Wielu europejskich sprzedawców błędnie traktuje PCI DSS i RODO jako alternatywne systemy compliance – jakby spełnienie jednego zwalniało z drugiego. To poważny błąd: oba mają zastosowanie jednocześnie do danych kart płatniczych, mają różne organy nadzorcze i nakładają niezależne sankcje. Możesz naruszyć oba jednocześnie i otrzymać kary z obu systemów.
Fundamentalne różnice między PCI DSS a RODO
PCI DSS to prywatny standard branżowy tworzony przez Payment Card Industry Security Standards Council. Nie jest aktem prawa – jest wymaganiem umownym narzuconym przez sieci kart (Visa, Mastercard) przez umowy z agentami rozliczeniowymi. RODO to natomiast unijne rozporządzenie prawa publicznego (Rozporządzenie 2016/679), bezpośrednio stosowane we wszystkich państwach członkowskich. PCI DSS reguluje bezpieczeństwo danych kart; RODO reguluje przetwarzanie wszelkich danych osobowych, w tym danych kart.
Gdzie PCI DSS i RODO się nakładają
Dane kart płatniczych zawierają dane osobowe w rozumieniu RODO: imię i nazwisko posiadacza karty, numer PAN (w połączeniu z innymi danymi identyfikującymi), data ważności i kod CVV/CVC (choć te ostatnie są zakazane do przechowywania przez PCI DSS). Dlatego wszelkie przetwarzanie danych kart – tokenizacja, przechowywanie, przesyłanie do PSP – musi być zgodne zarówno z PCI DSS, jak i z RODO.
Różnice w mechanizmach sankcji
PCI DSS: kary nakładają sieci kart (Visa, Mastercard) przez agentów rozliczeniowych – miesięczne kary od 5 tys. do 100 tys. USD za brak zgodności, kary za naruszenie danych (1-100 USD za kartę), ryzyko utraty możliwości przyjmowania kart. RODO: kary nakładają krajowe organy ochrony danych (UODO w Polsce) – do 4% rocznego globalnego obrotu lub 20 mln euro za najpoważniejsze naruszenia. Oba systemy sankcji mogą być aktywowane jednocześnie przy naruszeniu danych kart.
Różne podmioty odpowiedzialne za egzekwowanie
PCI DSS jest egzekwowany przez: sieci kart (Visa, Mastercard, AmEx), agentów rozliczeniowych, w razie naruszenia – firmy forensic PFI. RODO jest egzekwowane przez: krajowe organy ochrony danych (w Polsce: UODO – Urząd Ochrony Danych Osobowych), Europejski Inspektor Ochrony Danych, w ramach mechanizmu one-stop-shop – wiodący organ nadzorczy dla organizacji działających w wielu krajach UE. W przypadku naruszenia danych kart, oba podmioty mogą prowadzić równoległe dochodzenia.
Jak tokenizacja redukuje ryzyko z obu perspektyw
Tokenizacja jest jedynym rozwiązaniem, które jednocześnie ogranicza zakres PCI DSS i minimalizuje ryzyko RODO. Z perspektywy PCI DSS: tokenizacja eliminuje PAN ze środowiska sprzedawcy, redukując CDE. Z perspektywy RODO: token przechowywany przez sprzedawcę, bez klucza detokenizacji, zazwyczaj nie pozwala na re-identyfikację posiadacza karty – co może nie kwalifikować się jako dane osobowe. To dwoiste działanie tokenizacji czyni ją fundamentem każdej strategii compliance dla europejskich sprzedawców.
Jeden vault, dwie zgodności: PCI DSS i RODO
PCI Proxy EU z rezydencją danych w UE pomaga spełniać jednocześnie wymagania PCI DSS i RODO.
Porozmawiaj z ekspertem