Мадженто Nov 22, 2021

Как вашему бизнесу соответствовать PCI DSS и GDPR стандартам?

Юлия Цымбал

Бизнес-аналитик

Эксперт

Дарья Дяченко

Копирайтер

Автор

Время на чтение: 20 минут

Content

  1. PCI vs GDPR: основное различие
  2. Введение в PCI DSS
  3. Обзор GDPR
  4. Как Dinarys помогает клиентам соответствовать PCI и GDPR?
  5. Хотите, чтобы ваш бизнес соответствовал PCI DSS и GDPR?
Content

В последние годы личные данные стали эффективным экономическим активом. Их грамотное использование приносит компаниям коммерческую выгоду и прибыль. Однако несоблюдение законов хранения, обработки и передачи персональных данных может привести вашу компанию к огромным убыткам или даже банкротству.

Есть идеи по поводу вашего проекта?

Свяжитесь с нами!

Сделать запрос

Компании, работающие с персональными данными, должны предоставить доказательства соблюдения требований PCI DSS и GDPR, чтобы избежать подобных ситуаций. Эти правила коренным образом изменили предыдущие стандарты защиты конфиденциальности и, конечно же, вызвали у бизнеса много вопросов: что делать? с кем мне связаться? насколько опасно несоблюдение этих регуляций? Команда Dinarys проанализировала самые неоднозначные и популярные вопросы. Эта статья поможет вам понять стандарты PCI DSS и GDPR и применить их к вашей цифровой бизнес-системе.

PCI vs GDPR: основное различие

Стандарт безопасности данных индустрии платежных карт (PCI DSS) и Общий регламент по защите данных (GDPR) предназначены для повышения безопасности пользователей путем защиты их данных. Но поскольку и PCI DSS, и GDPR регулируют вопросы, связанные с безопасностью личной информации, эти понятия частично перекливаются, что в некоторых случаях приводит к путанице.

Предлагаем вам разобраться более подробно, чем PCI и GDPR отличаются друг от друга.

Охватываемые данные

GDPR охватывает гораздо больший и широкий объем данных о клиентах. Для сравнения, PCI затрагивает более конкретные вопросы. GDPR распространяется на все персональные идентификационные данные, относящиеся к людям в ЕС. А PCI регулируется в Соединенных Штатах и ​​применяется только к одному типу данных GDPR - платежному. На рисунке ниже четко показана разница в объеме охваченных данных.

PCI vs GDPR: основное различие

Вопросы конфиденциальности и безопастности

В стандарте PCI DSS большое внимание уделяется безопасности и защите данных держателей платежных карт. PCI охватывает все: как потерю данных, так и утечку информации. Таким образом, основная цель этого стандарта - защитить платежную информацию пользователей.

GDPR, в свою очередь, фокусируется на конфиденциальности и защите ряда личных данных пользователей. GDPR гласит, что пользователи смогут контролировать свои данные, предоставляя возможность отозвать согласие или удалить информацию.

Охватываемые процессы

Стандарь PCI более узконаправленный, поскольку он охватывает меньше типов данных и, следственно, требует меньше процессов. PCI влияет только на использование данных, которые являются частью процесса банковского платежа. Стандарт включает сбор данных о держателях карт, обработку платежей и передачу этих данных в пределах Соединенных Штатов. Однако, если владелец карты из ЕС, GDPR также должен соблюдаться во всех процессах, связанных с картой.

Как мы уже говорили, GDPR охватывает гораздо более широкий спектр данных: пол, возраст, место жительства и т.д. Это означает, что любой гражданин ЕС, чьи личные данные использовались, должен соответствовать требованиям GDPR и быть защищенным.

Однако, несмотря на различия в масштабе и объеме собираемых данных и типах защиты, GDPR и PCI дополняют друг друга, часто работают вместе и частично совпадают. В любом случае соблюдение этих требований необходимо при создании любого перспективного проекта электронной коммерции.

