DeÜberschneidung van AVG en PCI DSSis een de op het häufigsten missverstandenen Aspekte de digitalen Zahlungsverwaltung in Europa. Viele Bedrijf glauben, dat de Naleving een de beiden Regelgeving uw Kartendatenpflichten erschöpft. Het is falsch: De beiden Regelgeving hebben unterschiedliche Zwecke, überschneiden zich teilweise en kunnen in het Falle een Datenpanne parallele Sancties erzeugen. Het Verständnis de Unterschiede is de Eerste Stap naar het Aufbau een soliden Naleving-Strategie.
AVG en PCI DSS: twee verschiedene Regelgeving, geen Alternativen
De AVG is een Europese Verordnung met Gesetzeskraft, de depersonenbezogenen Gegevensnatürlicher Personen schützt. PCI DSS is een van de Zahlungsnetzwerken (Visa, Mastercard, Amex) definierter Vertragsstandard, deKaartgegevenstijdens Transacties schützt. De AVG geldt voor elke Bedrijf, het personenbezogene Gegevens van Personen in de EU verwerkt. PCI DSS geldt voor elke, de Zahlungskartendaten slaat op, überträgt of verwerkt, unabhängig van het Standort.
De fundamentele Unterschied betreft de Art de Verpflichtung: De AVG legt gesetzliche Vereisten met directe Verwaltungsstrafen fest. PCI DSS creëert vertragliche Pflichten tussen Handelaren, Acquirern en Zahlungsnetzwerken. Een AVG-Verstoß setzt een Bedrijf Verfahren de Aufsichtsbehörde uit. De Nichteinhaltung van PCI DSS voert te kommerziellen Sancties, het Entzug de Fähigkeit, Kaarten te accepteren, en Sanierungskosten, de van het Acquirer auferlegt worden. Geen de Regelgeving ersetzt het andere.
Waar u zich überschneiden: Kaartgegevens tussen AVG en PCI DSS
Kaartgegevensbevatten fast altijd personenbezogene Gegevens: De Namen van de Karteninhabers, de Kontonummer (PAN) en manchmal de Rechnungsadresse. Deze Elemente fallen onder de AVG-Definition personenbezogener Gegevens, sodass derselbe Datensatz beiden Regelwerken unterliegt. De AVG verlangt een Rechtsgrundlage voor de Verwerking, Datensparsamkeit en Betroffenenrechte. PCI DSS verlangt Versleuteling, Zugangskontrolle, Netzwerksegmentierung en kontinuierliche Überwachung deCDE(Cardholder Data Environment).
Sommige Technische Maatregelen vervullen Beide Regelgeving.Tokenisatiebeispielsweise verkleint de Anzahl de Kartendatensätze in het Unternehmensperimeter, wodurch zowel het PCI-Risico als ook de AVG-Exposition in het Falle een Panne sinkt. Versleuteling in het Ruhezustand en bij de Übertragung is van PCI DSS gefordert, is maar ook een AVG-empfohlene Maatregel naar de Risikominderung voor Betroffene. Niet Alle Maatregelen überschneiden zich: Betroffenenrechte (Auskunft, Löschung, Portabiliteit) hebben geen Äquivalent in PCI DSS, en umgekehrt gaan de PCI DSS-Netzwerksegmentierungsanforderungen über het hinaus, Wat het Datenschutzrecht verlangt.
Datenpanne: Meldepflichten en kumulative Sancties
Een Panne met Kaartgegevens löst onder beiden Regelwerken parallele Pflichten uit. De AVG verlangt de Meldung naar de Aufsichtsbehörde innerhalb van72 Urenna Entdeckung, wanneer de Panne een Risico voor de Rechte natürlicher Personen darstellt. Is het Risico hoch, moeten ook de betroffenen Personen direct benachrichtigt worden. PCI DSS verlangt de directe Benachrichtigung van de Acquirers en de Kartennetzwerke, de uw eigenen Incident-Response-Verfahren met obligatorischer forensischer Untersuchung op Kosten van de Handelaar einleiten.
De Sancties heben zich niet gegenseitig op. De Aufsichtsbehörde kan Sancties van tot te4 % van de weltweiten Jahresumsatzesvoor schwerwiegende AVG-Verstöße verhängen. Parallel dazu kan de Acquirer vertragliche Sancties voor PCI DSS-Nichteinhaltung van5.000 tot 100.000 Euro pro Monatverhängen, zusätzlich te Sanierungsprogrammkosten en potenziellen Verlusten via betrügerische Rückbuchungen. Een einzelner Vorfall kan daarom een doppelte finanzielle Exposition erzeugen, de Bedrijf veelvoorkomend unterschätzen, wanneer u het Risico bewerten.
Veelgestelde vragen
Deckt de AVG Kaartgegevens anstelle van PCI DSS ab?
Nein. De AVG schützt personenbezogene Gegevens in het Allgemeinen, einschließlich de in Kaartgegevens enthaltenen Gegevens. PCI DSS befasst zich speziell met de Beveiliging van Betalingsgegevens tijdens de Transaktionsverarbeitung. De beiden Regelgeving gelden kumulativ: De Erfüllung de AVG befreit niet van PCI DSS en umgekehrt. Een Handelaar, de Kaarten akzeptiert, moet Beide einhalten.
Wanneer ik AVG-konform bin, bin ik ook PCI DSS-konform?
Niet unbedingt. De beiden Regelgeving teilen sommige Technische Maatregelen (Versleuteling, Zugangskontrolle, Datensparsamkeit), hebben maar specifieke Vereisten, de zich niet überschneiden. PCI DSS verlangt beispielsweise vierteljährliche Schwachstellenscans, CDE-Netzwerksegmentierung en jaarlijkse Penetratietests. Geen Deze Pflichten is ausdrücklich van de AVG gefordert.
Addieren zich AVG- en PCI DSS-Sancties?
In het Falle een Datenpanne met Kaartgegevens ja. AVG-Sancties worden van de Aufsichtsbehörde verhängt en hebben Verwaltungscharakter. PCI DSS-Sancties worden van het Acquirer vertraglich verhängt. is Het geen Ausgleichsmechanismus: Een Bedrijf kan voor hetselbe Ereignis Sancties van beiden Fronten ontvangen, zusätzlich te forensischen Untersuchungskosten, de Benachrichtigung betroffener Personen en mogelijke Schadensersatzansprüchen.
De Beheer van AVG en PCI DSS met een einzigen Tokenisierungsinfrastruktur verkleint De Expositionsperimeter op beiden Fronten.Ontdek PCI Proxy EU.
Hulp nodig bij PCI-naleving?
Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.
Neem contact op