PCI-DSSに準拠している場合、GDPRについて心配する必要がありますか?
来月、EUの 一般データ保護規則(GDPR) が発効します。
私たちの組織はすでに PCI-DSS に準拠しています。
GDPR基準に準拠するために、追加の作業が必要ですか?または、GDPRのすべての要件がPCI-DSS要件に含まれていますか?
GDPRが組織に適用されると仮定すると、はい、GDPRについて心配する必要があります。
PCI-DSS準拠はGDPR準拠を意味するものではありません。
GDPRには多くの概念があり、PCI-DSSにはないか、同じスコープ/期待を持たないものがあります。私にとっては、GDPRのいくつかの原則を詳しく調べる必要があります。
- ユーザーの個人データの処理に対する許容性
- データ処理の必要性
- データ主体への透明性
- 特定の目的への使用の制限
- データ削減の原則(できる限り個人データを収集しない)
- データ削除
- データ管理者および下請け業者
2つの規制の範囲は異なります。
GDPRの範囲は、カード所有者データの処理と保護に重点を置いているPCI-DSSよりもはるかに広いです。 GDPRの範囲には、組織が処理する可能性のあるすべての個人データが含まれます。そのため、カード所有者のデータを操作している部分だけでなく、組織のさまざまな部門に影響します。たとえば、人事部は企業の従業員の個人データを収集して保存しているため、GDPRの範囲に確実に含まれます。
EUの居住者に商品やサービスを販売する場合は、はい。 GDRP規制はPCI-DSSとは異なります。 PCI-DSSへの苦情であっても、GPPRへの苦情であるとは限りません。ただし、GDPRは、対象者がEU居住者でない組織には適用されません。
GDPR基準に準拠するために、追加の作業が必要ですか?
はい詳細はこのリンクをたどってください https://techblog.bozho.net/gdpr-practical-guide-developers/
または、GDPRのすべての要件がPCI-DSS要件に含まれていますか?番号
役立つリンク:
https://www.futurelearn.com/courses/general-data-protection-regulation
GDPRでは、個人データの機密性、完全性、可用性、回復力を保護するために、「適切な技術的および組織的対策」を講じる必要があります(第32条)。
PCI DSSは、1種類の個人データ(つまり、カード会員データ)を保護するのに役立ちます。PCIDSSが要件を満たす範囲の分析を書きましたカード会員データに関するGDPRの.
http://withoutfire.com/2018/03/gdpr-and-pci-dss-appropriate-bedfellows/
ただし、PCI DSSは、他のすべてのタイプの個人データを保護したり、お客様に適用される他の40ほどの記事(要件など)を満たしたりするのにあまり役立ちません。