Предлагаем к прочтению: Как создать веб-сайт электронной коммерции для малого бизнеса в 2021 году.

Введение в PCI DSS

Любой магазин электронной коммерции имеет дело с личными данными, которые также связаны с их финансами. Вряд ли кто-то из покупателей магазина захочет, чтобы все это стало достоянием общественности, поэтому здесь придется прибегать к продуманным и неоднократно проверенным решениям.

PCI DSS - это стандарт безопасности данных платежных карт. Другими словами, это документ со списком критериев, которым должны следовать онлайн-компании, если они так или иначе имеют дело с такими данными, как номер карты, срок действия и код CVV.

Введение в PCI DSS

Данная сертификация не является формальностью. Чтобы соответствовать стандарту PCI DSS, организация должна применять комплексный подход к обеспечению безопасности данных платежных карт.

PCI DSS стандарт нацелен на следующие аспекты:

Зачем нужен этот стандарт?

Оплата в Интернете банковскими картами предусматривает возможность передачи, хранения и обработки данных платежных карт, что увеличивает риски киберпреступности. PCI DSS защищает вашу личную информацию и предотвращает мошенничество с платежами.

К кому применяется PCI?

PCI DSS применяется к любой компании, независимо от размера или количества транзакций, которая принимает, передает или хранит данные карт своих пользователей. То есть, если ваша организация хранит, обрабатывает или передает данные хотя бы одной платежной карты в течение года, вы как компания должны соблюдать требования PCI DSS.

Уровни соответствия PCI

В зависимости от количества транзакций, проведенных в течение 12 месяцев, каждой компании присваивается один из четырех уровней соответствия PCI:

Уровень

Описание

1

Любой продавец, обрабатывающий более 6 миллионов транзакций в год.

2

Любой продавец, обрабатывающий от 1 до 6 миллионов транзакций в год.

3

Продавец, обрабатывающий от 20 000 до 1 миллиона транзакций в год.

4

Продавец, обрабатывающий меньше чем 20000 транзакций в год.

Уровни соответствия PCI

Требования PCI DSS

PCI SCC предоставил список требований, которым должна соответствовать каждая компания для повышения безопасности данных о держателях карт. Всего существует 12 конкретных требований, которые для удобства были разделены на 6 целей. Давайте кратко рассмотрим их в таблице:

Цель

Требования PCI DSS

Создание и поддержание безопасной сети

1. Установите и поддерживайте конфигурацию брандмауэра для защиты данных держателей карт.

2. Не используйте заводские настройки по умолчанию для системных паролей и других параметров безопасности.

Защита данных о держателях карт

3. Защитите сохраненные данные о держателях карт.

4. Шифруйте передачи данных о держателях карт в открытых общедоступных сетях.

Поддержка программы управления уязвимостями

5. Используйте и регулярно обновляйте антивирусное программное обеспечение.

6. Разрабатывайте и поддерживайте безопасные системы и приложения.

Осуществляйте строгие меры контроля доступа

7. Ограничьте доступ к данным о держателях карт по служебной необходимости.

8. Назначьте уникальный идентификатор каждому человеку, имеющему доступ к компьютеру.

9. Ограничьте физический доступ к данным держателей карт.

Регулярный мониторинг и тестирование сетей

10. Отслеживайте и контролируйте любой доступ к сетевым ресурсам и данным о держателях карт.

11. Регулярно тестируйте системы и процессы безопасности.

Поддерживайте политику информационной безопасности

12. Поддерживайте политику, касающуюся информационной безопасности сотрудников и подрядчиков.

Существует также примерно 251 дополнительных требований PCI, которые также необходимо учитывать при работе с данными карт ваших посетителей.

Штрафы за несоблюдение PCI регуляций

Penalties for PCI non-compliance

Соответствие PCI DSS не предусматривается федеральным законом в США. Но некоторые действующие и будущие законы штатов фактически наделяют некоторые компоненты PCI DSS законными основаниями. За несоблюдение требований на продавцов могут наложить штрафы и провести дорогостоящую судебную экспертизу.

