Uma violação de dados de cartão não é apenas um incidente técnico: ativa obrigações de notificação ao abrigo do RGPD, procedimentos de investigação forense ao abrigo do PCI DSS e processos de gestão de estornos com o adquirente. A notificação de violação de dados ao abrigo do RGPD deve ser efetuada em 72 horas, enquanto as coimas PCI DSS por violação de dados podem atingir valores significativos antes mesmo de a investigação estar concluída. Este artigo descreve a sequência concreta de eventos após uma violação.
O que acontece nas primeiras 72 horas após uma violação de dados de pagamento
As primeiras 72 horas após a deteção de uma violação são as mais críticas. Ao abrigo do RGPD, o responsável pelo tratamento deve notificar a autoridade de controlo (em Portugal, a CNPD; noutros países, a autoridade nacional correspondente) dentro deste prazo, salvo se for improvável que a violação implique um risco para os direitos e liberdades das pessoas singulares. Para os dados de cartão, esta condição raramente se verifica: o risco de fraude é concreto e imediato.
Em paralelo, o adquirente deve ser notificado seguindo os procedimentos PCI DSS. O Requisito 12.10.1 da norma exige que cada organização disponha de um plano de resposta a incidentes documentado e testado. Se o plano não existir ou não tiver sido testado, a gestão da violação torna-se caótica, os prazos de notificação alargam-se e o risco de sanções adicionais aumenta. Nesta fase, muitas organizações envolvem também as marcas de redes (Visa, Mastercard), que têm as suas próprias obrigações de notificação contratuais.
As notificações obrigatórias: RGPD, PCI DSS e adquirente
O sistema de notificações pós-violação está estruturado em vários níveis. O RGPD exige a notificação à autoridade em 72 horas e, se o risco para os afetados for elevado, também a comunicação direta às pessoas envolvidas. O PCI DSS exige a notificação ao adquirente e às marcas de redes, que iniciam as suas próprias investigações forenses. O adquirente, por sua vez, pode bloquear temporariamente os pagamentos do comerciante até à conclusão da investigação.
As redes como a Visa e a Mastercard têm programas específicos de gestão de violações (VISA Account Information Security, MC Site Data Protection) que preveem sanções autónomas relativamente às do PCI. As sanções das redes costumam ser as mais imediatas: podem começar em 5.000 euros por mês até centenas de milhares, e somam-se às eventuais sanções da autoridade de proteção de dados (até 4% do volume de negócios global anual para as infrações mais graves ao abrigo do RGPD).
Os custos reais de uma violação: forenses, estornos e sanções
O custo de uma violação de dados PCI vai muito além das sanções formais. A investigação forense obrigatória, realizada por um QSA ou um PFI (PCI Forensic Investigator) certificado, custa tipicamente entre 30.000 e 100.000 euros para um comerciante de tamanho médio, e o comerciante deve pagá-la mesmo que a investigação demonstre que a violação foi limitada. A isto acrescem os custos de substituição dos cartões comprometidos (a cargo do comerciante nos casos mais graves), os estornos sobre as transações fraudulentas e os custos legais.
No plano operacional, o adquirente pode impor um aumento da taxa de reserva (uma percentagem das transações retida como garantia) ou, nos casos mais graves, a revogação da possibilidade de aceitar cartões. O dano reputacional é difícil de quantificar, mas pode ser o custo mais elevado para as empresas B2C. Segundo as estimativas do Ponemon Institute, o custo médio de uma violação que envolve dados de pagamento supera os 150 euros por registo comprometido, incluindo os custos de resposta, notificação e perda de clientes.
Perguntas frequentes
Em que prazo devo notificar a autoridade em caso de violação?
O RGPD impõe a notificação em 72 horas desde a deteção da violação, não desde o momento em que ocorreu. Se a deteção ocorrer numa sexta-feira à tarde, o prazo expira na segunda-feira de manhã. A notificação deve incluir a natureza da violação, as categorias de dados envolvidos, o número aproximado de afetados, as medidas adotadas e as previstas para mitigar os danos.
Quem paga os custos forenses após uma violação PCI?
Os custos da investigação forense PCI são suportados pelo comerciante no âmbito do contrato padrão com o adquirente. Mesmo que a violação tenha sido causada por uma vulnerabilidade de um fornecedor terceiro, o comerciante continua a ser o responsável primário perante o adquirente. Existem apólices de seguros cibernéticos que cobrem estes custos, mas exigem que o comerciante possa demonstrar um nível mínimo de conformidade PCI no momento da violação.
A tokenização reduz o impacto de uma violação?
De forma significativa. Se os sistemas do comerciante não conservam PAN, mas apenas tokens, uma violação não expõe dados de cartão utilizáveis para fraudes. O token não tem valor comercial fora do sistema que o emitiu. Nestes casos, a investigação forense pode concluir que não houve comprometimento de dados de cartão, com um impacto drasticamente reduzido em sanções, estornos e obrigações de substituição de cartões.
Sem PAN no seu sistema, uma violação não se converte numa violação PCI. Descubra como a tokenização reduz o impacto a zero. Descubra a PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nos