Las multas por infracción de PCI DSS son a menudo subestimadas hasta el momento en que se vuelven reales. El coste de una violación de PCI DSS no se limita a las sanciones contractuales del adquirente: incluye la investigación forense, las notificaciones obligatorias, el reembolso de los contracargos y, en muchos casos, la pérdida permanente de la habilitación para aceptar tarjetas. Para una pyme europea, un único incidente significativo puede generar costes en el orden de las seis cifras, a menudo sin cobertura aseguradora adecuada.
Las sanciones PCI DSS: quién las aplica y cuánto cuestan
Las sanciones PCI DSS no son aplicadas por una autoridad pública, sino por el adquirente, a través de la relación contractual con el comercio. Los circuitos de pago (Visa, Mastercard, Amex, Discover) tienen programas de gestión del riesgo que delegan el cumplimiento en los adquirentes, quienes a su vez lo trasladan contractualmente a los comercios. En caso de incumplimiento continuado, las sanciones mensuales oscilan entre 5.000 y 100.000 dólares al mes, según el circuito y la gravedad de la situación. En caso de infracción documentada, los circuitos aplican sanciones adicionales que pueden alcanzar 500 dólares por cada registro comprometido, con un límite variable por circuito.
Estas sanciones se cargan típicamente al adquirente, que las repercute al comercio a través del contrato de adquisición. El comercio también puede sufrir un aumento de las comisiones de intercambio o el paso a un régimen de monitorización reforzada con costes adicionales. En los casos más graves, el circuito puede revocar al adquirente la posibilidad de dar de alta a nuevos comercios en determinadas categorías de riesgo, empujando al adquirente a rescindir unilateralmente el contrato con el comercio responsable de la infracción.
Los costes ocultos de una brecha de datos: forense, notificaciones y contracargos
Las sanciones contractuales son solo una parte del coste total de una infracción. La investigación forense obligatoria, realizada por un QSA o por un proveedor de investigación forense aprobado por el circuito, tiene costes que oscilan entre 20.000 y más de 500.000 euros, según la complejidad del caso y el número de sistemas involucrados. Esta investigación corre a cargo del comercio, no del circuito ni del adquirente. El comercio debe además asumir los costes de la notificación a los afectados prevista por el GDPR, que incluyen la comunicación directa a cada cliente afectado y los costes legales asociados.
Los contracargos sobre las tarjetas comprometidas representan un coste a menudo subestimado. Cada transacción fraudulenta realizada con datos de tarjeta robados al comercio es reembolsada al banco emisor a cargo del comercio, a través de un mecanismo de cambio de responsabilidad. En una infracción que afecta a miles de tarjetas, los contracargos pueden ascender a cientos de miles de euros. Los emisores (bancos emisores) también pueden solicitar el reembolso de los costes de sustitución de las tarjetas comprometidas, a un tipo que varía entre 3 y 15 dólares por tarjeta según el circuito. Una infracción de 10.000 registros genera por tanto un coste de sustitución de tarjetas de 30.000-150.000 dólares solo por esta partida.
Cómo prevenir una infracción cuesta menos que gestionarla
El coste total de una infracción significativa para un comercio de tamaño mediano raramente baja de 100.000 euros si se consideran todas las partidas: sanciones, forense, notificaciones, contracargos, sustitución de tarjetas, costes legales y reputacionales. Para una pyme europea con márgenes reducidos, esta cantidad puede ser existencialmente crítica. El coste anual de una solución de tokenización certificada, que reduce drásticamente el perímetro de riesgo, es típicamente una fracción de esta cantidad.
La prevención actúa en dos niveles. El primero es técnico: eliminar los datos de tarjetas del entorno empresarial mediante la tokenización significa que, incluso en caso de compromiso de los sistemas del comercio, la infracción no expone datos sensibles de tarjetas. No hay PAN que robar si no hay PAN en el entorno. El segundo nivel es contractual: un comercio certificado como conforme a PCI DSS puede acceder a programas de cambio de responsabilidad de los circuitos que reducen su exposición financiera en caso de infracción, transfiriendo parte del riesgo al proveedor de servicios de pago. Ambas herramientas requieren inversión preventiva, pero la relación coste-beneficio es clara.
Preguntas frecuentes
¿Quién aplica las sanciones PCI DSS?
Las sanciones PCI DSS no son aplicadas por un organismo gubernamental, sino por los circuitos de pago (Visa, Mastercard, Amex) a través del sistema de adquisición. El circuito sanciona al adquirente, que repercute la sanción al comercio a través del contrato de servicio. El comercio no recibe una multa formal, sino un cargo contractual que solo puede impugnar en las formas previstas en el contrato con el adquirente.
¿Debo notificar a los clientes en caso de brecha sobre datos de tarjetas?
Depende de la evaluación del riesgo prevista por el GDPR. Si la brecha presenta un riesgo elevado para los derechos y libertades de los afectados (algo probable cuando se ven implicados datos de tarjetas), el GDPR exige la notificación directa a los afectados. Esta notificación debe realizarse sin demora injustificada después de haber notificado a la autoridad de control. El contenido, las modalidades y los plazos de la notificación a los afectados deben definirse con el apoyo del equipo jurídico y del DPO, si existe.
¿El seguro cibernético cubre las sanciones PCI DSS?
Depende de la póliza. Muchas pólizas cibernéticas cubren los costes de investigación forense, los gastos jurídicos y la notificación a los afectados, pero excluyen expresamente las sanciones contractuales PCI DSS. Algunas pólizas más completas incluyen también la cobertura de las sanciones de los circuitos de pago y los costes de sustitución de tarjetas. Antes de suscribir una póliza cibernética, verifique expresamente la cobertura para infracciones PCI DSS y su límite máximo, porque los costes reales a menudo superan los límites estándar de las pólizas de entrada.
Prevenir una infracción cuesta menos que gestionar sus consecuencias: la tokenización certificada es la inversión preventiva con la mejor relación coste-riesgo. Descubra PCI Proxy EU.