Платежные компании могут оштрафовать банк-эквайер на сумму от 5000 до 100000 долларов в месяц за несоблюдение требований PCI. В свою очередь, банк-эквайер взимает штраф напрямую с продавца. В результате банк, скорее всего, либо прекратит отношения, либо увеличит комиссию за транзакции.

Штрафы за несоблюдение PCI DSS зависят от двух факторов:

Вот один из примеров крупной американской сети супермаркетов Target, которые пренебрегли своей безопасностью и безопасностью клиентов.

В результате проникновения хакеров произошла утечка данных о 40 миллионах платежных карт. Это привело к потере 250 миллионов долларов.

Эта история хорошо демонстрирует, насколько уязвимым может быть даже крупный бизнес.

Наличие сертификата PCI DSS сводит к минимуму вероятность проникновения злоумышленников в вашу сеть.

Вам, вероятно, понравится: Как интегрировать платежный шлюз в свой веб-сайт электронной коммерции

Есть идеи по поводу вашего проекта?

Свяжитесь с нами!

Сделать запрос

Обзор GDPR

GDPR - это самый строгий закон безопасности и конфиденциальности интернет-пользователей. Он был разработан и принят в Европейском Союзе и наложил обязательства на компании, которые собирают персональные данные о пользователях, связанных с ЕС, независимо от их местонахождения. Компании, не соблюдающие стандарты безопасности и конфиденциальности, сталкиваются с серьезными штрафами, достигающими десятков миллионов евро.

Самое главное о GDPR можно понять из этого видео:

GDPR действителен только в том случае, если применены личные данные. Итак, давайте посмотрим, что именно относится к личным данным, которые определены в регламенте.

Согласно GDPR, персональные данные - это любая информация, которая относится к идентифицированному или идентифицируемому физическому лицу («субъект данных», т. е. лицо).

В соответствии с GDPR, организации должны гарантировать законность собранных данных, чтобы защитить пользователей от их неправомерного использования.

В статье 7 GDPR говорится, что любой веб-сайт должен запрашивать разрешение на обработку данных перед их сбором и сообщением об этом субъекту (обычно это делается в виде флажков во время регистрации).

Кто подчиняется GDPR регуляциям?

GDPR применяется к любой компании или организации, которая обрабатывает или использует персональные данные в рамках своей деятельности. Таким образом, регулирование распространяется на все компании без исключения, которые предлагают продукты/услуги людям в ЕС, независимо от местонахождения компании.

Как понять, предлагает ли ваша компания услуги клиентам из ЕС и следует ли вам соблюдать GDPR? Вот общие показатели:

Если ваша компания не предоставляет услуги физическим лицам из ЕС, она не подпадает под правила GDPR.

Кто подчиняется GDPR регуляциям?

7 основных принципов GDPR

GDPR основан на принципах защиты данных, которые обеспечивают соблюдение требований. Эти принципы определяют обязательства, которые организации должны соблюдать при сборе, обработке и хранении персональных данных. GDPR устанавливает семь ключевых принципов:

  1. Законность, справедливость и прозрачность

Обработка должна быть законной, справедливой и прозрачной для субъекта данных.

  1. Ограничение цели

Вы должны обрабатывать данные для законных целей, явно предоставленных субъекту данных при их сборе.

  1. Минимизация данных

Вы должны собирать и обрабатывать столько данных, сколько необходимо для указанных целей.

  1. Точность

Вы должны поддерживать точность и актуальность личных данных.

  1. Ограничение хранения

Вы можете хранить личные данные столько времени, сколько необходимо для указанной цели.

  1. Целостность и конфиденциальность

Обработка должна выполняться таким образом, чтобы обеспечить надлежащую безопасность, целостность и конфиденциальность (например, с использованием шифрования).

