Sektor ubezpieczeń i opieki zdrowotnej jest często pomijany w dyskusjach o PCI DSS – organizacje w tych branżach koncentrują się na ochronie danych zdrowotnych (HIPAA, RODO dla danych medycznych) i nie zawsze zdają sobie sprawę, że akceptowanie płatności kartą aktywuje obowiązki PCI DSS. Ten artykuł wyjaśnia specyficzne wyzwania i pułapki PCI DSS dla ubezpieczycieli i dostawców usług zdrowotnych.
Kiedy ubezpieczyciele wchodzą w zakres PCI DSS
Ubezpieczyciel wchodzi w zakres PCI DSS za każdym razem, gdy przetwarza płatność składki lub polisy przy użyciu karty płatniczej. Dotyczy to: płatności składek online przez portal klienta, płatności przez telefon do agenta lub call center, płatności przy zawieraniu polisy w oddziale, a także automatycznych odnowień polis z kartą card-on-file. Każdy z tych kanałów wymaga analizy przepływu danych kart i określenia zakresu PCI DSS.
Systemy zarządzania klinicznego a dane kart: nieoczekiwane ryzyko
Dostawcy usług zdrowotnych często integrują systemy zarządzania klinicznego (EHR/EMR) z modułami płatności – np. do pobierania opłat za wizyty, dopłat do leków lub rachunków za hospitalizację. Jeśli dane kart przepływają przez system kliniczny, cały system wchodzi w zakres PCI DSS. Jest to szczególnie problematyczne: systemy medyczne nie są projektowane z myślą o PCI DSS, a koszty dostosowania mogą być bardzo wysokie.
Zdalna autoryzacja w ubezpieczeniach: płatności telefoniczne i MOTO
Ubezpieczyciele często pobierają płatności przez telefon – agenci pobierają dane karty od klientów dzwoniących w sprawie zawarcia lub odnowienia polisy. Ten scenariusz MOTO (Mail Order / Telephone Order) aktywuje specyficzne wymagania PCI DSS. DTMF tokenization, gdzie klient wprowadza dane karty przez klawiaturę telefonu, jest preferowanym rozwiązaniem: agent nie słyszy ani nie widzi numeru karty.
Podwójne wymagania: dane zdrowotne i dane kart
Organizacje w sektorze zdrowia muszą zarządzać dwiema odrębnymi klasami danych wrażliwych: danymi zdrowotnymi (chronionymi RODO, potencjalnie HIPAA dla organizacji z połączeniami USA) i danymi kart (chronionymi PCI DSS). Systemy przechowywania danych powinny być architektonicznie rozdzielone: vault tokenów PCI DSS nie powinien zawierać danych zdrowotnych, a systemy medyczne nie powinny przechowywać numerów PAN.
Jak tokenizacja rozwiązuje problem PCI DSS w sektorze zdrowotnym
Wdrożenie tokenizacji PCI Proxy EU dla wszystkich przepływów płatności pozwala na radykalne ograniczenie zakresu PCI DSS w organizacjach zdrowotnych. Formularz płatności hostowany przez PCI Proxy EU zbiera dane karty bezpośrednio do vault, bez przejścia przez systemy kliniczne. System medyczny otrzymuje wyłącznie token i status transakcji – nie dotykając żadnych danych kart. Ta architektura pozwala na kwalifikację do SAQ A i drastycznie redukuje koszty compliance PCI DSS.
Rozwiązania PCI DSS dla sektora zdrowia i ubezpieczeń
Skontaktuj się z ekspertami PCI Proxy EU, aby omówić dedykowane rozwiązanie dla Twojej organizacji zdrowotnej lub ubezpieczeniowej.
Porozmawiaj z ekspertem