Direi che dipende. 12.10.1.a afferma che dovrebbe esserci un piano di risposta agli incidenti e che dovrebbe contenere almeno le strategie di comunicazione in caso di compromissione.
Non dicono che è necessario "almeno per dire ai marchi di pagamento", dicono che è necessario il minimo per "dire a qualcuno", non si può semplicemente avere un piano di risposta agli incidenti che consiste essenzialmente di "riordinare" e "assicurare il compromesso" senza notifica a nessuno.
Se decidi di comunicare con l'indivual o con l'aquirer, dipende dalla scala del compromesso.
Diciamo che un impiegato in contanti inaffidabile fotografa una singola carta nel POS con una telecamera mentre la gestisce per un cliente e questo passa inosservato dal cliente.
Diciamo che questo è sfidato all'attenzione.
Quindi è molto più semplice, basta avvisare telefonicamente l'utente interessato, chiedergli di sospendere la sua carta e ordinare una nuova carta dal suo emittente, piuttosto che notificare a VISA / MasterCard / aquirer quel piccolo compromesso.
Può essere un buon affare informare l'aquirer e dire che il cliente è stato comunque informato. Questo ti manterrà fuori dal giro nel caso in cui il cliente giochi stupido e dice che non ha ricevuto alcuna notifica e decide di non sospendere la carta compromessa.
Se, tuttavia, una banca dati CC o qualsiasi cosa trapelasse fuori, o un sito Web viene violato e sostituito con un sito di phishing, è fondamentalmente necessario informare l'aquirer, dal momento che centinaia, migliaia di clienti o milioni di clienti potrebbero essere interessati.
L'intenzione del 12.10.1.a è che tutti gli indivual interessati debbano ottenere informazioni su ciò che è accaduto. Se decidi di informare da solo tutti i tuoi clienti, o se passi attraverso il tuo aquirer, dipende da te. Nella maggior parte dei casi, è più facile informare il tuo aquirer.