A PCI DSS nem jogszabály, de megsértésének következményei súlyosak lehetnek: kártyahálózati bírságok, acquireri szankciók, kriminalisztikai vizsgálat és a kártyaelfogadási jog elvesztése. Ez a cikk részletezi a valós pénzügyi következményeket.
Ki szab ki bírságot a PCI DSS nem-megfelelőségért?
Fontos pontosítás: a kártyahálózatok (Visa, Mastercard, Amex) nem közvetlenül a kereskedőket bírságolják, hanem az acquirer bankot vagy PSP-t. Az acquirer azután továbbterheli a bírságot a kereskedőre (általában szerződéses alapon). Ez azt jelenti: az acquirer közvetítő szerepet játszik a szankciórendszerben, és a szerződési feltételektől függ, hogy mit terhel tovább a kereskedőre.
Kártyahálózati bírságok mértéke
A Visa és Mastercard bírságai nem-megfelelőség esetén: nem-megfelelőségi bírság (SAQ vagy audit be nem nyújtásakor): 5 000–100 000 USD/hónap, a kereskedői mérettől és a nem-megfelelőség időtartamától függően; adatbetörés utáni bírság: 50 000–500 000 USD az érintett kártya-adatok és az incidens körülményeitől függően; kártyacsalás visszatérítés: 50–100 euró/kártya az érintett kártyák újbóli kiadásáért; PFI-vizsgálat kötelező: 50 000–200 000 euró; tranzakciós díjak emelése: nem-megfelelő kereskedők emelt interchange-díjakkal sújthatók.
Kártyaelfogadási jog felfüggesztése
Súlyos vagy ismételt PCI DSS-megsértés esetén az acquirer (kártyahálózati utasításra) felfüggesztheti a kereskedő kártyaelfogadási jogát. Ez a legsúlyosabb szankció: az online kereskedő minden kártyás fizetést elveszít; az e-kereskedelmi bevétel részben vagy teljesen megszűnik; az üzleti életképesség veszélybe kerülhet (különösen online-only vállalkozásoknál). Felfüggesztés általában: bizonyított adatbetörés utáni PCI DSS-helyreállítási kudarc esetén; tartós és szándékos nem-megfelelőség esetén.
Megelőzés: a tokenizáció mint kockázatcsökkentő eszköz
A tokenizáció alapvetően csökkenti a PCI DSS-megsértés kockázatát: ha a PAN nem a kereskedő rendszereiben van, az adatbetörés hatóköre drasztikusan kisebb; kisebb hatókör – kisebb bírság kockázata; SAQ A minősítéssel az acquirer kötelező SAQ-benyújtása könnyebben teljesíthető; incidens esetén a PCI Proxy EU tanúsítványa és auditált biztonsági kontrollja csökkenti a kereskedő felelősségét.
Csökkentse PCI DSS-bírság kockázatát tokenizációval
A PCI Proxy EU tokenizáció eliminálija a PAN-t a kereskedői rendszerből – ez a leghatékonyabb megelőzési stratégia a PCI DSS-bírságok és szankciók ellen.
Konzultáljon szakértőnkkel