Händler, die mehr als sechs Millionen Kreditkarten-Transaktionen jährlich abwickeln, müssen die zwölf Richtlinien ab sofort einhalten - sonst drohen finanzielle Sanktionen. Für kleinere Händler (ab einer Million getätigter Umsätze) gilt das erst ab dem kommenden Jahr. John Pironti, Risikomanager bei Getronics, attestiert vielen US-Unternehmen zwar den Willen, die Compliances in der geforderten Zeit zu erreichen, sieht aber noch massive Probleme bei der Umsetzung: "Die Händler schaffen es nicht, alle Geschäftsprozesse dermaßen schnell an die Richtlinien anzupassen." Andere Händler missachteten die Regeln mit voller Absicht, wie Michael Gavin von Security Innovation feststellt: "Sie wollen zunächst ermitteln, was genau die Auditoren von ihnen verlangen, um nicht bereits im Vorfeld an den falschen Stellen Innovationen zu schaffen." Auch die Tatsache, dass bei Nichteinhaltung des Datenschutzes lediglich Geldbußen und keine Freiheitsstrafen drohten, halte nach Ansicht von Pironti Unternehmen davon ab, vergleichsweise viel Geld in die Hand zu nehmen und Änderungen durchzusetzen. Rob Warmack, Berater bei TripWire, sieht das Kernproblem eher in der Mentalität jedes einzelnen Unternehmers: "Händler, die sich entschlossen haben, den Standard fristgerecht umzusetzen, halten sich oft nur an die Vorgaben der Auditoren, die ihnen die Compliance bescheinigen. Die eigentliche Idee hinter den neuen Regeln, den Datenschutz unabhängig von Kontrollen in den Geschäftsprozessen und später auch den Köpfen der Händler zu manifestieren, wird dadurch aber verfehlt." (sh)