñar el modelo adecuado para su canal de voz. Contáctenos para más información.
Pay by Call ofrece pagos telefónicos seguros PCI-DSS con aislamiento completo del dato sensible y, para organizaciones que entienden la seguridad como una decisión estratégica, también puede desplegar arquitecturas reforzadas con SBC dentro del canal de voz.