Szabályozás és GDPR

GDPR és PCI DSS: hogyan teljesíthető egyszerre mindkét szabályozás?

2025. január 25. 9 perces olvasnivaló

A GDPR és a PCI DSS különböző jogi és iparági keretekben gyökereznek, de a fizetési adatokat kezelő vállalkozásoknak mindkettőnek meg kell felelniük. Az együttes megfelelés nem egyszerűen két párhuzamos projekt megvalósítását jelenti – lehetőség van szinergiák kiaknázására is.

GDPR és PCI DSS együttes megfelelés

Az adatminimalizálás: közös nevező

A GDPR 5. cikk (1) bekezdés c) pontja az adatminimalizálás elvét írja elő: csak az adott célhoz szükséges minimális személyes adatot szabad gyűjteni és tárolni. A PCI DSS 3. követelménye (3.1.1) szintén korlátozza a kártyaadatok tárolási idejét a szükséges minimumra. A tokenizáció mindkét elvnek megfelel: a PAN-t a PCI Proxy EU vault-jában tárolja, a kereskedő rendszerében csak egy értéktelen token marad.

Titkosítás: párhuzamos követelmény

Mind a GDPR (32. cikk – megfelelő technikai intézkedések), mind a PCI DSS (3. és 4. követelmény) megköveteli a személyes/kártyaadatok titkosítását tárolásban és átvitelben egyaránt. AES-256 titkosítás és TLS 1.2+ alkalmazása mindkét szabályozásnak megfelel. A PCI Proxy EU infrastruktúrájában FIPS 140-2-tanúsított HSM-ek végzik a titkosítást.

Hozzáférés-ellenőrzés és auditálhatóság

GDPR: az adatokhoz való hozzáférés naplózása és a "need-to-know" elv alkalmazása szükséges. PCI DSS: a 7. és 10. követelmény részletes hozzáférés-ellenőrzési és naplózási kontrollokat ír elő. A PCI Proxy EU API-naplói és az audit trail mindkét szabályozás igényeit kiszolgálja – az ügyfelek számára exportálhatók a megfelelőségi dokumentáció céljára.

Incidens-bejelentési kötelezettség koordinálása

GDPR: 72 óra az adatvédelmi hatóság értesítésére (és szükség esetén az érintett személyek értesítésére). PCI DSS: 24 óra az acquirer és a kártyahálózat értesítésére. Az incidens-elhárítási tervben koordinálni kell a két különböző értesítési határidőt. A PCI Proxy EU tokenizáció esetén az incidens hatóköre szűkebb: ha az incidens a kereskedő rendszerét érinti, ahol csak tokenek vannak, a GDPR-bejelentési kötelezettség kisebb hatókörű.

GDPR és PCI DSS: integrált megfelelési stratégia

Segítünk a tokenizációra alapuló megfelelési stratégia kialakításában, amely egyszerre csökkenti a GDPR és a PCI DSS terheit.

Konzultáljon szakértőnkkel

Kapcsolódó cikkek

Blog

Összes cikk

PCI DSS útmutatók, tokenizáció és fizetésbiztonság.

 Kapcsolat

Konzultáljon PCI-szakértővel

24 órán belül válaszolunk.