background

Was sind die potenziellen Geldstrafen und Sanktionen des PCI DSS?

  • pci-dssangle-right
  • Was sind die potenziellen Geldstrafen und Sanktionen des PCI DSS?

Equifax wurde berüchtigterweise zu einer Geldstrafe von 425 Millionen Dollar verurteilt für einen Datenschutzverstoß im Jahr 2017, der die persönlichen Informationen von 147 Millionen Menschen, einschließlich ihrer Kreditkartennummern, offenlegte. Es handelt sich um einen der bemerkenswertesten PCI-Verstöße seit Inkrafttreten des Standards.

Erfahren Sie unten mehr über die potenziellen Geldstrafen und Sanktionen des PCI.

Was sind die Folgen der Nichteinhaltung des PCI?

Unternehmen sind gesetzlich nicht verpflichtet, PCI-konform zu sein, aber die Standards werden von den Kreditkartengesellschaften wie Visa, Mastercard, American Express und anderen großen Kartenanbietern auferlegt.

Als solche ist die PCI DSS-Konformität Teil einer vertraglichen Beziehung zwischen einer Acquirer-Bank und den Kreditkartengesellschaften, mit denen sie eine Beziehung unterhalten. Die Acquirer-Bank wird wahrscheinlich die Geldstrafen auf die Händler und Dienstleister umlegen, die nicht PCI-konform sind oder die Konformität verloren haben. Diese Acquirer-Banken könnten ihrerseits verlangen, dass alle Händler, die sich mit den Diensten der Bank verbinden möchten oder deren Handlungen die Sicherheit der Kartendaten beeinflussen könnten, PCI DSS-konform sind.

Dienstleister könnten ebenfalls für bestimmte Anforderungen des PCI DSS verantwortlich sein, abhängig von den Diensten, die sie Händlern oder Organisationen anbieten, die Kartendaten verwalten.

Als Dienstleister könnten Sie von einer Organisation aufgefordert werden, PCI DSS-konform zu sein, wenn Ihre Dienste die Kartendaten beeinflussen, die von dieser Organisation verwaltet werden, oder wenn Sie für bestimmte PCI DSS-Anforderungen verantwortlich sind, die die Organisation erfüllen muss. Ein Beispiel wäre, wenn Sie ein Colocation-Center betreiben, wären Sie für die physische Sicherheit der Kartendaten verantwortlich und Ihre Kunden müssten sicherstellen, dass Sie die PCI DSS-Anforderungen für diese Kontrollen erfüllen.

Zusätzlich zu Geldstrafen und Sanktionen müssen diese Unternehmen wahrscheinlich auch weniger greifbare Konsequenzen wie Reputationsverluste und Vertrauensverluste bei den Kunden verkraften.

Geldstrafen und Sanktionen des PCI DSS

Die Nichteinhaltung des PCI DSS kann zu Geldstrafen in Millionenhöhe führen. Der genaue Betrag hängt von der Kreditkartengesellschaft sowie von Faktoren wie der Größe des Unternehmens, der Anzahl der betroffenen Kunden und dem Ausmaß und der Dauer der Nichteinhaltung ab.

Es ist wichtig zu beachten, dass die Kreditkartengesellschaften keine Daten über die Geldstrafen und Sanktionen veröffentlichen, die sie für PCI DSS-Verstöße verhängen können. Wir können jedoch eine Vorstellung von den Kosten der PCI DSS-Verstöße für Händler bekommen, indem wir reale Beispiele für Datenschutzverletzungen und die daraus resultierenden Abrechnungen untersuchen. Hier sind einige der bemerkenswertesten Beispiele.

Target - 292 Millionen Dollar

Im Jahr 2013 stahlen Hacker die Informationen von bis zu 40 Millionen Kredit- und Debitkarten von Käufern, die während der Feiertagssaison Target-Geschäfte besuchten.

Die Generalstaatsanwälte von Connecticut und Illinois führten eine Untersuchung des Verstoßes durch und stellten fest, dass die Angreifer durch gestohlene Anmeldeinformationen eines Drittanbieters auf den Gateway-Server von Target zugegriffen hatten.

Infolgedessen stimmte Target zu, 18,5 Millionen Dollar zu zahlen, um die Untersuchungen in mehreren Staaten zu lösen und Ansprüche aus 47 Staaten und dem District of Columbia beizulegen. Dies kommt zu den 10 Millionen Dollar hinzu, die sie gezahlt haben, um eine frühere Sammelklage beizulegen, sowie zu den an Zahlungsverkehrsgesellschaften und Banken gezahlten Strafen, einschließlich:

  • 19 Millionen Dollar an Mastercard.
  • 67 Millionen Dollar an Visa.
  • 39,4 Millionen Dollar an Banken und Kreditgenossenschaften für Verluste und Kosten im Zusammenhang mit dem Verstoß.

