web-dev-qa-db-ja.com

PCI-DSSに準拠している場合、GDPRについて心配する必要がありますか?

来月、EUの 一般データ保護規則(GDPR) が発効します。

私たちの組織はすでに PCI-DSS に準拠しています。

GDPR基準に準拠するために、追加の作業が必要ですか?または、GDPRのすべての要件がPCI-DSS要件に含まれていますか?

6
John Wu

GDPRが組織に適用されると仮定すると、はい、GDPRについて心配する必要があります。

PCI-DSS準拠はGDPR準拠を意味するものではありません。

GDPRには多くの概念があり、PCI-DSSにはないか、同じスコープ/期待を持たないものがあります。私にとっては、GDPRのいくつかの原則を詳しく調べる必要があります。

  • ユーザーの個人データの処理に対する許容性
  • データ処理の必要性
  • データ主体への透明性
  • 特定の目的への使用の制限
  • データ削減の原則(できる限り個人データを収集しない)
  • データ削除
  • データ管理者および下請け業者

2つの規制の範囲は異なります。

GDPRの範囲は、カード所有者データの処理と保護に重点を置いているPCI-DSSよりもはるかに広いです。 GDPRの範囲には、組織が処理する可能性のあるすべての個人データが含まれます。そのため、カード所有者のデータを操作している部分だけでなく、組織のさまざまな部門に影響します。たとえば、人事部は企業の従業員の個人データを収集して保存しているため、GDPRの範囲に確実に含まれます。

8
Whysmerhill

EUの居住者に商品やサービスを販売する場合は、はい。 GDRP規制はPCI-DSSとは異なります。 PCI-DSSへの苦情であっても、GPPRへの苦情であるとは限りません。ただし、GDPRは、対象者がEU居住者でない組織には適用されません。

GDPR基準に準拠するために、追加の作業が必要ですか?

はい詳細はこのリンクをたどってください https://techblog.bozho.net/gdpr-practical-guide-developers/

または、GDPRのすべての要件がPCI-DSS要件に含まれていますか?番号

役立つリンク:

https://www.eugdpr.org/

https://www.futurelearn.com/courses/general-data-protection-regulation

3
Script_Junkie

GDPRでは、個人データの機密性、完全性、可用性、回復力を保護するために、「適切な技術的および組織的対策」を講じる必要があります(第32条)。

PCI DSSは、1種類の個人データ(つまり、カード会員データ)を保護するのに役立ちます。PCIDSSが要件を満たす範囲の分析を書きましたカード会員データに関するGDPRの.

http://withoutfire.com/2018/03/gdpr-and-pci-dss-appropriate-bedfellows/

ただし、PCI DSSは、他のすべてのタイプの個人データを保護したり、お客様に適用される他の40ほどの記事(要件など)を満たしたりするのにあまり役立ちません。

0
withoutfire