Sipay, empresa española con más de 25 años de experiencia en el mercado de las pasarelas de pago y con clientes de la talla de Meliá Hotels International, Iberostar, Barceló, Mango, Direct, Axa, Epark, Acnur, Retabet, Cristian Lay, etc), vio la necesidad de optimizar y securizar al máximo el cobro vía telefónico, para lo cual recurrió a Irontec.
En los pagos vía telefónica existen intrínsecamente tres retos importantes que hay que trabajar minuciosamente:
El reto por el cual Sipay contactó con Irontec iba más allá de la construcción de un sistema de recogida de datos seguro vía telefónica. En este caso se quería cumplir con la última versión del estándar de seguridad para tarjetas de crédito, PCI DSS en su versión 3.2. nivel 1. Ello implicaba que aunque la llamada fuera atendida por una persona, los datos de la tarjeta del cliente no pudieran ser conocidos/interceptados por el operador.
Para aportar la mejor solución desde Irontec recurrimos a Kamailio, el proxy SIP Open Source por excelencia en la comunidad, y Asterisk como framework para construir una aplicación propia. Combinando la potencia de ambas soluciones pudimos construir una plataforma robusta y segura, cumpliendo con las exigencias de PCI DSS 3.2, que el sistema usaría para la recolección de datos de forma segura.
El proceso para el operador y para el cliente es muy sencillo: durante la llamada, una vez las consultas o gestiones previas se han hecho y es el momento de proceder al pago, la llamada se transfiere a ivoz Secure Payment Gateway (ivoz SPG), mediante una transferencia telefónica estándar, a la que se añade información relevante del id de transacción tokenizado mediante una cabecera SIP. Es este nuevo módulo de nuestro sistema ivoz quién actúa como pasarela de pago integrado entre el usuario final y la plataforma de pagos.
Ivoz SPG cuenta con un sistema de interacciones automáticas por voz o pulsación de teclas para la recogida de los datos de la tarjeta bancaria, que es enviada de forma segura a la pasarela bancaria; el sistema recibe como respuesta si el pago ha podido ser completado, comunicándolo a su vez al cliente, mediante un sintetizador de voz, junto con el número de transacción en caso de necesitarlo posteriormente.
Finalmente la llamada es devuelta al operador mediante el envío de una cabecera SIP, conociendo este si la transacción se ha efectuado con éxito, desconociendo por completo los datos bancarios del cliente, como exige la normativa PCI DSS.
Esta solución puede desplegarse en diversos escenarios de integración; si el cliente ya cuenta con una solución de telefonía de call center se puede llevar a cabo una integración con sistemas de telefonía de terceros, pero también es posible desplegar la solución contra ivoz Business Call Center, creando soluciones de pago completamente llave en mano: desde la gestión técnica de la telefonía al sistema de pago pasando por la completa gestión de colas, agentes, CTI e IVR.
Gracias al trabajo del equipo de Irontec, que ha apostado de nuevo por el open source en un proyecto con una exigencia de seguridad especialmente alta, Sipay puede ofrecer a su cartera de clientes Sipay IVR, una nueva pasarela de pago telefónico, fácil, sencillo y seguro para el usuario, que puede ser adaptada a las necesidades específicas de todos sus clientes.
Sipay IVR demuestra de nuevo la versatilidad de Irontec, capaz de ofrecer soluciones de voz ip a medida completamente adaptadas a las necesidades del cliente. Soluciones que pueden ser adaptadas posteriormente por sus clientes, como en este caso, a empresas de distintos sectores: desde el industrial, a instituciones médicas, organizadores de eventos, o el sector turismo, sin olvidarnos tampoco de entidades públicas.
El reto por el cual Sipay contactó con Irontec iba más allá de la construcción de un sistema de recogida de datos seguro vía telefónica. En este caso se quería cumplir con la última versión del estándar de seguridad para tarjetas de crédito, PCI DSS en su versión 3.2. nivel 1. Ello implicaba que aunque la llamada fuera atendida por una persona, los datos de la tarjeta del cliente no pudieran ser conocidos/interceptados por el operador.