DeÜberschneidung van AVG en PCI DSSverursacht bij vielen Bedrijf, de Kartenzahlungen accepteren, erhebliche Verwirrung. De Annahme, dat de beiden Regelgeving gleichwertig seien of dat de Erfüllung een Rahmens automatisch het andere abdeckt, is unzutreffend en potenziell kostspielig. AVG en PCI DSS entstammen unterschiedlichen Kontexten, regels verschiedene Aspekte en aktivieren in het Falle een Verstoß separate Strafmechanismen, de zich kumulieren kunnen. Het Verständnis de konkreten Unterschiede is unerlässlich, om een Naleving-Strategie aufzubauen, de geen Flanke offenlässt.
AVG vs. PCI DSS: unterschiedliche Ziele, unterschiedliche Pflichten
De AVG is een Europese Verordnung met unmittelbarer Rechtskraft in allen Mitgliedstaaten. Uw Ziel is de Bescherming de Grundrechte natürlicher Personen in het Zusammenhang met de Verwerking uw personenbezogenen Gegevens. U geldt voor Elke Organisatie, de Gegevens natürlicher Personen in de EU verwerkt, unabhängig van het Sektor. PCI DSS hingegen is een technischer en vertraglicher Standaard, de van hetPCI Security Standaarden Councilgefördert wordt, het Gremium de großen Kartennetzwerke. Sein Ziel is de Bescherming van Betalingsgegevens tijdens Transacties en de Reduzierung van Betrug. Het geldt voor elke, de Zahlungskartendaten de teilnehmenden Netwerken slaat op, überträgt of verwerkt.
De konkreten Pflichten zijn unterschiedlich. De AVG verlangt een Rechtsgrundlage voor Elke Verwerking, de Beantwortung van Betroffenenrechten (Auskunft, Löschung, Portabiliteit), de Bestelling eenDatenschutzbeauftragten (DSB)in bestimmten Fällen, de Führung van de Verzeichnisses van Verarbeitungstätigkeiten en de obligatorische Meldung naar de Aufsichtsbehörde in het Falle een Inbreuk innerhalb van72 Uren. PCI DSS fordert de Versleuteling van Kaartgegevens, de Netzwerksegmentierung deCDE, vierteljährliche Schwachstellenscans, jaarlijkse Penetratietests, privilegierte Zugriffsverwaltung metMFAen kontinuierliche Prüfprotokolle. Sommige Maatregelen zijn gemeinsam (Versleuteling, Zugriffskontrolle), maar de meisten zijn voor elke Standaard spezifisch.
Kaartgegevens onder beiden Regelwerken
Zahlungskartendaten bevatten fast altijd personenbezogene Gegevens: De Namen van de Karteninhabers, de Kontonummer (PAN), het Ablaufdatum en manchmal de Rechnungsadresse. Het betekent, dat dieselbe Datenmenge gleichzeitig via de AVG (als personenbezogene Gegevens) en via PCI DSS (als Betalingsgegevens) geregelt wordt. De Verwerking Deze Gegevens vereist daarom de Naleving beider Regelgeving: Een AVG-Rechtsgrundlage voor de Opslag van Kaartgegevens befreit niet van de PCI DSS-Pflicht, Deze Gegevens te verschlüsseln en met de van het Standaard geforderten Technische Controles te beschermen.
Tokenisatieis een de seltenen Werkzeuge, het op beiden Fronten hilft. De Ersetzung dePANvia een irreversiblen Token verkleint de Anzahl de gefährdeten personenbezogenen Datensätze (AVG-Voordeel) en verkleint DeCDE-Perimeter (PCI DSS-Voordeel). U beseitigt niet Alle Pflichten beider Regelgeving, verkleint echter erheblich De Expositionsbereich en de Gesamtkosten de Naleving. Voor Handelaar, de Kaartgegevens voor terugkerende Bestellingen opslaan, is de Tokenisatie oft de einzige Praktische Oplossing, de gleichzeitig de Vereisten beider Regelgeving erfüllt.