Unter Hinzurechnung der Anwaltskosten belief sich der Gesamtbetrag ihrer PCI-Nichtkonformität gemäß ihrem Jahresfinanzbericht 2016 auf 292 Millionen Dollar.

Heartland Payment Systems - 140 Millionen Dollar.

Im Jahr 2008 starteten Hacker einen massiven Angriff auf Heartland Payment Systems und erbeuteten nicht weniger als 130 Millionen Debit- und Kreditkarten.

Heartland musste Millionen an Strafen und Anwaltsgebühren zahlen, einschließlich:

  • 60 Millionen Dollar an Visa.
  • 41 Millionen Dollar an Mastercard.
  • 5 Millionen Dollar an Discover.
  • 3,5 Millionen Dollar an American Express.
  • 26 Millionen Dollar an Anwaltskosten.

Darüber hinaus wurde es ihnen 14 Monate nach dem Bekanntwerden des Verstoßes untersagt, Zahlungen der wichtigsten Kreditkartenanbieter zu verarbeiten.

TJX - 256 Millionen Dollar.

Im Jahr 2007 gab TJX bekannt, dass 46 Millionen Kredit- und Debitkartenkonten während eines Datenverstoßes im Jahr 2003 gehackt wurden. Später stellte sich heraus, dass mindestens 94 Millionen Kunden betroffen waren.

TJX musste Millionen an Bußgeldern an Zahlungsmarken zahlen, einschließlich 41 Millionen Dollar an Visa und 24 Millionen Dollar an Mastercard. Es wurden auch 9,75 Millionen Dollar im Rahmen einer Abrechnung in mehreren Staaten gezahlt.

Zusätzlich zu anderen Strafen und Anwaltskosten wurden die Gesamtkosten des Verstoßes auf 256 Millionen Dollar geschätzt.

Kosten eines Datenverstoßes.

Ein Verstoß gegen Kreditkartendaten kann Ihrem Unternehmen Tausende von Dollar kosten, um auf den Vorfall zu reagieren und Abhilfe zu schaffen: forensische Untersuchungen, Anwaltsgebühren, Kosten für FTC-Prüfungen, Kosten für die Benachrichtigung von Karteninhabern, Kosten für die Entschädigung von Kunden – bis hin zur Zahlung höherer Sätze an Banken und Zahlungsabwickler.

Und das deckt nicht einmal den Verlust der Kundentreue und den Schaden für das Markenimage ab.

Jeder Verstoß, der die Daten von Karteninhabern gefährdet, führt automatisch dazu, dass Ihr Unternehmen auf Level 1 PCI Compliance-Stufe heraufgestuft wird, unabhängig von der Anzahl der Transaktionen, die Sie durchführen. Die Konformität auf Stufe 1 erfordert eine vollständige Bewertung des Compliance-Berichts durch einen QSA.

Verlust der Händlerlizenz.

Zahlungskartenunternehmen bestrafen Händler nicht direkt für Nichtkonformität. Stattdessen bestrafen sie die Acquirer-Banken, die die Kreditkartentransaktionen der Händler abwickeln. Die Acquirer-Banken geben diese Strafen dann wahrscheinlich an die Händler weiter.

Infolgedessen können Händler mit zusätzlichen Strafen für PCI-Nichtkonformität seitens der Banken konfrontiert werden. Zum Beispiel kann die Bank ihre Kreditkartentransaktionsgebühren erhöhen, strengere Prüfungsanforderungen umsetzen oder ihre Beziehung zum Händler beenden.

Wenn Ihre Händlerlizenz widerrufen wird, können Sie keine Kreditkartenzahlungen mehr akzeptieren.

Zusätzliche Risiken der PCI-Nichtkonformität

Teure Geldstrafen sind nicht die einzigen Risiken im Zusammenhang mit PCI-Nichtkonformität. Hier sind einige weitere mögliche Konsequenzen der Nichtkonformität:

  • Rechtsstreitigkeiten, die von Personen eingeleitet wurden, deren Daten kompromittiert wurden
  • Rückgang der Verkäufe aufgrund eines beschädigten Rufs und eines Verlusts des Kundenvertrauens
  • Verluste durch Betrug
angle-rightWas sind die Vorteile der PCI-DSS-Konformität?ROC vs SAQangle-right

Präsentation von PCI DSS

PCI DSS Anforderungen

PCI DSS-Konformitätsverfahren, Zeitrahmen und Kosten

Automatisierung der PCI-DSS-Konformität

PCI DSS Werkzeuge und Ressourcen