PCI DSS vs GDPR
Az egyik iparági biztonsági szabvány a kártyaadatokra; a másik EU-s jog minden személyes adatra. Különböző területet fednek le — de átfednek a fizetési kártyákon. Íme, hogyan hasonlíthatók össze, és hogyan lehet egyszerre mindkettőnek megfelelni.
Két keretrendszer, két cél
PCI DSS
A kártyamárkák iparági biztonsági szabványa, amely technikai és operatív követelményeket állapít meg mindazok számára, akik kártyabirtokosi adatokat tárolnak, feldolgoznak vagy továbbítanak.
- Hatókör: fizetési kártyaadatok
- Érvényesítő: kártyamárkák és acquirerek
- Technikai biztonsági kontrollok
GDPR
EU-s jog, amely magánszemélyek személyes adatait védi. Szabályozza a jogalapot, minimalizálást, biztonságot és egyéni jogokat bármely személyes adat kezelésére — beleértve a kártyaszámokat.
- Hatókör: minden személyes adat
- Érvényesítő: EU adatvédelmi hatóságok
- Jogi jogok és kötelezettségek
PCI DSS vs GDPR
| Szempont | PCI DSS | GDPR |
|---|---|---|
| Típus | Iparági szabvány | EU-s jog |
| Érintett adatok | Kártyabirtokosi adatok | Minden személyes adat |
| Érvényesítő | Kártyamárkák és acquirerek | Adatvédelmi hatóságok |
| Fókusz | Technikai biztonság | Jogok, jogalap, minimalizálás |
| Szankciók | Bírságok, magasabb díjak, kártyaelfogadás elvesztése | Akár a globális forgalom 4%-a |
| Hogyan segít a tokenizáció | Hatókört SAQ A-ra csökkenti | Minimalizálás és EU adattárolás |
Egyszerre mindkettőnek megfelelni
A tokenizáció azon ritka lépések egyike, amelyek mindkettőnél segítenek. Azzal, hogy a kártyaadatokat tokenekkel váltja fel, amelyek az európai PCI DSS Level 1 tárolónkban vannak, a PCI hatókört SAQ A-ra csökkenti, és a GDPR szempontjából az adatminimalizálást és a biztonságot is támogatja azzal, hogy a személyes kártyaadatokat kiveszi a rendszereiből — és EU-ban tartja.
PCI DSS vs GDPR — kérdések és válaszok
01 Mi a különbség a PCI DSS és a GDPR között?
A PCI DSS egy iparági biztonsági szabvány a fizetési kártyaadatok védelmére, amelyet a kártyamárkák érvényesítenek. A GDPR egy EU-s jog, amely magánszemélyek összes személyes adatát védi, hatóságok által érvényesítve. A PCI DSS szűk és technikai jellegű; a GDPR tág és jogi — de átfednek egymáson, mert a kártyaszám személyes adat is.
02 A PCI DSS-megfelelőség GDPR-megfelelővé is tesz?
Nem. A PCI DSS a kártyaadatok biztonságát szabályozza, ami segít a GDPR biztonsági követelményének teljesítésével, de a GDPR jogalapot, adatminimalizálást, egyéni jogokat, adatsértés-bejelentést és még sok mást is megkövetel az összes személyes adatra. Kiegészítik egymást, de nem helyettesíthetők.
03 Hogyan segít a tokenizáció mind a PCI DSS-nek, mind a GDPR-nak megfelelni?
A tokenizáció kártyaadatokat tokenekkel helyettesít, amelyek egy külső PCI DSS Level 1 tárolóban vannak. Ez SAQ A-ra csökkenti a PCI hatókört, és a GDPR szempontjából támogatja az adatminimalizálást és a biztonságot azzal, hogy a személyes kártyaadatokat kiveszi a rendszereiből — a PCI Proxy pedig EU-ban tartja azokat.
04 A kártyaadat személyes adatnak minősül a GDPR szerint?
Igen. Egy személyhez köthető fizetési kártyaszám személyes adat a GDPR szerint, így mind a PCI DSS (kártyabirtokos adat), mind a GDPR (személyes adat) hatálya alá esik. Tárolási helyének minimalizálása mindkettő szerinti kötelezettségeket csökkenti.
Minimális, biztonságos és európai kártyaadat
Meséljen adatfolyamatairól, és megmutatjuk, hogyan segít egy európai tároló egyszerre megfelelni a PCI DSS-nek és a GDPR-nak.