Naruszenie bezpieczeństwa danych kart płatniczych to scenariusz, którego obawia się każda organizacja akceptująca płatności. I słusznie: konsekwencje są wielowymiarowe – jednocześnie uruchamiane są procedury PCI DSS i RODO, każda z własnymi terminami powiadomień, sankcjami i kosztami. Ten artykuł przeprowadza przez chronologię i konsekwencje naruszenia danych płatniczych.
Pierwsze 72 godziny: obowiązki RODO
RODO nakłada obowiązek powiadomienia organu nadzorczego o naruszeniu danych osobowych w ciągu 72 godzin od wykrycia – jeśli naruszenie może powodować ryzyko dla praw i wolności osób fizycznych. Dane kart płatniczych są danymi osobowymi, więc powiadomienie organu (np. UODO w Polsce, CNIL we Francji) jest obowiązkowe. Jednocześnie, jeśli naruszenie stwarza wysokie ryzyko, konieczne jest również powiadomienie dotkniętych osób. Treść powiadomienia musi zawierać opis naruszenia, kategorie danych, szacowaną liczbę dotkniętych osób i podjęte środki zaradcze.
Procedury PCI DSS po wykryciu naruszenia
PCI DSS wymaga powiadomienia agenta rozliczeniowego i sieci kart (Visa, Mastercard) niezwłocznie po podejrzeniu lub potwierdzeniu naruszenia. Sieci kart mogą wymagać przeprowadzenia dochodzenia kryminalistycznego przez certyfikowanego PFI (PCI Forensic Investigator) – zazwyczaj na koszt sprzedawcy. Koszty takiego dochodzenia wahają się od 50 do 200 tys. euro. Równocześnie rozpoczyna się proces wymiany kart u emitentów, za co sprzedawca może zostać obciążony.
Finansowe konsekwencje naruszenia danych kart
Łączne koszty naruszenia danych kart są bardzo wysokie: kary PCI DSS od sieci kart (5-100 USD za każdą naruszoną kartę), koszty dochodzenia kryminalistycznego PFI (50-200 tys. euro), koszty wymiany kart (1-5 euro za kartę pomnożone przez liczbę dotkniętych klientów), potencjalne kary RODO (do 4% rocznego globalnego obrotu), odszkodowania dla poszkodowanych klientów (procesy zbiorowe w UE stają się coraz powszechniejsze) oraz niewymierne straty reputacyjne.
Jak tokenizacja minimalizuje skutki naruszenia
Organizacja używająca tokenizacji PCI Proxy EU jest w znacznie lepszej sytuacji w przypadku naruszenia. Jeśli haker uzyska dostęp do bazy danych sprzedawcy, znajdzie wyłącznie tokeny – nie numery PAN. Token bez klucza detokenizacji (przechowywanego w vault PCI Proxy EU) jest bezwartościowy dla atakujących. Oznacza to, że naruszenie bazy danych sprzedawcy nie prowadzi automatycznie do naruszenia danych kart, co dramatycznie zmniejsza liczbę dotkniętych kart i związane z tym koszty.
Plan reagowania na incydenty: przygotowanie jest kluczowe
PCI DSS v4.0 wymaga posiadania i testowania planu reagowania na incydenty bezpieczeństwa. Plan powinien obejmować: procedury wykrywania i klasyfikacji incydentów, ścieżki powiadamiania (wewnętrzne i zewnętrzne), procedury izolacji zagrożonych systemów, mechanizmy komunikacji kryzysowej z klientami i mediami oraz regularnie testowane ćwiczenia symulacyjne. Organizacje, które miały przetestowany plan przed naruszeniem, zazwyczaj ponoszą significąco niższe koszty incydentu.
Ogranicz ryzyko naruszenia danych kart dzięki tokenizacji
Tokenizacja PCI Proxy EU sprawia, że naruszenie bazy danych nie oznacza naruszenia danych kart. Skontaktuj się z nami.
Porozmawiaj z ekspertem