  1. Подотчетность

Контроллер данных несет ответственность за возможность продемонстрировать соответствие всем этим принципам GDPR.

Права отдельных лиц в соответствии с GDPR

Чтобы соответствовать требованиям, вы должны понимать права людей на неприкосновенность частной жизни. С появлением новых технологий люди могут потерять это право, поскольку их личные данные могут быть рассекречены. GDPR как закон определяет список прав, которыми могут пользоваться пользователи как субъекты данных. Всего таких прав восемь.

Право на доступ (ст. 15 GDPR)

Каждый субъект данных имеет право на доступ к своим данным. Это относится к информации, которую субъект передал о себе, и к информации, которую компания (контролер данных) собрала о нем. Это право позволяет субъекту узнать

Как реализовать право на доступ GDPR? Вы как компания должны предоставить доступ к личным данным в любой форме, которую может запросить ваш пользователь - в электронном или бумажном виде. Другой вариант - предоставить пользователю доступ к своим данным в своей учетной записи.

Право на уточнение данных (ст. 16 GDPR).

Если субъект данных замечает, что его данные неточны, и компания по-прежнему их использует, он может потребовать исправить личную информацию. Это касается тех случаев, когда субъект данных, например, изменил свою фамилию, место жительства или паспорт, или если его данные были указаны неверно.

Право на удаление данных («право на забвение») (ст. 17 GDPR)

Право на удаление данных является фундаментальным правом в соответствии с GDPR. Согласно требованиям GDPR, компания-контролер обязана удалить личные данные по запросу субъекта (адрес электронной почты, имя, фамилия, дата рождения, номер телефона, паспортные данные и другую информацию, которая может использоваться для идентификации личности). Например, связанные данные (например, чеки) могут быть удалены вместе с личными данными или анонимизированы для статистики и аналитики. Другими словами, это право на забвение. GDPR предусматривает следующие обстоятельства, при которых может быть реализовано право на удаление:

Право на ограничение обработки данных (ст. 18 GDPR)

Процесс ограничения обычно выполняется, чтобы избежать сбора данных для последующего анализа. Однако при определенных условиях субъект может запросить у контролера ограничение обработки данных:

Другими словами, при ограниченной обработке данные сохраняются, но не используются каким-либо образом.

Право на переносимость данных (ст. 20 GDPR)

Пользователь должен иметь возможность получать все данные, собранные компанией. Часто это те же данные, которые вы удаляете с помощью функции «удалить личные данные». Тем не менее, вы также можете включить дополнительные данные (например, заказы, сделанные пользователем, не могут быть удалены, но должны быть включены в загрузку). Вы можете загружать данные в разных форматах. PDF, XLS, CSV обычно являются наиболее распространенными. Нет обязательного формата. Также нет обязательного шаблона для разгрузки; каждая компания определяет его на свое усмотрение.

Пример из сервиса iTalki (экспорт личных данных + удаление личных данных с последующей деактивацией учетной записи):

Below is an example from the iTalki service

Право на возражение (ст. 21 GDPR)

В любое время субъект данных может возразить против сбора личной информации, если ему кажется, что это используется в целях прямого маркетинга или не соответствует его правам, интересам и свободам. Контролер должен рассмотреть возражение, проанализировать ситуацию и решить, где интересы пользователя должны быть важны.

Право не подвергаться автоматизированному принятию решений (ст. 22 GDPR)

Субъект, воспользовавшийся этим правом, может возражать против использования персональных данных, если они используются автоматически без его согласия. Относится ко всем случаям, кроме автоматического использования, необходимого для заключения договора между субъектом и контролером. Решение основано на явном согласии субъекта.

Право на компенсацию (статья 82 GDPR)

Если компания-контролер нарушила использование личных данных, субъект может получить компенсацию за ущерб, причиненный обработкой личной информации. Таким образом, компания будет оштрафована и выплатит штраф непосредственно субъекту.

