Una brecha de dados sobre dados de cartão no es apenas un incidente técnico: activa obrigações de notificação bajo el RGPD, procedimientos de investigação forense bajo el PCI DSS e procesos de gestão de contracargos con el adquirente. La RGPD data breach notification deve realizarse en 72 horas, enquanto que los pci dss data breach fines podem alcanzar dígitos significativas antes incluso de que concluya la investigação. Este artigo describe la secuencia concreta de eventos tras una violação.
Qué ocurre en las primeras 72 horas tras una brecha en pagos
Las primeras 72 horas tras el descubrimiento de una brecha são las mais críticas. Bajo el RGPD, el responsable del tratamiento deve notificar a la autoridade de control (en España, la AEPD; en otros países, la autoridade nacional correspondiente) dentro de este plazo, salvo que la brecha sea improbable que conlleve un riesgo para los derechos e libertades de las personas físicas. Para los dados de cartão, esta condição raramente se cumple: el riesgo de fraude es concreto e inmediato.
En paralelo, el adquirente deve ser notificado siguiendo los procedimientos PCI DSS. El Requisito 12.10.1 del estándar exige que cada organização disponga de un plan de respuesta a incidentes documentado e probado. Si el plan no existe o no se ha probado, la gestão de la brecha se vuelve caótica, los prazos de notificação se alargan e el riesgo de sancões adicionales aumenta. En esta fase, muchas organizaciones também involucran a las marcas de redes (Visa, Mastercard) que têm sus propias obrigações de notificação contractuales.
Las notificaciones obligatorias: RGPD, PCI DSS e adquirente
El sistema de notificaciones post-brecha está estructurado en varios niveles. El RGPD exige la notificação a la autoridade en 72 horas y, si el riesgo para los afectados es elevado, também la comunicação directa a las personas involucradas. El PCI DSS exige la notificação al adquirente e a las marcas de redes, que inician sus propias investigaciones forenses. El adquirente, a su vez, pode bloquear temporalmente los pagos del comércio hasta la Conclusão de la investigação.
Las redes como Visa e Mastercard têm programas específicos de gestão de brechas (VISA Account Information Security, MC Site Data Protection) que prevén sancões autónomas respecto a las PCI. Las sancões de las redes suelen ser las mais inmediatas: podem comenzar en 5.000 euros al mes hasta cientos de miles, e se suman a las posibles sancões de la autoridade de proteção de dados (hasta el 4% del volumen de negocio global anual para las infracciones mais graves bajo el RGPD).
Los custos reales de una brecha: forenses, contracargos e sancões
El cost of pci data breach va mucho mais allá de las sancões formales. La investigação forense obligatoria, realizada por un QSA o un PFI (PCI Forensic Investigator) certificado, cuesta tipicamente entre 30.000 e 100.000 euros para un comércio de tamaño medio, e el comércio deve pagarla embora la investigação demuestre que la brecha foi limitada. A esto se añaden los custos de sustitução de las cartões comprometidas (a cargo del comércio en los casos mais graves), los contracargos sobre las transações fraudulentas e los custos legales.
En el frente operativo, el adquirente pode imponer un aumento de la tasa de reserva (un porcentaje de las transações retenido como garantía) o, en los casos mais graves, la revocação de la posibilidade de aceptar cartões. El daño reputacional es difícil de cuantificar mas pode ser el custo mais elevado para las empresas B2C. Según las estimaciones del Ponemon Institute, el custo medio de una brecha que involucra dados de pago supera los 150 euros por registro comprometido, incluyendo los custos de respuesta, notificação e pérdida de clientes.
Preguntas frecuentes
En qué plazo debo notificar a la autoridade en caso de brecha?
El RGPD impone la notificação en 72 horas desde el descubrimiento de la brecha, no desde el momento en que ocurrió. Si el descubrimiento se produce un viernes por la tarde, el plazo vence el lunes por la mañana. La notificação deve incluir la naturaleza de la brecha, las categorías de dados involucrados, el número aproximado de afectados, las medidas adoptadas e las previstas para mitigar los daños.
Quem paga los custos forenses tras una brecha PCI?
Los custos de la investigação forense PCI são a cargo del comércio en el contrato estándar con el adquirente. Aunque la brecha fuera causada por una vulnerabilidade de un fornecedor tercero, el comércio sigue siendo el responsable primario frente al adquirente. Existen pólizas de seguros cibernéticos que cubren estos custos, mas exigem que el comércio pueda demostrar un nivel mínimo de conformidade PCI en el momento de la brecha.
La tokenização reduz el impacto de una brecha?
De forma significativa. Si los sistemas del comércio no conservan PAN sino apenas tokens, una brecha no expone dados de cartão utilizables para fraudes. El token no tem valor comercial fuera del sistema que lo emitió. En estos casos, la investigação forense pode concluir que no hubo compromisos de dados de cartão, con un impacto drásticamente reducido en sancões, contracargos e obrigações de sustitução de cartões.
Con cero PAN en tu sistema, una brecha no se convierte en una brecha PCI. Descubre como la tokenização reduz el impacto a cero. Descubre PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nos