Overtredingen van PCI DSS worden niet bestraft door een overheidsinstantie, maar via een privaat systeem van kaartnetwerken en acquirers. Daardoor zijn de sancties paradoxaal genoeg moeilijker te voorspellen: Visa en Mastercard kunnen naar eigen inzicht handelen, en de werkelijke kosten van een overtreding gaan veel verder dan de directe boetes. Eén enkel datalek kan een bedrijf via een combinatie van boetes, herstelkosten, verhoogde transactiekosten en reputatieschade tot faillissement drijven.
Hoe PCI DSS-sancties werken
PCI DSS is geen wet: het is een industrienorm die via contractuele afspraken tussen handelaren, acquirers en kaartnetwerken wordt gehandhaafd. De sanctieketen ziet er als volgt uit:
- Kaartnetwerken (Visa, Mastercard) leggen boetes op aan acquirers voor niet-conforme handelaren in hun portefeuille.
- Acquirers berekenen deze boetes door aan de betrokken handelaar en kunnen eigen aanvullende sancties opleggen.
- Bij een bevestigd datalek kunnen kaartnetwerken hogere sancties opleggen en aanvullend forensisch onderzoek eisen.
De hoogte van de boetes is niet openbaar vastgelegd en varieert per kaartnetwerk, de omvang van de overtreding, het aantal gecompromitteerde kaarten en of de handelaar op dat moment als PCI DSS-conform gold. Schattingen gaan uit van 5.000 tot 100.000 € per maand bij chronische niet-naleving.
De werkelijke kosten van een datalek
De directe boetes vormen slechts een deel van het probleem. De totale kosten van een datalek met kaartgegevens omvatten:
- Forensisch onderzoek (PFI): kaartnetwerken eisen een forensisch onderzoek door een erkende PCI Forensic Investigator. Kosten: doorgaans 20.000-100.000 € of meer voor complexe gevallen.
- Kosten voor het opnieuw aanmaken van kaarten: de handelaar kan (via de acquirer) aansprakelijk worden gesteld voor de kosten van het opnieuw uitgeven van alle gecompromitteerde kaarten. Bij miljoenen kaarten kunnen deze kosten in de miljoenen lopen.
- Fraudeverliezen: aansprakelijkheid voor fraudeverliezen die te herleiden zijn tot gecompromitteerde kaarten (chargeback liability).
- Verhoogde transactiekosten: na een datalek kunnen kaartnetwerken gedurende 1 tot 3 jaar verhoogde transactiekosten opleggen.
- AVG-boetes: in Europa geldt aanvullend de AVG: een datalek met kaartgegevens kan AVG-boetes tot 4% van de wereldwijde jaaromzet met zich meebrengen.
- Herstelkosten: het implementeren van de vereiste beveiligingsverbeteringen onder tijdsdruk en met externe adviseurs.
Verlies van naleving versus datalek: verschillende gevolgen
Er is een belangrijk verschil tussen verlies van naleving (het niet indienen van de SAQ of een mislukte beoordeling zonder bekend lek) en een datalek (daadwerkelijk verlies van kaartgegevens):
- Verlies van naleving leidt doorgaans tot maandelijkse niet-nalevingskosten (20-100 €/maand voor kleinere handelaren) en mogelijke eisen van de acquirer om de naleving te herstellen.
- Een datalek zet het volledige sanctiesysteem in werking: forensisch onderzoek, boetes, kosten voor het opnieuw aanmaken van kaarten, fraudeaansprakelijkheid en mogelijke AVG-sancties.
Het paradoxale is: wanneer een handelaar een datalek krijgt en op het moment van het lek niet PCI DSS-conform was, lopen de boetes aanzienlijk op. Was de handelaar wel conform en is het lek ontstaan ondanks geïmplementeerde controles, dan zijn de sancties doorgaans lager. Naleving verkleint niet alleen het risico op een lek, maar ook de gevolgen ervan.
Veelgestelde vragen
Kan een klein bedrijf failliet gaan door PCI DSS-sancties?
Ja, dat is geen zeldzaamheid. Er zijn gedocumenteerde gevallen waarin kleine handelaren na een datalek met kaartgegevens faillissement moesten aanvragen door de combinatie van boetes, kosten voor forensisch onderzoek, kosten voor het opnieuw aanmaken van kaarten en fraudeverliezen. Voor een klein bedrijf met enkele miljoenen euro omzet kunnen zelfs gematigde lekkosten van 100.000-500.000 € het voortbestaan bedreigen.
Beschermt een cyberverzekering tegen PCI DSS-sancties?
Sommige cyberverzekeringen dekken PCI DSS-gerelateerde kosten, maar de dekking verschilt sterk. Veel polissen sluiten sancties van kaartnetwerken uit of beperken de dekking. Belangrijk: een cyberverzekering is geen vervanging voor PCI DSS-naleving. Veel verzekeraars eisen het bewijs van PCI DSS-naleving als voorwaarde voor dekking. Een niet-conforme handelaar zou kunnen ontdekken dat zijn verzekering bij schade geen dekking biedt.
De beste verzekering tegen PCI DSS-sancties is het wegnemen van het risico: als er geen kaartgegevens in uw systemen zijn opgeslagen, valt er niets te compromitteren. Ontdek PCI Proxy EU.
Hulp nodig bij PCI-naleving?
Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.
Neem contact op