Штрафы за несоблюдение GDPR

Как вы уже поняли, GDPR - это строгий нормативный правовой акт прямого действия, нарушение которого предусматривает суровые санкции. Поэтому, чтобы гарантировать защиту личных данных, Евросоюз установил довольно серьезные штрафы.

Нарушение правил влечет за собой штрафы в размере до 10 000 000 до 20 000 000 евро: сумма варьируется в зависимости от статьи GDPR. Если оборот компании превышает полмиллиарда евро, то максимальный штраф рассчитывается как процент от мирового оборота за последний год: от 2% до 4%. Статья 83 GDPR устанавливает санкции.

Также крайне важно, чтобы надзорные органы имели право налагать административные штрафы как на контролеров, так и на обработчиков данных. Штрафы могут применяться вместо или в сочетании с другими мерами, предписанными надзорными органами.

Топ-5 крупнейших штрафов GDPR

Топ-5 крупнейших штрафов GDPR

  1. Google Inc.

В январе 2019 года Google был оштрафован на 50 миллионов евро за несоблюдение политики конфиденциальности GDPR. Политика была написана на многих страницах и сложным языком, из-за чего пользователи не понимали, как обрабатываются их личные данные. Кроме того, согласие на обработку персональных данных также не соответствовало регламенту, так как все поля уже были заранее отмечены для пользователей.

  1. H&M

Надзорный орган Гамбурга оштрафовал H&M на 35,3 миллиона евро. Такое решение было принято после того, как шведский бренд проверил несколько сотен своих сотрудников. В эту обработку входят данные о личной жизни сотрудников, которые впоследствии стали доступны всей компании.

  1. TIM

TIM, итальянская телекоммуникационная компания, была оштрафованана на 27,8 миллионов евро итальянским надзорным органом. Компания совершила несколько нарушений, в том числе отсутствие согласия на маркетинговую деятельность, обращение к субъектам данных, которые уже ранее заявляли, что незаинтересованы в маркетинговых предложениях, недействительные согласия, собранные в приложениях TIM, отсутствие адекватных мер безопасности для защиты личных данных, отсутствие четких данных о сроках хранения .

  1. British Airways

В июле 2018 года авиакомпания British Airways получила штраф в размере 22 миллиона евро за отсутствие надлежащих технических мер защиты информации в соответствии со ст. 32 GDPR.

  1. Marriott International, Inc.

Сеть отелей Marriott International, Inc. была оштрафована на 20,5 миллиона евро. В 2016 году Marriott приобрела еще одну группу компаний, также связанную с гостиничным бизнесом. Позже выяснилось, что с 2014 года у этой группы компаний была серьезная уязвимость в системе защиты информации. Marriott узнала об этом только в 2018 году после утечки информации. Это коснулось 339 миллионов пользователей. Информация включала банковские и другие личные данные.

Эти пять случаев только подтверждают важность соблюдения регламента. Следование GDPR более прибыльно, чем действие по принципу «нас это не коснется». Руководители обычно находят нарушения через недовольных клиентов, СМИ, блогеров, бывших сотрудников и т. д. Кроме того, конфиденциальность становится маркетинговым отличием для новых брендов и привлекает клиентов. Наконец, наведение порядка в системах - задача, с которой рано или поздно столкнется любой бизнес, стремящийся к успеху.

Есть идеи по поводу вашего проекта?

Свяжитесь с нами!

Сделать запрос

Как Dinarys помогает клиентам соответствовать PCI и GDPR?

Одним из самых ценных ресурсов в мире является информация. В результате защита данных становится главным приоритетом. Следование PCI DSS и GDPR является необходимым условием для оптимальной защиты личной информации на любом веб-сайте. Как эксперты в области разработки бизнеса электронной коммерции мы лучше, чем кто-либо другой, знаем, насколько важно для наших клиентов соблюдать эти стандарты в своей работе.

