Equifax fue notoriamente multada con 425 millones de dólares por una violación de datos en 2017 que expuso la información personal de 147 millones de personas, incluidos sus números de tarjetas de crédito. Es una de las violaciones de PCI más notables desde que el estándar entró en vigor.
Obtenga más información sobre posibles multas y sanciones de PCI a continuación.
¿Cuáles son las consecuencias del incumplimiento de PCI?
Las empresas no están legalmente obligadas a cumplir con PCI, pero los estándares son requeridos por empresas de tarjetas de pago como Visa, Mastercard, American Express y otras grandes marcas de tarjetas.
Como tal, la conformidad con PCI DSS es parte de una relación contractual entre un banco adquirente y las empresas de tarjetas de pago con las que tiene una relación. Es probable que el banco adquirente transfiera las multas a los comerciantes y proveedores de servicios que no sean conformes a PCI o que no mantengan la conformidad. A su vez, estos bancos adquirentes podrían requerir conformidad con PCI DSS de todos los comerciantes que desean conectarse con los servicios del banco o cuya conexión podría comprometer la seguridad de los datos del titular de la tarjeta.
Los proveedores de servicios también podrían ser responsables de ciertos requisitos de PCI DSS según los servicios que ofrezcan a comerciantes u organizaciones que gestionen datos de titulares de tarjetas.
Como proveedor de servicios, una organización podría requerirle que cumpla con PCI DSS si sus servicios afectan los datos de titulares de tarjetas gestionados por esa organización o si usted es responsable de ciertos requisitos de PCI DSS que la organización debe cumplir. Un ejemplo sería si usted es un centro de colocación, sería responsable por la seguridad física de los datos del titular de la tarjeta, y sus clientes necesitarían asegurarse de que usted cumpla con los requisitos de PCI DSS para estos controles.
Además de las multas y sanciones, es probable que estas empresas sufran consecuencias menos tangibles como la pérdida de reputación y confianza de los clientes.
Multas de PCI DSS
El incumplimiento de PCI DSS puede conllevar multas de millones de dólares. El monto exacto depende de la empresa de tarjetas de pago y de factores como el tamaño de la empresa, la cantidad de clientes afectados y la duración y gravedad del incumplimiento.
Es importante notar que las empresas de tarjetas de pago no publican datos accesibles al público sobre las multas y sanciones que pueden imponer por incumplimientos de PCI DSS. Sin embargo, podemos hacernos una idea de cuánto podrían costar los incumplimientos de PCI DSS a los comerciantes viendo ejemplos de violaciones de datos reales y los acuerdos posteriores. A continuación se presentan algunos de los ejemplos más notables.
Target - 292 millones de dólares
En 2013, los hackers robaron los datos de hasta 40 millones de tarjetas de crédito y débito de compradores que visitaron las tiendas Target durante la temporada de vacaciones.
Los fiscales generales de Connecticut e Illinois llevaron a cabo una investigación de la violación y descubrieron que los ciberatacantes accedieron al servidor Gateway de Target mediante credenciales robadas de un proveedor externo.
Como resultado, Target acordó pagar 18,5 millones de dólares para resolver la investigación multiestatal y subsanar las reclamaciones de 47 estados y el Distrito de Columbia. Esto fue adicional a los 10 millones de dólares que pagaron para resolver una demanda colectiva anterior, así como a las multas que pagaron a las empresas de tarjetas de pago y bancos, incluyendo:
- 19 millones de dólares a Mastercard
- 67 millones de dólares a Visa
- 39,4 millones de dólares a bancos y cooperativas de crédito por pérdidas y costos relacionados con la violación
Teniendo en cuenta los honorarios de abogados, el costo total de su incumplimiento de PCI, según su informe corporativo de 2016, ascendió a 292 millones de dólares.
Heartland Payment Systems - 140 millones de dólares
En 2008, los piratas informáticos lanzaron un ataque masivo contra Heartland Payment Systems y robaron hasta 130 millones de tarjetas de débito y crédito.
Heartland tuvo que pagar millones en multas y honorarios de abogados, incluyendo:
- 60 millones de dólares a Visa
- 41 millones de dólares a Mastercard
- 5 millones de dólares a Discover
- 3,5 millones de dólares a American Express
- 26 millones de dólares en honorarios de abogados
Después de descubrirse la violación, estuvo excluida durante 14 meses de procesar pagos de los principales proveedores de tarjetas de crédito.
TJX - 256 millones de dólares
En 2007, TJX anunció que 46 millones de cuentas de tarjetas de crédito y débito fueron hackeadas en una violación de datos que se remonta a 2003. Posteriormente se descubrió que al menos 94 millones de clientes se vieron afectados.
TJX tuvo que pagar millones en multas a los emisores de tarjetas, incluyendo 41 millones de dólares a Visa y 24 millones de dólares a Mastercard. También pagó 9,75 millones de dólares en un acuerdo multiestatal.
Además de otras multas y honorarios legales, se estimó que el costo total de la violación fue de 256 millones de dólares.
Costos de una violación de datos
Una violación de datos de tarjetas de crédito puede costarle a su empresa miles en respuesta a incidentes y mitigación de daños: investigaciones forenses, honorarios legales, costos de auditoría de la FTC, costos de notificación a los clientes, costos de compensación a los clientes, e incluso tasas de pago más altas a los bancos y procesadores de pagos.
Y eso ni siquiera cubre la pérdida de lealtad del cliente y la reputación de la marca.
Cualquier violación que comprometa los datos del titular de la tarjeta también dará lugar automáticamente a que su empresa sea clasificada en el nivel 1 de cumplimiento de PCI, sin importar cuántas transacciones realice. El cumplimiento del nivel 1 requiere una evaluación completa del Informe de Cumplimiento por un QSA.
Pérdida de la licencia de comerciante
Las empresas de tarjetas de crédito no penalizan directamente a los comerciantes por el incumplimiento. En cambio, penalizan a los bancos que procesan los pagos de los comerciantes. Los bancos adquirentes luego probablemente transfieran estas penas a los comerciantes.
Como resultado, los comerciantes pueden esperar sanciones adicionales por el incumplimiento de PCI de parte de los bancos. Por ejemplo, el banco podría aumentar sus tarifas de transacciones con tarjetas de crédito, implementar requisitos de auditoría más estrictos o terminar la relación con el comerciante por completo.
Si su licencia de comerciante es revocada, no podrá aceptar pagos con tarjetas de crédito.
Riesgos adicionales de incumplimiento de PCI
Las multas costosas no son los únicos riesgos de la no conformidad con PCI. Aquí hay algunas consecuencias potenciales adicionales de la no conformidad:
- Procedimientos legales de personas cuyos datos han sido comprometidos
- Disminución de las ventas debido a la reputación dañada y la pérdida de la confianza de los clientes
- Pérdidas por fraude