La superposição entre RGPD e PCI DSS genera confusión en muchas empresas que aceptan pagos con cartão. La creencia de que las dos normativas são equivalentes o de que cumprir una implica cumprir la otra es errónea e potencialmente costosa. El RGPD e el PCI DSS nacen de contextos distintos, regulan aspectos diferentes e en caso de infracção activan mecanismos sancionadores separados que podem acumularse. Conocer las diferencias concretas es fundamental para construir una estratégia de conformidade que no deje ningún frente descubierto.
RGPD vs PCI DSS: objetivos distintos, obrigações distintas
El RGPD es un reglamento europeu con fuerza de ley directa en todos los Estados miembros. Su objetivo es proteger los derechos fundamentales de las personas físicas en relação con el tratamiento de sus dados personales. Se aplica a cualquier organização que trate dados de personas físicas en la UE, independientemente del setor. El PCI DSS es en cambio un estándar técnico e contractual promovido por el PCI Security Standards Council, fundado por los principales circuitos de pago. Su objetivo es proteger los dados de pago durante las transações e reduzir el fraude. Se aplica a cualquier sujeto que almacene, transmita o procese dados de cartões de pago de los circuitos adherentes.
Las obrigações concretas são distintas. El RGPD exige una base jurídica para cada tratamiento, respuesta a los derechos de los interesados (acceso, supresión, portabilidade), nombramiento de un DPO en ciertos casos, registro de actividades de tratamiento e notificação obligatoria a la autoridade de control en caso de brecha en un plazo de 72 horas. El PCI DSS exige encriptação de los dados de cartão, segmentação de red del CDE, vulnerability scanning trimestral, penetration test anual, gestão de accesos privilegiados con MFA e registros de auditoría continuos. Algunas medidas são compartidas (encriptação, control de accesos), mas la mayoría es específica de cada estándar.
Los dados de cartão bajo ambas normativas
Los dados de cartão de pago contienen quase sempre dados personales: el nombre del titular, el número de cuenta (PAN), la fecha de vencimiento e a veces la direcção de faturação. Esto significa que el mismo conjunto de dados está regulado simultáneamente por el RGPD (como dados personales) e por el PCI DSS (como dados de pago). El tratamiento de estos dados exige por tanto el conformidade de ambas normativas: disponer de una base jurídica RGPD para el armazenamento de los dados de cartão no exime de la obligação PCI DSS de cifrar ese dato e protegerlo con los controles técnicos exigidos por el estándar.
La tokenização es una de las pocas ferramentas que ayuda en ambos frentes. Substituir el PAN por un token no reversible reduz el número de registros de dados personales en riesgo (beneficio RGPD) e reduz el perímetro del CDE (beneficio PCI DSS). No elimina todas las obrigações de ambas normativas, mas reduz significativamente el área de exposição e el custo global del conformidade. Para los comerciantes que almacenan dados de cartão para encomendas recurrentes, la tokenização es a menudo la única solução práctica que satisface simultáneamente los requisitos de ambos marcos.
En caso de brecha: notificaciones e sancões que se acumulan
Una brecha que expone dados de cartão activa obrigações de notificação separadas bajo las dos normativas. Bajo el RGPD, el responsable del tratamiento deve notificar a la autoridade de control en un plazo de 72 horas desde que la descubra si la brecha presenta un riesgo para los derechos e libertades de los interesados. Si el riesgo es elevado, deve notificar também a los propios interesados. Bajo el PCI DSS, el comerciante deve notificar inmediatamente al adquirente e seguir los procedimientos de respuesta ante incidentes del esquema de pago, que habitualmente incluyen una investigação forense obligatoria a cargo del comerciante.
Las sancões no se excluyen mutuamente. La autoridade de proteção de dados pode aplicar hasta el 4% del volumen de negocio global anual por infracciones graves del RGPD. El adquirente, por vía contractual, pode aplicar sancões PCI DSS que van desde unos pocos miles de euros al mes por incumplimiento continuado hasta sancões únicas significativas en caso de brecha documentada. A estos se suman los custos de la investigação forense (entre 50.000 e 500.000 euros para brechas de mediana envergadura), el reembolso de los contracargos fraudulentos sobre las cartões comprometidas e los posibles custos de sustitução de cartões impuestos por los emisores. La doble exposição normativa convierte la brecha en un evento con custos muito superiores a lo estimado en la fase de evaluação de riesgos si no se considera la interacção entre los dos marcos.
Preguntas frecuentes
El responsable del tratamiento RGPD coincide con el comerciante PCI?
No necesariamente. Un comerciante pode ser responsable del tratamiento RGPD (decide las finalidades del tratamiento de los dados de los clientes) e al mismo tiempo comerciante PCI (acepta cartões de pago). Pero si el comerciante utiliza un fornecedor de serviços de pago, ese fornecedor será tipicamente un encargado del tratamiento RGPD para los dados de cartão e un fornecedor de serviços PCI DSS. Las dos cadenas de responsabilidade coexisten en paralelo e devem formalizarse con acuerdos apropiados (DPA para el RGPD, acuerdo de serviço con atestação PCI para el PCI DSS).
La seudonimização RGPD equivale a la tokenização PCI?
São conceptos relacionados mas no equivalentes. La seudonimização RGPD (art. 4) es un proceso que faz que los dados personales no sean atribuibles a un interesado específico sin informação adicional. La tokenização PCI substitui el PAN por un token no reversible en el contexto del comerciante. Una tokenização fuerte pode satisfacer los criterios de seudonimização del RGPD, mas la seudonimização RGPD no implica automáticamente el conformidade de los requisitos técnicos de tokenização del PCI DSS. Ambos estándares devem verificarse por separado.
Debo nombrar un DPO si acepto pagos con cartão?
La obligação de nombrar un DPO (Data Protection Officer) depende del tipo e la escala del tratamiento, no específicamente de la aceptação de cartões. Un comerciante de e-commerce medio no está automáticamente obligado a nombrar un DPO apenas por aceptar cartões. La obligação surge para empresas que tratan dados a gran escala, que realizan monitorização sistemática de los interesados o que tratan categorías especiales de dados. Consulta a tu asesor jurídico para una evaluação específica.
Conformidade doble con una sola integração: la tokenização reduz el perímetro de exposição tanto del RGPD como del PCI DSS. Descubre PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nos