Una brecha de datos sobre datos de tarjeta no es solo un incidente técnico: activa obligaciones de notificación bajo el GDPR, procedimientos de investigación forense bajo el PCI DSS y procesos de gestión de contracargos con el adquirente. La gdpr data breach notification debe realizarse en 72 horas, mientras que los pci dss data breach fines pueden alcanzar cifras significativas antes incluso de que concluya la investigación. Este artículo describe la secuencia concreta de eventos tras una violación.
Qué ocurre en las primeras 72 horas tras una brecha en pagos
Las primeras 72 horas tras el descubrimiento de una brecha son las más críticas. Bajo el GDPR, el responsable del tratamiento debe notificar a la autoridad de control (en España, la AEPD; en otros países, la autoridad nacional correspondiente) dentro de este plazo, salvo que la brecha sea improbable que conlleve un riesgo para los derechos y libertades de las personas físicas. Para los datos de tarjeta, esta condición raramente se cumple: el riesgo de fraude es concreto e inmediato.
En paralelo, el adquirente debe ser notificado siguiendo los procedimientos PCI DSS. El Requisito 12.10.1 del estándar exige que cada organización disponga de un plan de respuesta a incidentes documentado y probado. Si el plan no existe o no se ha probado, la gestión de la brecha se vuelve caótica, los plazos de notificación se alargan y el riesgo de sanciones adicionales aumenta. En esta fase, muchas organizaciones también involucran a las marcas de redes (Visa, Mastercard) que tienen sus propias obligaciones de notificación contractuales.
Las notificaciones obligatorias: GDPR, PCI DSS y adquirente
El sistema de notificaciones post-brecha está estructurado en varios niveles. El GDPR exige la notificación a la autoridad en 72 horas y, si el riesgo para los afectados es elevado, también la comunicación directa a las personas involucradas. El PCI DSS exige la notificación al adquirente y a las marcas de redes, que inician sus propias investigaciones forenses. El adquirente, a su vez, puede bloquear temporalmente los pagos del comercio hasta la conclusión de la investigación.
Las redes como Visa y Mastercard tienen programas específicos de gestión de brechas (VISA Account Information Security, MC Site Data Protection) que prevén sanciones autónomas respecto a las PCI. Las sanciones de las redes suelen ser las más inmediatas: pueden comenzar en 5.000 euros al mes hasta cientos de miles, y se suman a las posibles sanciones de la autoridad de protección de datos (hasta el 4% del volumen de negocio global anual para las infracciones más graves bajo el GDPR).
Los costes reales de una brecha: forenses, contracargos y sanciones
El cost of pci data breach va mucho más allá de las sanciones formales. La investigación forense obligatoria, realizada por un QSA o un PFI (PCI Forensic Investigator) certificado, cuesta típicamente entre 30.000 y 100.000 euros para un comercio de tamaño medio, y el comercio debe pagarla aunque la investigación demuestre que la brecha fue limitada. A esto se añaden los costes de sustitución de las tarjetas comprometidas (a cargo del comercio en los casos más graves), los contracargos sobre las transacciones fraudulentas y los costes legales.
En el frente operativo, el adquirente puede imponer un aumento de la tasa de reserva (un porcentaje de las transacciones retenido como garantía) o, en los casos más graves, la revocación de la posibilidad de aceptar tarjetas. El daño reputacional es difícil de cuantificar pero puede ser el coste más elevado para las empresas B2C. Según las estimaciones del Ponemon Institute, el coste medio de una brecha que involucra datos de pago supera los 150 euros por registro comprometido, incluyendo los costes de respuesta, notificación y pérdida de clientes.
Preguntas frecuentes
¿En qué plazo debo notificar a la autoridad en caso de brecha?
El GDPR impone la notificación en 72 horas desde el descubrimiento de la brecha, no desde el momento en que ocurrió. Si el descubrimiento se produce un viernes por la tarde, el plazo vence el lunes por la mañana. La notificación debe incluir la naturaleza de la brecha, las categorías de datos involucrados, el número aproximado de afectados, las medidas adoptadas y las previstas para mitigar los daños.
¿Quién paga los costes forenses tras una brecha PCI?
Los costes de la investigación forense PCI son a cargo del comercio en el contrato estándar con el adquirente. Aunque la brecha fuera causada por una vulnerabilidad de un proveedor tercero, el comercio sigue siendo el responsable primario frente al adquirente. Existen pólizas de seguros cibernéticos que cubren estos costes, pero requieren que el comercio pueda demostrar un nivel mínimo de cumplimiento PCI en el momento de la brecha.
¿La tokenización reduce el impacto de una brecha?
De forma significativa. Si los sistemas del comercio no conservan PAN sino solo tokens, una brecha no expone datos de tarjeta utilizables para fraudes. El token no tiene valor comercial fuera del sistema que lo emitió. En estos casos, la investigación forense puede concluir que no hubo compromisos de datos de tarjeta, con un impacto drásticamente reducido en sanciones, contracargos y obligaciones de sustitución de tarjetas.
Con cero PAN en tu sistema, una brecha no se convierte en una brecha PCI. Descubre cómo la tokenización reduce el impacto a cero. Descubre PCI Proxy EU.