As coimas por infração do PCI DSS são frequentemente subestimadas até ao momento em que se tornam reais. O custo de uma violação do PCI DSS não se limita às sanções contratuais do adquirente: inclui a investigação forense, as notificações obrigatórias, o reembolso dos chargebacks e, em muitos casos, a perda permanente da habilitação para aceitar cartões. Para uma PME europeia, um único incidente significativo pode gerar custos na ordem das seis casas decimais, muitas vezes sem cobertura seguradora adequada.
As sanções PCI DSS: quem as aplica e quanto custam
As sanções PCI DSS não são aplicadas por uma autoridade pública, mas pelo adquirente, através da relação contratual com o comerciante. As redes de pagamento (Visa, Mastercard, Amex, Discover) têm programas de gestão do risco que delegam a conformidade nos adquirentes, que por sua vez a transferem contratualmente aos comerciantes. Em caso de incumprimento continuado, as sanções mensais oscilam entre 5.000 e 100.000 dólares por mês, consoante a rede e a gravidade da situação. Em caso de infração documentada, as redes aplicam sanções adicionais que podem atingir 500 dólares por cada registo comprometido, com um limite variável por rede.
Estas sanções são tipicamente imputadas ao adquirente, que as repercute no comerciante através do contrato de aquisição. O comerciante pode ainda sofrer um aumento das comissões de intercâmbio ou a passagem para um regime de monitorização reforçada com custos adicionais. Nos casos mais graves, a rede pode revogar ao adquirente a possibilidade de dar alta a novos comerciantes em determinadas categorias de risco, levando o adquirente a rescindir unilateralmente o contrato com o comerciante responsável pela infração.
Os custos ocultos de uma violação de dados: forense, notificações e chargebacks
As sanções contratuais são apenas uma parte do custo total de uma infração. A investigação forense obrigatória, realizada por um QSA ou por um fornecedor de investigação forense aprovado pela rede, tem custos que oscilam entre 20.000 e mais de 500.000 euros, consoante a complexidade do caso e o número de sistemas envolvidos. Esta investigação corre a cargo do comerciante, não da rede nem do adquirente. O comerciante deve ainda assumir os custos da notificação aos afetados prevista pelo RGPD, que incluem a comunicação direta a cada cliente afetado e os custos legais associados.
Os chargebacks sobre os cartões comprometidos representam um custo frequentemente subestimado. Cada transação fraudulenta realizada com dados de cartão roubados ao comerciante é reembolsada ao banco emissor a cargo do comerciante, através de um mecanismo de transferência de responsabilidade. Numa violação que afeta milhares de cartões, os chargebacks podem ascender a centenas de milhares de euros. Os emitentes (bancos emissores) podem também solicitar o reembolso dos custos de substituição dos cartões comprometidos, a uma taxa que varia entre 3 e 15 dólares por cartão consoante a rede. Uma violação de 10.000 registos gera, portanto, um custo de substituição de cartões de 30.000 a 150.000 dólares só por esta rubrica.
Como prevenir uma infração custa menos do que geri-la
O custo total de uma infração significativa para um comerciante de dimensão média raramente fica abaixo de 100.000 euros se se considerarem todas as rubricas: sanções, forense, notificações, chargebacks, substituição de cartões, custos legais e reputacionais. Para uma PME europeia com margens reduzidas, este montante pode ser existencialmente crítico. O custo anual de uma solução de tokenização certificada, que reduz drasticamente o perímetro de risco, é tipicamente uma fração deste montante.
A prevenção atua em dois níveis. O primeiro é técnico: eliminar os dados de cartão do ambiente empresarial através da tokenização significa que, mesmo em caso de comprometimento dos sistemas do comerciante, a violação não expõe dados sensíveis de cartão. Não há PAN para roubar se não houver PAN no ambiente. O segundo nível é contratual: um comerciante certificado como conforme ao PCI DSS pode aceder a programas de transferência de responsabilidade das redes que reduzem a sua exposição financeira em caso de violação, transferindo parte do risco para o fornecedor de serviços de pagamento. Ambas as ferramentas exigem investimento preventivo, mas a relação custo-benefício é clara.
Perguntas frequentes
Quem aplica as sanções PCI DSS?
As sanções PCI DSS não são aplicadas por um organismo governamental, mas pelas redes de pagamento (Visa, Mastercard, Amex) através do sistema de aquisição. A rede sanciona o adquirente, que repercute a sanção no comerciante através do contrato de serviço. O comerciante não recebe uma coima formal, mas um encargo contratual que apenas pode contestar nas formas previstas no contrato com o adquirente.
Devo notificar os clientes em caso de violação de dados de cartão?
Depende da avaliação do risco prevista pelo RGPD. Se a violação apresentar um risco elevado para os direitos e liberdades dos afetados (algo provável quando estão envolvidos dados de cartão), o RGPD exige a notificação direta aos afetados. Esta notificação deve realizar-se sem demora injustificada após ter notificado a autoridade de controlo. O conteúdo, as modalidades e os prazos da notificação aos afetados devem ser definidos com o apoio da equipa jurídica e do DPO, se existir.
O seguro cibernético cobre as sanções PCI DSS?
Depende da apólice. Muitas apólices cibernéticas cobrem os custos de investigação forense, os encargos jurídicos e a notificação aos afetados, mas excluem expressamente as sanções contratuais PCI DSS. Algumas apólices mais abrangentes incluem também a cobertura das sanções das redes de pagamento e os custos de substituição de cartões. Antes de subscrever uma apólice cibernética, verifique expressamente a cobertura para infrações PCI DSS e o seu limite máximo, porque os custos reais muitas vezes superam os limites padrão das apólices de entrada.
Prevenir uma infração custa menos do que gerir as suas consequências: a tokenização certificada é o investimento preventivo com a melhor relação custo-risco. Descubra a PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nos