¿A qué comerciantes de la entidad deben informar el incumplimiento de la tarjeta de crédito?

Según el DSS , el comerciante debe notificar a las marcas de la tarjeta:

  

12.10.1.a Verifique que el plan de respuesta a incidentes incluya:

     

• Roles, responsabilidades y estrategias de comunicación en el caso de un compromiso que incluya la notificación de las marcas de pago, como mínimo
  

Y el DSS reconoce que otros requisitos de notificación pueden ser convincentes (por ejemplo, cada comerciante está sujeto a las leyes de notificación aplicables a su jurisdicción):

  

• Análisis de los requisitos legales para informar compromisos (por ejemplo, el Proyecto de Ley 1386 de California, que requiere la notificación de los afectados).   consumidores en el caso de un compromiso real o presunto para cualquier   negocios con residentes de California en su base de datos)
  

No hace falta decir que la cuestión de la jurisdicción es un problema, dada la naturaleza viral de las leyes estatales más progresistas y la amplia base de clientes de muchos comerciantes web (incluido el internacional, como sugiere su enlace).

Entonces: el comerciante debe notificar a las marcas de tarjetas, lo que en la práctica significa que notificará a su adquirente / procesador y se encadenará desde allí. En cuanto a los individuos? El DSS reconoce que puede ser necesario, pero no lo obliga. Si tiene sentido que un comerciante notifique a las personas es una pregunta que sus relaciones y equipos legales generalmente abordan juntos.

Yo diría que depende. 12.10.1.a dice que debe haber un plan de respuesta a incidentes, y que debe contener como mínimo estrategias de comunicación en caso de un compromiso. No dicen que necesite "como mínimo para informar a las marcas de pagos", dicen que necesita como mínimo para "decirle a alguien", simplemente no puede tener un plan de respuesta a incidentes que básicamente consiste en "ordenar" y "asegurar el compromiso" sin notificando a cualquiera.

Si decide comunicarse con el individuo o con el usuario, depende de la escala del compromiso. Digamos que un dependiente de efectivo no confiable fotografía una tarjeta en el TPV con una cámara mientras la maneja para un cliente y esto pasa inadvertido para el cliente. Digamos que esto se ha prestado atención.

Entonces es mucho más fácil, simplemente notificar a la persona afectada por teléfono y pedirle que suspenda su tarjeta y solicite una nueva tarjeta a su emisor, que notificar a VISA / MasterCard / aquirer sobre ese pequeño compromiso. Puede ser una buena oferta notificar al acuario y decir que el cliente ha sido notificado de todos modos. Esto lo mantendrá fuera del circuito en caso de que el cliente se muestre tonto y le diga que no recibió ninguna notificación y decide no suspender la tarjeta comprometida.

Sin embargo, si una base de datos de CC o lo que sea se filtra, o un sitio web es pirateado y reemplazado por un sitio de suplantación de identidad (phishing), es realmente una obligación fundamental notificar al usuario, ya que cientos, miles de millones o millones de clientes podrían verse afectados.

La intención de 12.10.1.a es que todos los individuos afectados deben obtener información sobre lo que sucedió. Si decide informar por sí mismo a todos sus clientes, o si pasa por su acuario, es su decisión. En la mayoría de los casos, es más fácil informar a su usuario.