In het Falle een Verstoß: Meldepflichten en kumulative Sancties
Een Verstoß, de Kaartgegevens offenlegt, löst onder beiden Regelwerken separate Meldepflichten uit. Na de AVG moet de Verantwortliche de Aufsichtsbehörde innerhalb van72 Urenna Entdeckung benachrichtigen, sofern de Verstoß een Risico voor de Rechte en Freiheiten de Betroffenen darstellt. Is het Risico hoch, moeten ook de Betroffenen selbst benachrichtigt worden. Na PCI DSS moet de Handelaar De Acquirer direct benachrichtigen en De Incident-Response-Verfahren van de Zahlungssystems folgen, de typischerweise een obligatorische forensische Untersuchung op Kosten van de Handelaar omvatten.
De Sancties schließen zich niet gegenseitig uit. De Aufsichtsbehörde kan bij schwerwiegenden AVG-Verstößen tot te4 % van de weltweiten Jahresumsatzesverhängen. De Acquirer kan vertraglich PCI DSS-Sancties van einigen tausend Euro pro Monat voor fortlaufende Nichteinhaltung tot hin te erheblichen Einmalstrafen in het Falle een dokumentierten Verstoß verhängen. Hinzu kommen de Kosten voor forensische Untersuchungen (van50.000 tot 500.000 Eurobij een mittelschweren Verstoß), de Erstattung betrügerischer Rückbuchungen bij kompromittierten Kaarten en mogelijke Kartenersatzkosten de Aussteller. De doppelte regulatorische Exposition maakt een Verstoß te een Ereignis met Kosten, de weit über de Risikoabschätzungen hinausgehen, wanneer de Wechselwirkung beider Regelgeving niet berücksichtigt wordt.
Veelgestelde vragen
Stimmt de AVG-Verantwortliche met het PCI-Handelaar überein?
Niet unbedingt. Een Handelaar kan AVG-Verantwortlicher (entscheidet über de Zwecke de Kundendatenverarbeitung) en gleichzeitig PCI-Handelaar (akzeptiert Kartenzahlungen) sein. Wanneer de Handelaar echter een Zahlungsdienstleister gebruikt, is Deze Aanbieder in de Regel AVG-Auftragsverarbeiter voor Kaartgegevens en PCI DSS-Dienstverlener. De beiden Verantwortungsketten existieren parallel en moeten met geeigneten Vereinbarungen formalisiert worden (AVV voor AVG, Dienstleistungsvereinbarung met PCI-Bescheinigung voor PCI DSS).
Entspricht de AVG-Pseudonymisierung de PCI-Tokenisatie?
handelt zich om verwandte, maar niet gleichwertige Konzepte. De AVG-Pseudonymisierung (Art. 4) is een Verfahren, het personenbezogene Gegevens zonder zusätzliche Informationen niet Meer een bestimmten betroffenen Person zuordenbar maakt. De PCI-Tokenisatie ersetzt de PAN via een irreversiblen Token in het Händlerkontext. Een starke Tokenisatie kan de AVG-Kriterien voor Pseudonymisierung vervullen, maar de AVG-Pseudonymisierung impliziert niet automatisch de Naleving met de Technische PCI DSS-Tokenisierungsanforderungen. Beide Standaarden moeten separat überprüft worden.
Moet ik een DSB benennen, wanneer ik Kartenzahlungen akzeptiere?
De Pflicht naar de Benennung een Datenschutzbeauftragten hängt van de Art en het Bereik de Verwerking ab, niet speziell van de Kartenakzeptanz. Een durchschnittlicher E-Commerce-Handelaar is niet automatisch verpflichtet, een DSB te benennen, alleen omdat Het Kaarten akzeptiert. De Pflicht geldt voor Bedrijf, de Gegevens in großem Bereik verwerken, een systematische Überwachung van Betroffenen durchführen of besondere Kategorien van Gegevens verwerken. Konsultieren U Uw Rechtsberater voor een specifieke Bewertung.
Doppelte Naleving met een einzigen Integratie: Tokenisatie verkleint gleichzeitig de AVG- en PCI DSS-Exposition.Ontdek PCI Proxy EU.
Hulp nodig bij PCI-naleving?
Ons team helpt u uw CDE in kaart te brengen, het juiste SAQ te kiezen en tokenisatie te implementeren met gegevensresidentie in de EU.
Neem contact op