Las multas por infracção de PCI DSS são a menudo subestimadas hasta el momento en que se vuelven reales. El custo de una violação de PCI DSS no se limita a las sancões contractuales del adquirente: inclui la investigação forense, las notificaciones obligatorias, el reembolso de los contracargos y, en muchos casos, la pérdida permanente de la habilitação para aceptar cartões. Para una pyme europeia, un único incidente significativo pode generar custos en el orden de las seis dígitos, a menudo sin cobertura aseguradora adecuada.
Las sancões PCI DSS: quem las aplica e cuánto cuestan
Las sancões PCI DSS no são aplicadas por una autoridade pública, sino por el adquirente, através de la relação contractual con el comércio. Los circuitos de pago (Visa, Mastercard, Amex, Discover) têm programas de gestão del riesgo que delegan el conformidade en los adquirentes, quienes a su vez lo trasladan contractualmente a los comerciantes. En caso de incumplimiento continuado, las sancões mensuales oscilan entre 5.000 e 100.000 dólares al mes, según el circuito e la gravedade de la situação. En caso de infracção documentada, los circuitos aplican sancões adicionales que podem alcanzar 500 dólares por cada registro comprometido, con un límite variable por circuito.
Estas sancões se cargan tipicamente al adquirente, que las repercute al comércio através del contrato de adquisição. El comércio também pode sufrir un aumento de las comisiones de intercambio o el paso a un régimen de monitorização reforzada con custos adicionales. En los casos mais graves, el circuito pode revocar al adquirente la posibilidade de dar de alta a nuevos comerciantes en determinadas categorías de riesgo, empujando al adquirente a rescindir unilateralmente el contrato con el comércio responsable de la infracção.
Los custos ocultos de una brecha de dados: forense, notificaciones e contracargos
Las sancões contractuales são apenas una parte del custo total de una infracção. La investigação forense obligatoria, realizada por un QSA o por un fornecedor de investigação forense aprobado por el circuito, tem custos que oscilan entre 20.000 e mais de 500.000 euros, según la complejidade del caso e el número de sistemas involucrados. Esta investigação corre a cargo del comércio, no del circuito ni del adquirente. El comércio deve além disso, asumir los custos de la notificação a los afectados prevista por el RGPD, que incluyen la comunicação directa a cada cliente afectado e los custos legales asociados.
Los contracargos sobre las cartões comprometidas representan un custo a menudo subestimado. Cada transação fraudulenta realizada con dados de cartão robados al comércio es reembolsada al banco emisor a cargo del comércio, através de un mecanismo de cambio de responsabilidade. En una infracção que afecta a miles de cartões, los contracargos podem ascender a cientos de miles de euros. Los emisores (bancos emisores) também podem solicitar el reembolso de los custos de sustitução de las cartões comprometidas, a un tipo que varía entre 3 e 15 dólares por cartão según el circuito. Una infracção de 10.000 registros genera por tanto un custo de sustitução de cartões de 30.000-150.000 dólares apenas por esta partida.
Como prevenir una infracção cuesta menos que gestionarla
El custo total de una infracção significativa para un comércio de tamaño mediano raramente baja de 100.000 euros si se consideran todas las partidas: sancões, forense, notificaciones, contracargos, sustitução de cartões, custos legales e reputacionales. Para una pyme europeia con márgenes reducidos, esta cantidade pode ser existencialmente crítica. El custo anual de una solução de tokenização certificada, que reduz drásticamente el perímetro de riesgo, es tipicamente una fracção de esta cantidade.
La prevenção actúa en dos niveles. El primero es técnico: eliminar los dados de cartões del ambiente empresarial mediante la tokenização significa que, incluso en caso de compromiso de los sistemas del comércio, la infracção no expone dados sensíveis de cartões. No há PAN que robar si no há PAN en el ambiente. El segundo nivel es contractual: un comércio certificado como conforme a PCI DSS pode acceder a programas de cambio de responsabilidade de los circuitos que reducen su exposição financiera en caso de infracção, transfiriendo parte del riesgo al fornecedor de serviços de pago. Ambas ferramentas exigem inversión preventiva, mas la relação custo-beneficio es clara.
Preguntas frecuentes
Quem aplica las sancões PCI DSS?
Las sancões PCI DSS no são aplicadas por un organismo gubernamental, sino por los circuitos de pago (Visa, Mastercard, Amex) através del sistema de adquisição. El circuito sanciona al adquirente, que repercute la sanção al comércio através del contrato de serviço. El comércio no recibe una multa formal, sino un cargo contractual que apenas pode impugnar en las formas previstas en el contrato con el adquirente.
Debo notificar a los clientes en caso de brecha sobre dados de cartões?
Depende de la evaluação del riesgo prevista por el RGPD. Si la brecha presenta un riesgo elevado para los derechos e libertades de los afectados (algo probable quando se ven implicados dados de cartões), el RGPD exige la notificação directa a los afectados. Esta notificação deve realizarse sin demora injustificada después de haber notificado a la autoridade de control. El contenido, las modalidades e los prazos de la notificação a los afectados devem definirse con el apoyo del equipa jurídico e del DPO, si existe.
El seguro cibernético cubre las sancões PCI DSS?
Depende de la póliza. Muchas pólizas cibernéticas cubren los custos de investigação forense, los gastos jurídicos e la notificação a los afectados, mas excluyen expresamente las sancões contractuales PCI DSS. Algunas pólizas mais completas incluyen também la cobertura de las sancões de los circuitos de pago e los custos de sustitução de cartões. Antes de suscribir una póliza cibernética, verifique expresamente la cobertura para infracciones PCI DSS e su límite máximo, porque los custos reales a menudo superan los límites estándar de las pólizas de entrada.
Prevenir una infracção cuesta menos que gerir sus consecuencias: la tokenização certificada es la inversión preventiva con la mejor relação custo-riesgo. Descubra PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nos