PCI DSS vs RGPD
Um é uma norma de segurança da indústria para dados de cartão; o outro é uma lei europeia para todos os dados pessoais. Cobrem territórios diferentes — mas sobrepõem-se nos cartões de pagamento. Aqui explicamos como se comparam e como satisfazer ambos ao mesmo tempo.
Dois quadros regulatórios, dois propósitos
PCI DSS
Uma norma de segurança da indústria das marcas de cartão que define requisitos técnicos e operacionais para qualquer entidade que armazene, processe ou transmita dados de titulares de cartão.
- Âmbito: dados de cartões de pagamento
- Aplicada pelas marcas de cartão e adquirentes
- Controlos de segurança técnica
RGPD
Uma lei europeia que protege os dados pessoais de indivíduos. Rege a base jurídica, a minimização, a segurança e os direitos individuais para qualquer tratamento de dados pessoais — incluindo números de cartão.
- Âmbito: todos os dados pessoais
- Aplicado por reguladores da UE
- Direitos e obrigações jurídicos
PCI DSS vs RGPD
| Dimensão | PCI DSS | RGPD |
|---|---|---|
| Tipo | Norma da indústria | Lei europeia |
| Dados abrangidos | Dados de titulares de cartão | Todos os dados pessoais |
| Aplicado por | Marcas de cartão e adquirentes | Autoridades de proteção de dados |
| Foco | Segurança técnica | Direitos, licitude, minimização |
| Penalizações | Multas, taxas mais elevadas, perda de aceitação | Até 4% do volume de negócios global |
| Como a tokenização ajuda | Reduz âmbito para SAQ A | Minimização e residência UE |
Satisfaça ambos de uma só vez
A tokenização é uma das poucas medidas que ajuda com ambos. Ao substituir os dados de cartão por tokens armazenados no nosso cofre europeu PCI DSS Nível 1, reduz o seu âmbito PCI para SAQ A e, para o RGPD, apoia a minimização de dados e a segurança ao manter os dados pessoais de cartão fora dos seus sistemas — e na UE.
PCI DSS vs RGPD, respondidos
01 Qual é a diferença entre PCI DSS e RGPD?
O PCI DSS é uma norma de segurança da indústria para proteção de dados de cartões de pagamento, aplicada pelas marcas de cartão. O RGPD é uma lei europeia que protege todos os dados pessoais de indivíduos, aplicada por reguladores. O PCI DSS é restrito e técnico; o RGPD é abrangente e jurídico — mas sobrepõem-se, porque um número de cartão também é um dado pessoal.
02 A conformidade com PCI DSS torna-me conforme com o RGPD?
Não. O PCI DSS abrange como protege os dados de cartão, o que ajuda com o requisito de segurança do RGPD, mas o RGPD exige também uma base jurídica, minimização de dados, direitos individuais, notificação de violações e mais, abrangendo todos os dados pessoais. São complementares, não intercambiáveis.
03 Como é que a tokenização ajuda com PCI DSS e RGPD?
A tokenização substitui os dados de cartão por tokens armazenados num cofre externo PCI DSS Nível 1. Isso reduz o seu âmbito PCI para SAQ A e, para o RGPD, apoia a minimização de dados e a segurança ao remover dados pessoais de cartão dos seus sistemas — e o PCI Proxy mantém-nos na UE.
04 Os dados de cartão são considerados dados pessoais ao abrigo do RGPD?
Sim. Um número de cartão de pagamento associado a uma pessoa é um dado pessoal ao abrigo do RGPD, pelo que se enquadra tanto no PCI DSS (como dado de titular de cartão) como no RGPD (como dado pessoal). Minimizar onde é armazenado reduz as obrigações em ambos.
Dados de cartão mínimos, seguros e europeus
Conte-nos os seus fluxos de dados e mostramos como um cofre europeu o ajuda a cumprir PCI DSS e RGPD em simultâneo.