Fizetési adatvédelmi incidens esetén – kártyaadatok jogosulatlan hozzáférése, ellopása vagy megsemmisítése – a szervezet egyszerre két párhuzamos szabályozási eljárással szembesül: a GDPR szerinti adatvédelmi hatósági eljárással és a PCI DSS szerinti kártyahálózati vizsgálattal. A két eljárás különböző határidőket, kötelezettségeket és szankciókat von maga után.
GDPR szerinti kötelezettségek incidens esetén
A GDPR 33. cikke szerint az adatkezelőnek 72 órán belül be kell jelentenie az adatvédelmi incidenst a hatáskörrel rendelkező adatvédelmi hatósághoz (Magyarországon: NAIH), ha az valószínűsíthetően kockázatot jelent az érintett személyek jogaira és szabadságaira. A bejelentésnek tartalmaznia kell az incidens jellegét, az érintett személyek körét és hozzávetőleges számát, az érintett személyes adatok kategóriáit, az incidens valószínű következményeit és a tervezett intézkedéseket. Ha az incidens magas kockázatú, az érintetteket is értesíteni kell (34. cikk).
PCI DSS szerinti kötelezettségek incidens esetén
A PCI DSS incidens bejelentési és válaszadási folyamata: azonnali értesítés (24 órán belül) az acquirer bank és a kártyahálózat felé a feltételezett incidenst követően; PFI (PCI Forensic Investigator) megbízása a forenzikai vizsgálat lefolytatásához (kötelező kártyahálózati elvárás); az érintett rendszerek azonnali izolálása és a kártyaadatok további kiszivárgásának megakadályozása; PFI-jelentés benyújtása az acquirernek és a kártyahálózatnak; kártalanítási kötelezettség az elveszett kártyák újbóli kiadásának, a kárcsalásoknak és a kártyahálózati bírságoknak megfelelően.
Pénzügyi következmények: valós számok
Egy közepes méretű európai kereskedőnél bekövetkező kártyaadat-betörés valós pénzügyi hatása: Visa/Mastercard bírságok: 5 000–100 000 USD/hó a nem megfelelőségi időszakra; kártyacsalás-visszatérítések: 50–100 euró/kártya az érintett kártyák újbóli kiadásáért; PFI kriminalisztikai vizsgálat: 50 000–200 000 euró; jogi és PR-válságkezelési költségek: 50 000–500 000 euró; GDPR-bírság: akár a globális éves forgalom 4%-a; reputációs kár: nehezen számszerűsíthető, de tartós.
Hogyan csökkenti a tokenizáció az incidens hatását?
Ha a kereskedő PCI Proxy EU tokenizációt alkalmaz és adatbetörés következik be: a betörők csak tokeneket találnak a kereskedő adatbázisában; a tokenek önmagukban értéktelenek – nincs valódi PAN, amelyet fel lehetne használni; a PCI Proxy EU vaultja az incidens hatókörén kívül marad; a forenzikai vizsgálat hatóköre és költsége drasztikusan csökken; a PCI DSS bírságok mértéke mérsékelhető (kisebb hatókör, gyorsabb helyreállítás).
Csökkentse az adatvédelmi incidensek kockázatát tokenizációval
A PCI Proxy EU tokenizációja eliminálija a PAN-t a kereskedő rendszereiből, ami drámaian csökkenti egy incidens hatókörét és pénzügyi következményeit.
Konzultáljon szakértőnkkel