Etiquetado: 

Mostrando 1 respuesta al debate
  • Autor
    Entradas
    • #56640
      David PCI
      Participante

      Buenas David,

      Nos ha surgido la duda de qué pasaría si un cliente pone una queja o denuncia porque sospecha que el robo de la información de su tarjeta de crédito ha salido de un pago de nuestra compañía.

      ¿Quién lo investigaría? ¿Qué pasos se seguirían para demostrar que no ha sido así?
      En los casos normales de PCI DSS, ¿Que medidas podrían llegar a tomar los bancos/marcas en caso de que sospechen que no se están haciendo las cosas bien?

      ¿Realizar un análisis forense? ¿Qué tipo de Multas podrían surgir? ¿Podría llegar al bloqueo de transacciones?

      Gracias y un saludo.

    • #56658
      David Acosta
      Participante

      Hola David:
      Hay varias formas de gestionar este tema:
      – La gestión de reclamaciones vinculadas con pagos por lo general la debe hacer el cliente en su banco. En ese punto, es el banco el que se encarga de realizar las verificaciones correspondientes con las entidades relacionadas con ese pago (desde el comercio hasta cualquier pasarela de pago intermedia).
      – Si tu empresa es un comercio, puedes hacer revisiones internas proactivas para comprobar que todo está correcto en lo que corresponde a tu responsabilidad, dependiendo si el pago se ha tramitado por comercio electrónico o por canales presenciales (datáfonos) y correlacionar la información que os provee el usuario respecto al problema (que su tarjeta se usó de forma fraudulenta en otro comercio, que se hicieron otras compras con la misma tarjeta, etc.).
      Como sabes, cualquier empresa que almacene, procese y/o trasmita datos de tarjetas de pago debe cumplir con PCI DSS. Esto implica que estas acciones deberían estar recogidas en un documento de respuesta a incidentes de tu empresa, al margen de que uses un cuestionario de autoevaluación (SAQ) o una evaluación formal para comprobar el cumplimiento. Aquí tienes mayor información: https://www.pcihispano.com/como-proceder-ante-un-compromiso-de-datos-de-tarjetas-de-pago/
      En el peor de los casos, si se detecta un fraude masivo o un compromiso de datos, la entidad adquiriente (banco o pasarela de pagos) o las propias marcas de pago pueden proceder con acciones correctivas dependiendo de la cantidad de datos afectados. Puedes encontrar más información en el apartado «¿Qué ocurre si no se cumple con PCI DSS?» del artículo «Qué es PCI DSS?» https://www.pcihispano.com/que-es-pci-dss/».
      No obstante, si el incidente está vinculado con una única tarjeta de forma aislada, lo mejor es que el cliente ponga la reclamación en su banco y que la revisión siga su curso normal. De todas formas, revisa con calma internamente para comprobar que la responsabilidad no es tuya.
      Saludos,
      David

Mostrando 1 respuesta al debate
  • Debes estar registrado para responder a este debate.