Supponendo che GDPR si applichi alla tua organizzazione, sì, dovresti preoccuparti di GDPR.
La conformità PCI-DSS non implica la conformità GDPR.
Ci sono molti concetti presenti in GDPR e non in PCI-DSS o non con la stessa portata / aspettative. Per me dovrai dare un'occhiata da vicino ad alcuni principi del GDPR come:
- Ricevibilità dell'utente per il trattamento dei suoi dati personali
- Necessità dell'elaborazione dei dati
- Trasparenza per l'interessato
- Limitazione dell'uso a uno scopo specifico
- Principio della riduzione dei dati (raccogliendo il minor numero possibile di dati personali)
- Cancellazione dei dati
- Titolare del trattamento e subappaltatore
I due regolamenti hanno ambiti diversi.
L'ambito GDPR è molto più ampio di PCI-DSS, che si concentra sulla gestione e sulla protezione dei dati del titolare della carta. Lo scope GDPR include tutti i dati personali che la tua organizzazione può gestire. Quindi interesserà molti dipartimenti dell'organizzazione e non solo la parte che sta manipolando i dati del titolare della carta. Ad esempio, il tuo reparto risorse umane rientrerà sicuramente nel campo di applicazione di GDPR dal momento che stanno raccogliendo e amp; memorizzazione dei dati personali dei dipendenti dell'azienda.