Equifax a été célèbrement condamné à une amende de 425 millions de dollars pour une violation de données en 2017 qui a exposé les informations personnelles de 147 millions de personnes, y compris leurs numéros de carte de crédit. C'est l'une des violations PCI les plus notables depuis l'entrée en vigueur de la norme.
En savoir plus sur les amendes et pénalités potentielles de la PCI ci-dessous.
Quelles sont les conséquences de la non-conformité PCI?
Les entreprises ne sont pas légalement tenues d'être conformes à la PCI, mais les normes sont imposées par les sociétés de cartes de paiement, y compris Visa, Mastercard, American Express, et d'autres grandes marques de cartes.
En tant que tel, la conformité PCI DSS fait partie d'une relation contractuelle entre une banque acquéreuse et les sociétés de cartes de paiement avec lesquelles elle a une relation. La banque acquéreuse répercutera probablement toute amende sur les commerçants et les prestataires de services qui ne se conforment pas à la PCI ou qui ne sont plus en conformité. En retour, ces banques acquéreuses pourraient exiger la conformité PCI DSS de tout commerçant cherchant à se connecter aux services de la banque ou de ceux pouvant impacter la sécurité des données des titulaires de carte.
Les prestataires de services pourraient également être responsables de certaines exigences PCI DSS en fonction des services fournis aux commerçants ou aux organisations qui gèrent les données des titulaires de carte.
En tant que prestataire de services, vous pourriez recevoir une demande d'une organisation pour être conforme au PCI DSS si vos services impactent les données des titulaires de carte gérées par cette organisation ou si vous êtes responsable de certaines exigences PCI DSS que l'organisation doit respecter. Un exemple serait si vous êtes un centre de colocation, vous seriez responsable de la sécurité physique des données des titulaires de carte et vos clients devraient s'assurer que vous respectez les exigences PCI DSS pour ces contrôles.
En plus de faire face à des amendes et des pénalités, ces entreprises subiront probablement des conséquences moins tangibles comme la perte de réputation et de confiance des clients.
Amendes et pénalités PCI DSS
La non-conformité à la PCI DSS peut entraîner des millions de dollars d'amendes. Le montant exact dépend de la société de carte de paiement ainsi que de facteurs tels que la taille de l'entreprise, le nombre de clients affectés, et la durée et le degré de non-conformité.
Il est important de noter que les sociétés de cartes de paiement n'ont pas de données publiées sur les amendes et pénalités qu'elles peuvent imposer pour les violations de la PCI DSS. Cependant, nous pouvons avoir une idée du coût des violations de la PCI DSS pour les commerçants en examinant des exemples de violations de données dans le monde réel et les règlements subséquents. Voici quelques exemples les plus remarquables.
Target - 292 millions de dollars
En 2013, des pirates ont volé des données de jusqu'à 40 millions de cartes de crédit et de débit de clients ayant visité les magasins Target pendant la saison des fêtes.
Les procureurs généraux du Connecticut et de l'Illinois ont mené une enquête sur la violation et découvert que les cyber-attaquants avaient accédé au serveur de passerelle de Target via des informations d'identification volées à un fournisseur tiers.
En conséquence, Target a accepté de payer 18,5 millions de dollars pour résoudre l'enquête multi-États et régler les réclamations de 47 États et du District de Columbia. Cela s'ajoute aux 10 millions de dollars qu'ils ont payés pour résoudre une action collective antérieure ainsi qu'aux amendes qu'ils ont payées aux sociétés de cartes de paiement et aux banques, notamment :
- 19 millions de dollars à Mastercard
- 67 millions de dollars à Visa
- 39,4 millions de dollars aux banques et aux coopératives de crédit pour les pertes et les coûts liés à la violation
En ajoutant le coût des frais juridiques, le coût total de leur non-conformité PCI a été rapporté comme étant de 292 millions de dollars dans leur rapport financier annuel de 2016.
Heartland Payment Systems - 140 millions de dollars
En 2008, des pirates ont lancé une attaque massive contre Heartland Payment Systems et ont emporté jusqu'à 130 millions de cartes de débit et de crédit.
Heartland a dû payer des millions en amendes et frais juridiques, y compris :
- 60 millions de dollars à Visa
- 41 millions de dollars à Mastercard
- 5 millions de dollars à Discover
- 3,5 millions de dollars à American Express
- 26 millions de dollars en frais juridiques
Il a également été interdit de traiter les paiements des principaux fournisseurs de cartes de crédit pendant 14 mois suite à la découverte de la violation.
TJX - 256 millions de dollars
En 2007, TJX a annoncé que 46 millions de comptes de cartes de crédit et de débit avaient été piratés lors d'une violation de données remontant à 2003. Il a été découvert plus tard qu'au moins 94 millions de clients avaient été affectés.
TJX a dû payer des millions d'amendes aux marques de paiement, y compris 41 millions de dollars à Visa et 24 millions de dollars à Mastercard. Il a également payé 9,75 millions de dollars dans un règlement multi-États.
Outre d'autres amendes et frais juridiques, le coût total de la violation a été estimé à 256 millions de dollars.
Coûts d'une violation de données
Une violation de données de cartes de crédit peut coûter des milliers de dollars à votre entreprise en réponse aux incidents et en remédiation : enquêtes médico-légales, frais juridiques, coûts d'audit de la FTC, coûts de notification des détenteurs de cartes, coûts de compensation des clients — même payer des taux plus élevés aux banques et aux processeurs de paiement.
Et cela ne couvre même pas la perte de fidélité des clients et la réputation de la marque.
Toute violation compromettant les données des titulaires de carte fait automatiquement passer votre entreprise au niveau de conformité PCI 1, quel que soit le nombre de transactions traitées. La conformité de niveau 1 nécessite une évaluation complète par un QSA.
Perte de licence de marchand
Les sociétés de cartes de paiement ne pénalisent pas directement les commerçants pour non-conformité. Elles pénalisent à la place les banques acquéreuses qui traitent les transactions par carte de crédit des commerçants. Les banques acquéreuses répercutent alors probablement ces amendes sur les commerçants.
En conséquence, les commerçants peuvent faire face à des pénalités supplémentaires pour non-conformité PCI de la part des banques. Par exemple, la banque peut augmenter ses frais de transaction par carte de crédit, mettre en œuvre des exigences d'audit plus strictes ou mettre fin à sa relation avec le commerçant.
Si votre licence de marchand est révoquée, vous ne pourrez plus accepter de paiements par carte de crédit.
Risques supplémentaires de non-conformité PCI
Les amendes coûteuses ne sont pas les seuls risques en matière de non-conformité PCI. Voici quelques autres conséquences potentielles de la non-conformité :
- Action en justice intentée par des individus dont les données ont été compromises
- Diminution des ventes en raison d'une réputation endommagée et d'une perte de confiance des clients
- Pertes dues à la fraude