A PCI DSS és a GDPR két különböző szabályozási keret – különböző forrásból, különböző hatókörrel és különböző szankciórendszerrel. Mégis sok esetben ugyanaz az adatkör (kártyaadatok + személyes adatok) mindkét szabályozás hatálya alá esik. Ez a cikk pontosan feltérképezi a hasonlóságokat és különbségeket.
Alapvető különbségek: forrás és hatókör
A PCI DSS (Payment Card Industry Data Security Standard) nem jogszabály, hanem iparági szabvány, amelyet a kártyahálózatok (Visa, Mastercard stb.) hoztak létre. Hatóköre kizárólag a kártyabirtokosi adatokra (PAN, CVV, lejárati dátum, PIN) terjed ki. Megszegése kártyahálózati bírságot, acquireri szankciókat és akár a kártyaelfogadó képesség elvesztését vonhatja maga után. A GDPR (General Data Protection Regulation) jogszabály, az Európai Unió rendeletként kötelező hatályú. Hatóköre minden személyes adatra kiterjed, beleértve a kártyabirtokos nevét, e-mail-címét, IP-címét – nemcsak a fizetési adatokat. Megszegése állami adatvédelmi hatóság (pl. NAIH Magyarországon) bírságát és polgári jogi igényeket vonhat maga után.
Átfedési területek: mikor vonatkozik mindkettő?
A kártyaadatokhoz kapcsolódó személyes adatokra (pl. kártyabirtokos neve, számlázási cím) egyidejűleg vonatkozik a GDPR és a PCI DSS. Konkrét példák: adatmegőrzési idők – a GDPR az adatminimalizálás elvét követeli, a PCI DSS maximum 36 hónap megőrzést engedélyez; adattörlési jog – a GDPR 17. cikk szerinti törlési kérelem teljesítése és a PCI DSS megőrzési kötelezettségek összehangolása; adatvédelmi incidens bejelentés – mindkét szabályozás kötelező értesítési eljárást ír elő (GDPR: 72 óra; PCI DSS: 24 óra az acquirer felé).
Praktikus párhuzamos megfelelési stratégia
Hogyan lehet egyszerre megfelelni a PCI DSS-nek és a GDPR-nak? Az adattérkép elkészítése: dokumentálják, hol tárolnak kártyaadatokat (PCI DSS CDE) és személyes adatokat (GDPR); az intézkedések összehangolása: a titkosítás, hozzáférés-ellenőrzés és naplózás mindkét szabályozásnak megfelel; a tokenizáció alkalmazása: eliminálija a PAN-t a kereskedő rendszereiből – csökkenti a PCI DSS CDE-t, és ha az egyéb személyes adatoktól is szeparálják, a GDPR-hatókört is szűkíti; az incidens-elhárítási terv összehangolása a két szabályozás különböző értesítési határidőivel.
PCI DSS és GDPR együttes megfelelés tokenizációval
Szakértőink segítenek a PCI DSS és GDPR kötelezettségek integrált kezelésében, csökkentve a párhuzamos megfelelési terhet.
Konzultáljon szakértőnkkel