如果我符合PCI标准，我需要担心GDPR吗？

Question

下个月，欧盟的一般数据保护条例(全球地质雷达)生效。

我们的组织已经符合PCI-DSS。

我们是否需要做任何额外的工作，以确保我们符合GDPR标准？还是GDPR的所有要求都包括在PCI的要求中？

Answer 1

假设GDPR适用于您的组织，是的，您应该担心GDPR。

PCI-DSS遵从并不意味着符合GDPR .

。

在GDPR中存在许多概念，而在PCI中没有，或者没有相同的范围/期望。对我来说，你必须仔细研究探地雷达的一些原则，例如：

• 用户处理个人资料的可接纳性
• 数据处理的必要性
• 数据主题的透明度
• 对特定用途的使用限制
• 数据缩减原则(收集尽可能少的个人数据)
• 数据删除
• 数据控制器和分包商

这两条规则有不同的范围.

GDPR的范围比PCI要宽得多，后者侧重于对持卡人数据的处理和保护。GDPR范围包括组织可能处理的所有个人数据。因此，它将影响到您组织的许多不同部门，而不仅仅是处理持卡人数据的部分。例如，您的人力资源部肯定会在GDPR的范围内，因为他们正在收集和存储公司员工的个人数据。

Answer 2

如果你是在向欧盟居民出售商品或服务，那么是的。GDPR规则不同于PCI.即使您是符合PCI，这并不意味着您是符合GPPR。然而，GDPR并不适用于那些目标受众不是欧盟居民的组织。

我们是否需要做任何额外的工作，以确保我们符合GDPR标准？

是的，请按此链接获取更多信息：https://techblog.bozho.net/gdpr-practical-guide-developers/

还是GDPR的所有要求都包括在PCI的要求中？

No.

有用的链接：

• https://www.eugdpr.org/
• https://www.futurelearn.com/courses/general-data-protection-regulation

Answer 3

GDPR要求您采取“适当的技术和组织措施”，以保护个人数据的保密性、完整性、可用性和弹性(第32条)。

PCI以某种方式帮助保护一种类型的个人数据--即持卡人数据。我对PCI在多大程度上满足了GDPR对持卡人数据的要求进行了分析。

http://withoutfire.com/2018/03/gdpr-and-pci-dss-appropriate-bedfellows/

然而，PCI在保护所有其他类型的个人数据或满足其他40条(即适用于您的需求)方面并没有多大帮助。