EenDatenpanne bij Betalingenlöst gleichzeitig twee getrennte regulatorische Rahmen uit: de AVG, de voor Alle personenbezogenen Gegevens geldt, en PCI DSS, het voor Kaartgegevens geldt. De Kosten een solchen Panne gaan weit über het unmittelbare Boete hinaus en omvatten forensische Kosten, Benachrichtigungskosten naar de betroffenen Personen, Kosten voor de Kartenneuausstellung en De Reputationsschaden. Het Verständnis van de Volledige Schadenbildes is de Eerste Stap naar de Implementatie een angemessenen Präventivstrategie.
AVG-Meldepflicht: de 72-Uren-Frist
Artikel 33 de AVG verpflichtet De Datenverantwortlichen (De Handelaar of het Bedrijf, het de Gegevens verwerkt), een Datenpanne innerhalb van72 Urenna Kenntnisnahme naar de zuständige Datenschutzbehörde te melden, außHet wanneer unwahrscheinlich is, dat de Panne een Risico voor de Rechte en Freiheiten natürlicher Personen darstellt. Bij Betalingsgegevens, de per Definition sensibel zijn, is Dit Risico fast altijd gegeben. Wanneer Zahlungskartendaten en damit verbundene personenbezogene Gegevens (Name, E-Mail, Adresse) betroffen zijn, is de Meldung obligatorisch.
Darover hinaus verpflichtet Artikel 34 naar de Benachrichtigung de betroffenen Personen, wanneer de Panne een hohes Risico darstellt, Wat bij Betalingsgegevens fast altijd de Fall is. Deze Benachrichtigung moet klar, in verständlicher Taal en concreet in Bezug op de Maatregelen naar het Bescherming de betroffenen Personen sein. AVG-Boetes voor verspätete Meldungen of unzureichende Sicherheitsmaßnahmen kunnen tot te4 % van de weltweiten Jahresumsatzesof 20 Millionen Euro erreichen, u nachdem, Welke Betrag höher is.
PCI DSS-Sancties en forensische Kosten
Op de PCI-Pagina initiëren de Kartennetzwerke (Visa, Mastercard) na de Meldung een Datenpanne, de Kaartgegevens betreft, een Untersuchung via een zugelassenenPFI(PCI Forensic Investigator). De forensischen Kosten, in de Regel tussen 15.000 € en 100.000 € u na Bereik de Untersuchung, worden van het betroffenen Handelaar getragen. Wanneer de Untersuchung Nichteinhaltung van PCI DSS bestätigt, verhängen de Netwerken Sancties über De Acquirer, de u über De Händlervertrag op De Handelaar überträgt.
Netzwerkstrafen zijn niet öffentlich en variieren u na Schwere en Häufigkeit. De beschikbare Schätzungen variieren tussen5.000 € en über 100.000 € pro Monatvoor de Dauer de Nichteinhaltung of tot naar de Beseitigung de Datenpanne. Hinzu kommen de Kosten voor de Kartenneuausstellung (de Kreditkartenaussteller kunnen van het Handelaar tot te12,50 $ pro betroffener Kaartberechnen), Benachrichtigungskosten en ReputationsschäDe, de moeilijk te quantifizieren zijn, maar erhebliche langfristige Gevolgen op Omzet en Kundenvertrauen hebben.
Hoe Tokenisatie De Schaden begrenzt
De entscheidende Voordeel de Tokenisatie in het Kontext van Datenpannen is konzeptionell eenvoudig: Wanneer de Handelaar geen Klartext-PANin seinen Systemen slaat op, worden selbst in het Falle een Volledige Systemkompromisses geen Kaartgegevens kompromittiert. Dies heeft directe Gevolgen op Beide regulatorischen Rahmen.
- Voor deAVG: De Panne kan weiterhin personenbezogene Gegevens (E-Mail, Adresse, Kaufhistorie) betreffen, maar het Risico is geringer, da geen Zahlungsinformationen kompromittiert worden, de te sofortigem Finanzbetrug führen könnten. Dies kan De Schweregrad de Panne en de damit verbundenen Boetes verkleinen.
- VoorPCI DSS: Wanneer de kompromittierten Systemen geen PAN enthielten, wordt de Panne technisch niet te een "PCI-Datenpanne". PFI-Untersuchungskosten en Kartennetzwerkstrafen entfallen of zijn drastisch verkleint.
- In Bezug op deKartenneuausstellung: Zonder PAN in het Klartext moeten de Aussteller geen Kaarten neuausstellen, Wat Gebühren van tot te12,50 $ pro Kaartvermijdt.
Veelgestelde vragen
Wat passiert, wanneer een Handelaar een Zahlungsdatenpanne niet innerhalb van 72 Uren meldet?
riskiert AVG-Boetes zowel voor de Datenpanne selbst als ook voor de verspätete Meldung. Nationale Datenschutzbehörden kunnen administrative Sanktionen verhängen, Korrekturmaßnahmen auferlegen en in het schlimmsten Fall de Aussetzung bestimmter Datenverarbeitungsaktivitäten anordnen. Verspätete Meldungen worden van de Behörden als erschwerender Umstand betrachtet.
Kan de Handelaar van de Kosten de forensischen Untersuchung ausgenommen worden?
In het Allgemeinen nein, außHet in Sonderfällen. Wanneer de Handelaar echter nachweist, dat Het naar het Zeitpunkt de Panne volledig PCI DSS-konform Wat (gültige AOC, geen Klartext-PAN in Systemen), kunnen sommige Netwerken op bestimmte Sancties of Benachrichtigungsgebühren verzichten. Een reduzierter Bereik via Tokenisatie is de meest effectieve Weg, om het finanzielle Risico een mogelijke Panne te senken.
Hoe trägt de Kosten voor de Kartenneuausstellung bij een Handelaar?
De Kartenneuausstellungskosten worden in de Regel zunächst van de Kartenausstellern getragen, de u dann über Netzwerkstrafen en Acquirer-Durchsetzung op De Handelaar übertragen. De Acquirer-Rückforderungsklauseln in Händlerverträgen maken mogelijk De Acquirern, Deze Kosten direct uit zukünftigen Settlements van de Handelaar naar deückzufordern. In schweren Fällen kan de Acquirer de Rückforderung in een separaten Rechtsverfahren geltend maken.
Möchten U verstehen, Hoe Tokenisatie het finanzielle Risico een mogelijke Datenpanne elimineert?Ontdek PCI Proxy EU.
Hulp nodig bij PCI-naleving?
Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.
Neem contact op