As empresas do setor segurador e os centros de saúde privados gerem pagamentos com cartão de forma contínua: prémios de seguros, copagamentos, prestações de pagamento, reembolsos. No entanto, o tema dos pci dss insurance payments e dos pci dss healthcare payments é frequentemente ignorado ou abordado tardiamente, porque estas organizações não se identificam como "operadores de pagamento". O resultado é uma exposição ao risco que combina vulnerabilidades PCI e obrigações RGPD sobre dados de saúde.
Seguros e PCI DSS: onde se escondem os riscos
Uma seguradora que aceita o pagamento dos prémios mediante cartão de crédito ou débito está sujeita ao PCI DSS a partir do momento em que o primeiro PAN transita pelos seus sistemas. Os pontos críticos são múltiplos: portais web para o pagamento online dos prémios, call centers onde os operadores recolhem os dados de cartão por telefone, sistemas de cobrança recorrente para os prémios mensais ou anuais, e processos de reembolso que exigem a devolução do montante para o cartão.
Um risco específico do setor segurador diz respeito às apólices com prémio recorrente. Se a seguradora conservar os dados de cartão do cliente para cobrar o prémio todos os meses, é responsável pela segurança desse dado durante toda a vigência do contrato, que pode durar anos. Isto cria um CDE de longo prazo que deve ser certificado anualmente em conformidade com os requisitos PCI DSS, com um custo de conformidade significativo se a infraestrutura for gerida internamente.
Saúde e pagamentos com cartão: o CDE nos sistemas de gestão clínica
As clínicas privadas, os centros de diagnóstico e os consultórios médicos que aceitam pagamentos com cartão encontram-se numa situação especialmente delicada. Os seus sistemas de informação de saúde (HIS, Hospital Information System) e os sistemas de gestão clínica não foram concebidos para respeitar o PCI DSS: nascem para gerir historiais clínicos, marcações e resultados, não para proteger dados de cartão segundo os requisitos de uma norma de segurança de pagamentos.
O resultado é que muitos centros de saúde privados conservam dados de cartão em bases de dados não cifradas, nos logs dos sistemas de reservas, ou nos e-mails de confirmação de pagamentos. Cada ponto de acumulação não controlado constitui um risco PCI e, quando os dados do doente se sobrepõem aos dados de pagamento, também um risco RGPD de categoria especial (dados de saúde). Em caso de violação, as sanções de ambos os enquadramentos podem acumular-se.
Como a tokenização simplifica a conformidade nestes setores
A estratégia mais eficaz para as seguradoras e os centros de saúde é separar fisicamente os dados de pagamento dos dados operacionais e de saúde. Com o PCI Proxy EU, o dado de cartão é recolhido uma única vez através de um formulário seguro ou de um SDK, é convertido em token e é conservado no vault externo. O sistema de gestão clínica ou o sistema de administração da seguradora trabalha unicamente com o token para as cobranças recorrentes, sem nunca aceder ao PAN.
Esta separação tem um efeito direto sobre o perímetro PCI: o HIS ou o sistema de gestão de seguros não entra no CDE porque nunca trata dados de cartão em claro. A entidade pode completar um SAQ A em vez de uma auditoria completa, com uma poupança de tempo e custos relevante. Na frente RGPD, a separação entre dados de saúde e dados de pagamento reduz o risco de violações que envolvam categorias especiais de dados.
Perguntas frequentes
Uma clínica privada que aceita cartões está sujeita ao PCI DSS?
Sim, sem exceções. O PCI DSS aplica-se a qualquer organização que aceite, transmita ou conserve dados de cartão, independentemente do setor de atividade. Uma clínica privada que aceita pagamentos com cartão pelas suas prestações é um comerciante PCI para todos os efeitos, e deve cumprir os requisitos aplicáveis ao seu nível de transações.
Os sistemas de informação de saúde (HIS) estão em scope PCI?
Depende de como estão configurados. Se o HIS receber ou conservar dados de cartão (por exemplo, os dados de cartão usados para pagar a prestação), entra no CDE e está em scope PCI. Se, em vez disso, o pagamento for realizado através de um sistema separado que não partilha dados com o HIS, este último pode estar fora de scope. A solução mais limpa é usar um sistema de tokenização que impeça o dado de cartão de entrar no HIS.
Como se integra a conformidade PCI com o RGPD para os dados de saúde?
Os dados de saúde são uma categoria especial ao abrigo do RGPD (art. 9.º) e exigem medidas de proteção adicionais. Quando dados de saúde e dados de cartão coexistem no mesmo sistema, qualquer violação pode ativar sanções de ambos os enquadramentos. A separação dos dados de pagamento mediante tokenização reduz o perímetro de ambos os enquadramentos e simplifica a gestão do risco global.
Quer separar os dados de pagamento dos sistemas de saúde e seguros sem alterar a operação? Vamos conversar. Descubra o PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nos