it-swarm.com.de

Der Händler hat mir eine E-Mail mit allen meinen Kreditkarteninformationen gesendet

Gibt es einen Ort, an dem ein Verbraucher eine Beschwerde wegen missbräuchlicher Verwendung von Kreditkarteninformationen einreichen kann?

Ich gab meine Kreditkarte einer Abschleppfirma und sie schickte mir eine Quittung per E-Mail mit allen meinen Kreditkarteninformationen im Feld Notizen. Die gesendete E-Mail ist in keiner Weise sicher.

Gibt es eine Regierungsbehörde, bei der ich eine Beschwerde einreichen kann? Ich glaube, meine Kreditkarte ist jetzt kompromittiert und ich werde sie stornieren und neu ausstellen lassen. Ich glaube nicht, dass diese Firma eine Ahnung hat, in welches Risiko sie ihre Firma einbringt.

61
Jim Skov

(Hinweis: Kein PCI-QSA, nur einige PCI- und PII-Inhalte)

Ein Verstoß gegen den Datensicherheitsstandard der Zahlungskartenindustrie ist kein Verstoß gegen das Gesetz. Die PCI DSS ist eine Vereinbarung zwischen den Zahlungskartenunternehmen (VISA usw.) und den Verarbeitern darüber, wie Daten gesichert werden.

Die Abschleppfirma verstößt damit wahrscheinlich gegen eine Vereinbarung mit ihrem Verarbeiter - und wäre mit ziemlicher Sicherheit bei durchgesickerten Informationen haftbarer.

Wenn in der E-Mail der Kreditkartenverarbeiter angegeben ist, können Sie ihn kontaktieren. Sie können sich auch direkt an die Abschleppfirma wenden. Schließlich sollten Sie, wie @Matthew vorschlägt, die Bank informieren, wenn Sie kündigen.

Eine weitere Möglichkeit besteht darin, sich die Statuten für personenbezogene Daten in Ihrem Bundesstaat anzusehen (vorausgesetzt, Sie befinden sich in den USA). Die PII-Statuten variieren stark je nach Standort. Sie betrachten jedoch die Kreditkartennummer (als PAN bezeichnet) als PII (zusammen mit den anderen persönlichen Informationen, die vermutlich in dieser E-Mail enthalten sind). Wenn Ihr Standort einen Datenschutzbeauftragten hat, können Sie ihn bei dieser Abteilung ansprechen. Die meisten PII-Gesetze schreiben vor, dass Unternehmen PII mit angemessener Sorgfalt behandeln müssen, und es gibt in vielen Ländern erhebliche Strafen, wenn sie dies nicht tun.

Für PCI können Sie dieses Infoblatt zur Meldung Verstöße einsehen

57
crovers

Ich gehe von "Government" == "US" aus, da es NOS ist.

Gibt es eine Regierungsbehörde, bei der ich eine Beschwerde einreichen kann?

Nicht wirklich. Die Regierung hat begann sich auf große Verstöße einzulassen , aber sie befasst sich nicht mit kleinen Dingen. PCI-Anforderungen, die den Schutz regeln, den Händler beim Umgang mit Kartendaten anwenden müssen, sind einwilligungsbasierte nichtstaatliche Beschränkungen. Sie können nicht wegen Verstoßes gegen PCI verhaftet werden, da dies kein Gesetz ist.

Sie könnten sicherlich versuchen, sich bei Verbraucherschutzbehörden zu beschweren, was als Beschwerde gilt, aber es wird nicht viel bewirken.

Sie könnten eine Klage einreichen. Es wird Sie mit ziemlicher Sicherheit mehr kosten, als Sie erwarten können, um zu gewinnen, zu gewinnen oder zu verlieren.

Ich glaube, meine Kreditkarte ist jetzt kompromittiert und ich werde sie stornieren und neu ausstellen lassen.

Stellen Sie dabei klar, dass der Grund dafür die unverschlüsselte Übertragung von Klartextkartendaten durch den Händler ist. Es gibt Bußgelder für PCI-Verstöße , und die einzige Chance, dass sie eintreten, besteht darin, dass ein Verstoß vorliegt oder ein erhebliches Muster von Beschwerden auftritt. (Für ein Abschleppunternehmen ist die Wahrscheinlichkeit, dass Beschwerden auf ein Niveau steigen, das Geldstrafen auslösen würde, nahe Null.)

