A biztosítási és egészségügyi szektor vállalkozásai általában a GDPR-ra, a HIPAA-ra és az ágazatspecifikus adatvédelmi előírásokra koncentrálnak – miközben figyelmen kívül hagyják a PCI DSS-kötelezettségeiket. Holott mindkét szektorban rendszeres a kártyás fizetés, és ezek a fizetések ugyanolyan PCI DSS-kötelezettségeket vonnak maguk után, mint bármely más iparágban.
Mikor esik a biztosítási szektor a PCI DSS hatálya alá?
A biztosítók kártyás fizetést fogadnak el: biztosítási díjak befizetésekor (online, telefonon, kártyaterminálnál); kártalanítási kifizetéseknél (ha visszatérítés kártyára történik); ügynöki díjak és jutalékok esetén. Mindegyik esetben a PCI DSS alkalmazandó, ha a szervezet hitelkártyás vagy betéti kártyás fizetési módot kínál. A telefonos biztosításértékesítés és a call center fizetések különösen kockázatos területek: a MOTO-tranzakciók és a hangrögzítési kötelezettség kombinációja egyedi kihívást jelent.
Egészségügyi szektor: dupla megfelelőség terhe
Kórházak, klinikák, gyógyszerészek és egészségügyi szolgáltatók párhuzamos megfelelőségi kötelezettségekkel szembesülnek: GDPR (egészségügyi adatok mint különleges személyes adatkategória); NIS2 (hálózati és információs rendszerek biztonsága – egészségügyi létesítmények kritikus infrastruktúra); PCI DSS (ha kártyás fizetést fogadnak el betegektől). A háromirányú megfelelőség különösen terhes lehet kis és közepes klinikai egységek számára.
Kockázatok a klinikai menedzsment rendszerekben
Az egészségügyi szektorban a PCI DSS szempontból problémás területek: kártyaadatok véletlenszerű rögzítése klinikai nyilvántartásokban (pl. papíron felvett fizetési adatok digitalizálása); POS-terminálok integrálása a klinikai informatikai rendszerekkel (ha az EHR rendszer és a fizetési terminál azonos hálózaton van, a teljes EHR-infrastruktúra bekerülhet a CDE-be); hangrögzítési rendszerek, amelyek kártyaadatokat tartalmazó konzultációs hívásokat is rögzítenek.
Megoldás: tokenizáció a biztosítási és egészségügyi szektorban
A PCI Proxy EU tokenizáció mindkét szektorbeli alkalmazásai: online biztosítási díjfizetés hosted fields megoldással (SAQ A-ra minősítés); telefonos fizetések DTMF-tokenizációval (hangrögzítési PCI-problémák eliminálása); ismétlődő díjterhelés card-on-file tokenizációval (éves biztosítási díjak automatikus megújítása); kártyaadatok fizikai boltokban való rögzítése nélkül (biztosítási irodák POS-integrációja).
PCI DSS-megfelelőség a biztosítási és egészségügyi szektorban
Szakértőink ismerik az ágazatspecifikus kihívásokat, és segítenek a PCI DSS-kötelezettségek és az ágazati előírások integrált kezelésében.
Konzultáljon szakértőnkkel