No, ya, no dudo de que la empresa tendrá las espaldas bien cubiertas.
Yo me refiero a algo más sencillo como que han pillado tu contraseña y tu mail, como eres tan torpe de usar la misma contraseña del correo en sitios de compras acceden a tu mail, por ahí a tu tarjeta ... et voila.
Ahora tus datos de tarjeta no eran vulnerables en el sitio y no han accedido a ellos, pero te han jodido igual y la responsabilidad, aunque empieza por uno mismo, tiene que ser de alguien ya que no te han hackeado el mail o robado el ordenador con la sesión iniciada.