La superposição entre RGPD e PCI DSS es uno de los aspectos mais malinterpretados en la gestão de los pagos digitales en Europa. Muchas empresas creen que cumprir una de las dos normativas agota las obrigações sobre los dados de cartão. No es así: las dos disciplinas têm finalidades distintas, se superponen parcialmente e en caso de brecha de dados podem generar sancões paralelas. Entender las diferencias es el primer paso para construir una estratégia de conformidade sólida.
RGPD e PCI DSS: dos normativas distintas, no alternativas
El RGPD es una normativa europeia con fuerza de ley que protege los dados personales de los individuos. El PCI DSS es un estándar contractual definido por los circuitos de pago (Visa, Mastercard, Amex) que protege los dados de cartão durante las transações. El RGPD se aplica a cualquier empresa que trate dados de personas físicas en la UE. El PCI DSS se aplica a quien almacene, transmita o procese dados de cartões de pago, independientemente de su sede.
La diferencia fundamental tem que ver con la naturaleza de la obligação: el RGPD impone requisitos legales con sancões administrativas directas. El PCI DSS crea obrigações contractuales entre comerciante, adquirente e circuitos de pago. Incumplir el RGPD expone a procedimientos por parte de la autoridade de control. No respetar el PCI DSS implica sancões comerciales, revocação de la habilitação para aceptar cartões e custos de remediação impuestos por el adquirente. Ninguna de las dos normativas substitui a la otra.
Onde se superponen: los dados de cartão entre RGPD e PCI DSS
Los dados de cartão contienen quase sempre dados personales: el nombre del titular, el número de cuenta (PAN), a veces la direcção de faturação. Estos elementos entran en la definição de dato personal del RGPD, por lo que el mismo conjunto de dados está sujeto a ambas normativas. El RGPD exige una base jurídica para el tratamiento, minimização de dados e derechos del interesado. El PCI DSS exige encriptação, control de accesos, segmentação de red e monitorização continua del CDE (Cardholder Data Environment).
Algunas medidas técnicas satisfacen ambas normativas. La tokenização, por ejemplo, reduz el número de registros de dados de cartão en el perímetro empresarial, disminuyendo tanto el riesgo PCI como la exposição RGPD en caso de brecha. El encriptação en reposo e en tránsito es requerido por el PCI DSS mas também es una medida recomendada por el RGPD para reduzir el riesgo para los interesados. No todas las medidas se superponen: los derechos de los interesados (acceso, supresión, portabilidade) no têm equivalente en el PCI DSS, e a su vez los requisitos de segmentação de red del PCI DSS van mais allá de lo exigido por la normativa de privacidade.
Brecha de dados: notificaciones e sancões acumuladas
Una brecha que afecte a dados de cartão activa obrigações paralelas bajo ambas normativas. El RGPD impone la notificação a la autoridade de control en un plazo de 72 horas desde la detecção, si la brecha presenta un riesgo para los derechos de las personas físicas. Si el riesgo es elevado, há que notificar também a los interesados. El PCI DSS exige en cambio la notificação inmediata al adquirente e a los esquemas, que activan procedimientos de respuesta ante incidentes con investigação forense obligatoria a cargo del comerciante.
Las sancões no se excluyen entre sí. La autoridade de control pode aplicar sancões de hasta el 4% del volumen de negocio global anual por infracciones graves del RGPD. En paralelo, el adquirente pode aplicar sancões contractuales por incumplimiento del PCI DSS que van de 5.000 a 100.000 euros al mes, além disso, de los custos del programa de remediação e las potenciales pérdidas vinculadas a contracargos fraudulentos. Un único incidente pode por tanto generar una doble exposição financiera que las empresas suelen subestimar en la fase de evaluação del riesgo.
Preguntas frecuentes
El RGPD cubre los dados de cartão en lugar del PCI DSS?
No. El RGPD protege los dados personales en general, incluidos los contenidos en los dados de cartão. El PCI DSS se ocupa específicamente de la segurança de los dados de pago durante el processamento de las transações. Las dos normativas se aplican de forma acumulada: cumprir el RGPD no exime del PCI DSS e viceversa. Un comerciante que acepta cartões deve cumprir ambas.
Si cumplo el RGPD também cumplo el PCI DSS?
No necesariamente. Las dos normativas comparten algunas medidas técnicas (encriptação, control de accesos, minimização de dados), mas têm requisitos específicos que no se superponen. El PCI DSS exige por ejemplo vulnerability scanning trimestral, segmentação de red del CDE e penetration test anual. Ninguna de estas obrigações está exigida explícitamente por el RGPD.
Las sancões del RGPD e del PCI DSS se suman?
En caso de brecha de dados que afecte a dados de cartão, sí. Las sancões del RGPD são aplicadas por la autoridade de control e têm naturaleza administrativa. Las sancões del PCI DSS são aplicadas por el adquirente de forma contractual. No existe un mecanismo de compensação: una empresa pode recibir sancões de ambos frentes por el mismo incidente, além disso, de los custos de investigação forense, notificação a los interesados e posibles acciones de indemnização.
Gerir RGPD e PCI DSS con una única infraestrutura de tokenização reduz el perímetro de exposição en ambos frentes. Descubre PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nos