Las empresas del setor asegurador e los centros sanitarios privados gerem pagos con cartão de forma continua: primas de seguros, copagos, prestaciones de pago, reembolsos. Sin embargo, el pci dss insurance payments e el tema pci dss healthcare payments se ignoran o se abordan con retraso con frecuencia, porque estas organizaciones no se identifican como "operadores de pago". El resultado es una exposição al riesgo que combina vulnerabilidades PCI e obrigações RGPD sobre dados sanitarios.
Seguros e PCI DSS: onde se esconden los riesgos
Una aseguradora que acepta el pago de las primas mediante cartão de crédito o débito está sujeta al PCI DSS desde el momento en que el primer PAN transita por os seus sistemas. Los puntos críticos são múltiples: portales web para el pago online de las primas, call centers onde los operadores recopilan los dados de cartão por telefone, sistemas de cargo recurrente para las primas mensuales o anuales, e procesos de reembolso que exigem la devolução del importe en cartão.
Un riesgo específico del setor asegurador concierne a las pólizas con prima recurrente. Si la aseguradora conserva los dados de cartão del cliente para cobrar la prima cada mes, es responsable de la segurança de ese dato durante toda la vigencia del contrato, que pode durar años. Esto crea un CDE de largo plazo que deve certificarse anualmente conforme a los requisitos PCI DSS, con un custo de conformidade significativo si la infraestrutura se gere internamente.
Sanidade e pagos con cartão: el CDE en los sistemas de gestão clínica
Las clínicas privadas, los centros de diagnóstico e los consultorios médicos que aceptan pagos con cartão se encontram en una situação especialmente delicada. Sus sistemas de informação sanitaria (HIS, Hospital Information System) e los sistemas de gestão clínica no estão diseñados para respetar el PCI DSS: nacen para gerir historiales clínicos, citas e resultados, no para proteger dados de cartão según los requisitos de un estándar de segurança de pagos.
El resultado es que muchos centros sanitarios privados conservan dados de cartão en bases de dados sin cifrar, en los logs de los sistemas de reservas, o en los correos electrónicos de confirmação de pagos. Cada punto de acumulação no controlado constituye un riesgo PCI y, quando los dados del paciente se superponen a los dados de pago, também un riesgo RGPD de categoría especial (dados sanitarios). En caso de violação, las sancões de ambos marcos podem acumularse.
Como la tokenização simplifica el conformidade en estos sectores
La estratégia mais eficaz para las aseguradoras e los centros sanitarios es separar físicamente los dados de pago de los dados operativos e sanitarios. Con PCI Proxy EU, el dato de cartão se recopila una sola vez através de un formulário seguro o un SDK, se convierte en token e se conserva en el vault externo. El sistema de gestão clínica o el sistema de administração de la aseguradora trabaja únicamente con el token para los cargos recurrentes, sin acceder nunca al PAN.
Esta separação tem un efecto directo sobre el perímetro PCI: el HIS o el sistema de gestão de seguros no entra en el CDE porque nunca trata dados de cartão en claro. La entidade pode completar un SAQ A en lugar de una auditoría completa, con un poupança de tiempo e custos relevante. En el frente RGPD, la separação entre dados sanitarios e dados de pago reduz el riesgo de violaciones que involucren categorías especiales de dados.
Preguntas frecuentes
Una clínica privada que acepta cartões está sujeta al PCI DSS?
Sí, sin excepciones. El PCI DSS se aplica a cualquier organização que acepte, transmita o conserve dados de cartão, independientemente del setor de actividade. Una clínica privada que acepta pagos con cartão por sus prestaciones es un comércio PCI a todos los efectos, e deve cumprir los requisitos aplicables a su nivel de transações.
Los sistemas de informação sanitaria (HIS) estão en scope PCI?
Depende de como estén configurados. Si el HIS recibe o conserva dados de cartão (por ejemplo, los dados de cartão usados para pagar la prestação), entra en el CDE e está en scope PCI. Si en cambio el pago se realiza através de un sistema separado que no comparte dados con el HIS, este último pode estar fuera de scope. La solução mais limpia es usar un sistema de tokenização que impida al dato de cartão entrar en el HIS.
Como se integra el conformidade PCI con el RGPD para los dados sanitarios?
Los dados sanitarios são una categoría especial bajo el RGPD (art. 9) e exigem medidas de proteção adicionales. Cuando dados sanitarios e dados de cartão coexisten en el mismo sistema, cualquier violação pode activar sancões de ambos marcos. La separação de los dados de pago mediante tokenização reduz el perímetro de ambos marcos e simplifica la gestão del riesgo global.
Quieres separar los dados de pago de los sistemas sanitarios e aseguradores sin alterar la operativa? Hablemos. Descubre PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nos