Wenn Sie herausfinden können, wer sie sind und wie Sie sich bei ihnen beschweren können, können Sie sich beim Kreditkartenverarbeiter des Händlers beschweren. Die gleichen Vorbehalte gelten für niemanden, der sich Beschwerden über Strampler anhört. Nur Muster weit verbreiteten Fehlverhaltens lösen wahrscheinlich eine Reaktion aus.

Ich glaube nicht, dass diese Firma eine Ahnung hat, in welches Risiko sie ihre Firma einbringt.

Nun, das sind sie nicht wirklich. Das System bestraft nur ungeheure Fehler, nicht die Nichteinhaltung von Werbebuchungen. Kleine Kaufleute sind effektiv im Ehrensystem und werden keiner unparteiischen Prüfung unterzogen. Es ist nicht fair, aber das Leben auch nicht.

Um ehrlich zu sein, ist es wahrscheinlich, dass die effektivste Antwort darin besteht, sich an den Händler zu wenden und ihm mitzuteilen, dass das Senden einer PAN (Kartennummer) per unverschlüsselter E-Mail von seiner Kreditkarte nicht zulässig ist Verarbeitungsvereinbarung und bitten Sie sie, ihre Systeme so zu ändern, dass alle bis auf die letzten 4 Ziffern maskiert werden. Wenn Sie dies höflich und nicht aggressiv tun, tun sie dies möglicherweise sogar. (Wenn Sie sich ihnen negativ oder zurechtweisend nähern, Sie sollten erwarten, dass sich nichts ändert, außer ihrer Bereitschaft, Sie beim nächsten Ausfall abzuschleppen.

14
gowenfawr

Warnung: USA-zentrierte Antwort, die Frage fragt nach einer Regierung ohne Angabe einer Gerichtsbarkeit :(

Mehr oder weniger.

Wenn "Alle Kreditkarteninformationen" das Ablaufdatum oder die Ziffern der anderen Kartennummer als die letzten fünf enthalten, stellt dies auf einer Quittung einen Verstoß gegen FACTA dar, sodass Sie diese auch selbst verklagen können.

Die FTC-Website enthält Details .

Die wichtigsten Teile:

Gemäß dem Bundesgesetz über faire und genaue Kredittransaktionen (FACTA) müssen die elektronisch gedruckten Kredit- und Debitkartenbelege, die Sie Ihren Kunden geben, die Kontoinformationen verkürzen oder kürzen. Sie dürfen nicht mehr als die letzten fünf Ziffern der Kartennummer angeben und müssen das Ablaufdatum der Karte löschen.

und

Die Nichteinhaltung könnte ein Unternehmen für eine FTC Strafverfolgungsmaßnahme öffnen, einschließlich zivilrechtlicher Sanktionen und Unterlassungsansprüchen. Darüber hinaus erlaubt das Gesetz den Verbrauchern, nicht konforme Unternehmen zu verklagen und Schadensersatz und Anwaltskosten zu erheben.

FACTA gilt jedoch nur für "elektronisch gedruckte" Quittungen, und die Gerichte in Simonoff gegen Expedia haben festgestellt, dass dies keine E-Mail enthält.

Das Gramm-Leach-Bliley-Gesetz verlangt jedoch auch, dass Unternehmen die Finanzinformationen der Kunden schützen, und die FTC gibt ein relevantes Beispiel :

Ergreifen Sie Maßnahmen, um die sichere Übertragung von Kundeninformationen zu gewährleisten. Zum Beispiel:

  • Verwenden Sie beim Übertragen von Kreditkarteninformationen oder anderen vertraulichen Finanzdaten eine SSL (Secure Sockets Layer) oder eine andere sichere Verbindung, damit die Informationen während der Übertragung geschützt werden.
  • Wenn Sie Informationen online direkt von Kunden sammeln, stellen Sie sicher, dass die Übertragung automatisch erfolgt. Warnen Sie Kunden davor, vertrauliche Daten wie Kontonummern per E-Mail oder als Antwort auf eine unerwünschte E-Mail oder Popup-Nachricht zu übertragen.
  • Wenn Sie vertrauliche Daten per E-Mail über das Internet übertragen müssen, müssen Sie die Daten verschlüsseln.

Es hört sich sicherlich so an, als wären sie in diesem Bereich nicht fleißig, und es wäre sicherlich kein Problem, eine FTC - Beschwerde einzureichen.

6
Ben Voigt