RODO i PCI DSS to dwa odrębne systemy regulacyjne, które często dotyczą tych samych danych – danych kart płatniczych. Organizacje operujące na rynku europejskim muszą zarządzać oboma jednocześnie. Mylenie ich lub traktowanie jako alternatyw to poważny błąd prowadzący do luk compliance i podwójnego ryzyka sankcji.
RODO: regulacja danych osobowych
RODO (Rozporządzenie o Ochronie Danych Osobowych, GDPR w anglojęzycznej nomenklaturze) to unijne rozporządzenie regulujące przetwarzanie danych osobowych mieszkańców UE. Dane karty płatniczej – numer PAN powiązany z imieniem i nazwiskiem – to dane osobowe. Podstawy prawne przetwarzania (art. 6 RODO), prawa podmiotów danych (art. 12-22), wymogi bezpieczeństwa (art. 32) i naruszenie danych (art. 33-34) mają pełne zastosowanie do danych kart.
PCI DSS: standard bezpieczeństwa kart
PCI DSS to prywatny standard bezpieczeństwa stworzony przez PCI SSC na zlecenie sieci kart (Visa, Mastercard, AmEx, Discover, JCB). Reguluje wyłącznie dane kart płatniczych, jest wymuszany przez umowy handlowe, nie prawo publiczne, i koncentruje się na technicznych i operacyjnych kontrolach bezpieczeństwa. Kary za niezgodność to kary umowne nakładane przez sieci kart przez agentów rozliczeniowych, nie sankcje administracyjne.
Rejestr czynności przetwarzania a mapa przepływów PCI DSS
RODO wymaga prowadzenia rejestru czynności przetwarzania danych (art. 30). PCI DSS wymaga dokumentacji przepływów danych kart. To dwa różne dokumenty z różnym zakresem, ale mapowanie przepływów danych kart jest użyteczne dla obu: kompletna mapa przepływów danych kart (skąd pochodzi PAN, gdzie jest przesyłany, gdzie przechowywany) może służyć jako podstawa zarówno analizy zakresu PCI DSS, jak i rejestru czynności przetwarzania RODO.
Podmiot przetwarzający a service provider PCI DSS
RODO definiuje dwa kluczowe podmioty: administrator (określa cele przetwarzania) i podmiot przetwarzający (przetwarza w imieniu administratora). PCI DSS definiuje: merchant (sprzedawca) i service provider (dostawca usług). Dostawca tokenizacji jak PCI Proxy EU jest jednocześnie podmiotem przetwarzającym w rozumieniu RODO i service providerem PCI DSS. Umowa z dostawcą musi spełniać wymagania obu: art. 28 RODO i wymagania PCI DSS 12.8.
Powiadomienie o naruszeniu: różne terminy i procedury
RODO: powiadomienie organu nadzorczego w ciągu 72 godzin od wykrycia (art. 33); powiadomienie osób dotkniętych 'bez zbędnej zwłoki' przy wysokim ryzyku (art. 34). PCI DSS: natychmiastowe powiadomienie agenta rozliczeniowego i sieci kart przy podejrzeniu naruszenia; uruchomienie PFI investigation na żądanie sieci. Oba procesy biegną równocześnie przy naruszeniu danych kart. Kluczowe jest posiadanie wcześniej przygotowanych szablonów powiadomień i jasnych ścieżek eskalacji.
Zarządzaj RODO i PCI DSS razem z jednym rozwiązaniem
PCI Proxy EU z rezydencją danych w UE upraszcza jednoczesną zgodność z RODO i PCI DSS.
Porozmawiaj z ekspertem