Se sono conforme allo standard PCI-DSS, devo preoccuparmi di GDPR?

6

Il prossimo mese entrerà in vigore il Regolamento generale sulla protezione dei dati (GDPR) dell'UE.

La nostra organizzazione è già PCI-DSS conforme.

Dobbiamo fare qualcosa in più per essere sicuri che siamo coerenti con gli standard GDPR? Oppure tutti i requisiti di GDPR sono inclusi nei requisiti PCI-DSS?

    
posta John Wu 18.04.2018 - 22:54
fonte

3 risposte

8

Supponendo che GDPR si applichi alla tua organizzazione, sì, dovresti preoccuparti di GDPR.

La conformità PCI-DSS non implica la conformità GDPR.

Ci sono molti concetti presenti in GDPR e non in PCI-DSS o non con la stessa portata / aspettative. Per me dovrai dare un'occhiata da vicino ad alcuni principi del GDPR come:

  • Ricevibilità dell'utente per il trattamento dei suoi dati personali
  • Necessità dell'elaborazione dei dati
  • Trasparenza per l'interessato
  • Limitazione dell'uso a uno scopo specifico
  • Principio della riduzione dei dati (raccogliendo il minor numero possibile di dati personali)
  • Cancellazione dei dati
  • Titolare del trattamento e subappaltatore

I due regolamenti hanno ambiti diversi.

L'ambito GDPR è molto più ampio di PCI-DSS, che si concentra sulla gestione e sulla protezione dei dati del titolare della carta. Lo scope GDPR include tutti i dati personali che la tua organizzazione può gestire. Quindi interesserà molti dipartimenti dell'organizzazione e non solo la parte che sta manipolando i dati del titolare della carta. Ad esempio, il tuo reparto risorse umane rientrerà sicuramente nel campo di applicazione di GDPR dal momento che stanno raccogliendo e amp; memorizzazione dei dati personali dei dipendenti dell'azienda.

    
risposta data 19.04.2018 - 17:36
fonte
3

Se vendi beni o servizi a residenti nell'UE, allora SÌ. Il regolamento GDRP è diverso da PCI-DSS. Anche se sei esposto a PCI-DSS, ciò non significa che tu sia un reclamo nei confronti di GPPR. Tuttavia, GDPR non si applica a quelle organizzazioni il cui pubblico di destinazione non è residente nell'UE.

Dobbiamo fare qualcosa in più per assicurarci di essere coerenti con gli standard GDPR?

SÌ Segui questo link per maggiori informazioni link

O tutti i requisiti di GDPR sono inclusi nei requisiti PCI-DSS? NO

Link utili:

link

link

    
risposta data 19.04.2018 - 00:25
fonte
0

GDPR richiede l'adozione di "appropriate misure tecniche e organizzative" per proteggere la riservatezza, l'integrità, la disponibilità e la resilienza dei dati personali (articolo 32).

PCI DSS contribuisce in qualche modo a proteggere un tipo di dati personali, ovvero i dati dei titolari di carta. Ho scritto un'analisi della misura in cui PCI DSS soddisfa le esigenze di GDPR in relazione ai dati dei titolari di carta.

link

Tuttavia, PCI DSS non sarà di grande aiuto nella protezione di tutti gli altri tipi di dati personali o nel soddisfare gli altri 40 o più articoli (cioè i requisiti) che si applicano a te.

    
risposta data 23.04.2018 - 23:01
fonte

Leggi altre domande sui tag