Доверие клиентов - наш главный приоритет. Мы используем CMS системы, такие как Magento и Shopware, а также сторонние расширения, которые соответствуют всем требованиям PCI + GDPR. Кроме того, мы придерживаемся всех правил соответствия системы официальному контрольному списку GDPR, когда речь идет об индивидуальной разработке. Это позволяет нашим клиентам получить больший контроль над данными, которые они собирают, а также инструменты, необходимые для защиты информации посетителей веб-сайта.

Читайте также: Интеграция с платежным шлюзом Magento: передовой опыт.

Как Magento помогает продавцам соответствовать требованиям PCI и GDPR?

Платформа Magento помогает продавцам соответствовать стандартам следующими способами:

  1. Magento Commerce (Cloud) имеет сертификацию PCI как поставщик решений уровня 1. Это означает, что продавцы, использующие Magento Commerce (Cloud), могут использовать сертификат соответствия Magento PCI для поддержки своего процесса сертификации PCI.

  1. Magento позволяет продавцам безопасно передавать информацию о кредитных картах своих пользователей с помощью метода API Direct Post, отправляя информацию непосредственно на платежный шлюз. Следовательно, Magento не работает с данными напрямую, так как они даже не попадают на сервер. Это значительно упрощает соблюдение стандарта PCI. Кроме того, хранение конфиденциальных данных за пределами сервера Magento позволяет обновлять основное приложение Magento без необходимости проходить повторную оценку соответствия PCI всей Magento платформы.

  1. Владельцы магазинов могут обеспечить соблюдение нормативных требований, безопасность данных и конфиденциальность, установив расширение GDPR. Без каких-либо изменений кода вручную и администратор, и клиент могут вносить соответствующие изменения в личную информацию, личные права и политику в отношении файлов cookie. Все, что вам нужно сделать, это установить модуль и предоставить вашим клиентам лучший опыт и гарантировать высокую безопасность при совершении покупок в вашем магазине.

Хотите, чтобы ваш бизнес соответствовал PCI DSS и GDPR?

Хотите, чтобы ваш бизнес соответствовал PCI DSS и GDPR?

Мы надеемся, что эта статья оказалась для вас полезной. Теперь вы понимаете основные правила PCI DSS и GDPR и осознаете, как с ними работать. Однако если вам трудно справиться самостоятельно, вы всегда можете обратиться за помощью к нашим специалистам Dinarys. Это станет инвестицией в будущее вашей компании, а также конкурентным преимуществом на рынке. Таким образом, вы заслужите доверие и уважение клиентов и партнеров, что, несомненно, является ценным ресурсом для любого бизнеса. Свяжитесь с нами для сотрудничества, мы будем безумно рады помочь вам в реализации вашей идеи!

FAQ

Процесс соответствия требованиям PCI, разработанный и управляемый Советом безопасности PCI, включает в себя набор технических и операционных стандартов, которым компании должны следовать для обеспечения безопасности и защиты данных кредитных карт.

Соответствие PCI DSS не предусматривается федеральным законом в США. Но некоторые действующие и будущие законы штатов фактически наделяют некоторые компоненты PCI DSS законными основаниями.

Если вы являетесь продавцом, планирующим передавать, хранить или обрабатывать данные платежных карт, вы должны соответствовать требованиям PCI.

Общие правила защиты данных - это самый строгий закон о безопасности и конфиденциальности пользователей Интернета. Этот закон был разработан и принят в Европейском Союзе и наложил обязательства на компании, которые собирают персональные данные о пользователях, связанных с ЕС, независимо от их местонахождения.

Любая компания, которая обрабатывает, хранит или использует данные людей в ЕС, должна соответствовать стандартам GDPR.

Доверьте поиск решения профессионалам

Наши сертифицированные специалисты знают, как воплотить вашу идею в реальность.

Введите имя
Введите E-mail
Пожалуйста, введите корректный телефон
Сообщение слишком короткое

Ваше сообщение было успешно отправлено. Мы скоро свяжемся! Success icon