Il gdpr pci dss overlap genera confusione in molte aziende italiane che accettano pagamenti con carta. La convinzione che le due normative siano equivalenti o che soddisfarne una implichi soddisfare l'altra è sbagliata e potenzialmente costosa. GDPR e PCI DSS nascono da contesti diversi, regolano aspetti diversi e in caso di violazione attivano meccanismi sanzionatori separati che possono cumularssi. Conoscere le differenze concrete è fondamentale per costruire una strategia di compliance che non lasci scoperto nessun fronte.
GDPR vs PCI DSS: obiettivi diversi, obblighi diversi
Il GDPR è un regolamento europeo con forza di legge diretta in tutti gli Stati membri. Il suo obiettivo è proteggere i diritti fondamentali delle persone fisiche in relazione al trattamento dei loro dati personali. Si applica a qualsiasi organizzazione che tratti dati di persone fisiche nell'UE, indipendentemente dal settore. Il PCI DSS è invece uno standard tecnico e contrattuale promosso dal PCI Security Standards Council, fondato dai principali circuiti di pagamento. Il suo obiettivo è proteggere i dati di pagamento durante le transazioni e ridurre le frodi. Si applica a qualsiasi soggetto che memorizzi, trasmetta o elabori dati di carte di pagamento dei circuiti aderenti.
Gli obblighi concreti sono diversi. Il GDPR richiede una base giuridica per ogni trattamento, risposta ai diritti degli interessati (accesso, cancellazione, portabilità), nomina di un DPO in certi casi, tenuta del registro dei trattamenti e notifica obbligatoria al Garante in caso di breach entro 72 ore. Il PCI DSS richiede cifratura dei dati carta, segmentazione di rete del CDE, vulnerability scanning trimestrale, penetration test annuale, gestione degli accessi privilegiati con MFA e audit log continui. Alcune misure sono condivise (cifratura, controllo accessi), ma la maggior parte è specifica di ciascuno standard.
I dati carta sotto entrambe le normative
I dati carta di pagamento contengono quasi sempre dati personali: il nome del titolare, il numero di conto (PAN), la data di scadenza e talvolta l'indirizzo di fatturazione. Questo significa che lo stesso set di dati è regolato contemporaneamente dal GDPR (come dati personali) e dal PCI DSS (come dati di pagamento). Il trattamento di questi dati richiede quindi il rispetto di entrambe le normative: avere una base giuridica GDPR per la memorizzazione dei dati carta non esime dall'obbligo PCI DSS di cifrare quel dato e proteggerlo con i controlli tecnici richiesti dallo standard.
La tokenizzazione è uno dei rari strumenti che aiuta su entrambi i fronti. Sostituire il PAN con un token non reversibile riduce il numero di record di dati personali a rischio (beneficio GDPR) e riduce il perimetro del CDE (beneficio PCI DSS). Non elimina tutti gli obblighi di entrambe le normative, ma riduce significativamente l'area di esposizione e il costo complessivo della compliance. Per i merchant che memorizzano dati carta per ordini ricorrenti, la tokenizzazione è spesso l'unica soluzione pratica che soddisfa simultaneamente i requisiti di entrambi i framework.
In caso di breach: notifiche e sanzioni che si sommano
Un breach che espone dati carta attiva obblighi di notifica separati sotto le due normative. Sotto il GDPR, il titolare del trattamento deve notificare il Garante entro 72 ore dalla scoperta se il breach presenta un rischio per i diritti e le libertà degli interessati. Se il rischio è elevato, deve notificare anche gli interessati stessi. Sotto il PCI DSS, il merchant deve notificare immediatamente l'acquirer e seguire le procedure di incident response dello schema di pagamento, che tipicamente includono un'indagine forense obbligatoria a spese del merchant.
Le sanzioni non si escludono reciprocamente. Il Garante può applicare fino al 4% del fatturato globale annuo per violazioni GDPR gravi. L'acquirer, per via contrattuale, può applicare sanzioni PCI DSS che variano da poche migliaia di euro al mese per non conformità continuata fino a sanzioni una-tantum significative in caso di breach documentato. A questi si aggiungono i costi dell'indagine forense (da 50.000 a 500.000 euro per breach di media entità), il rimborso dei chargeback fraudolenti sulle carte compromesse e i potenziali costi di sostituzione delle carte imposti dagli issuer. La doppia esposizione normativa rende il breach un evento con costi molto superiori a quanto stimato in fase di risk assessment se non si considera l'interazione tra i due framework.
Domande frequenti
Il responsabile del trattamento GDPR coincide con il merchant PCI?
Non necessariamente. Un merchant può essere titolare del trattamento GDPR (decide le finalità del trattamento dei dati dei clienti) e allo stesso tempo merchant PCI (accetta carte di pagamento). Ma se il merchant usa un provider di servizi di pagamento, quel provider sarà tipicamente un responsabile del trattamento GDPR per i dati carta e un service provider PCI DSS. Le due catene di responsabilità esistono in parallelo e devono essere formalizzate con accordi appropriati (DPA per il GDPR, accordo di servizio con attestazione PCI per il PCI DSS).
La pseudonimizzazione GDPR equivale alla tokenizzazione PCI?
Sono concetti correlati ma non equivalenti. La pseudonimizzazione GDPR (art. 4) è un processo che rende i dati personali non attribuibili a un interessato specifico senza informazioni aggiuntive. La tokenizzazione PCI sostituisce il PAN con un token non reversibile nel contesto del merchant. Una tokenizzazione forte può soddisfare i criteri di pseudonimizzazione GDPR, ma la pseudonimizzazione GDPR non implica automaticamente il rispetto dei requisiti tecnici di tokenizzazione del PCI DSS. I due standard vanno verificati separatamente.
Devo nominare un DPO se accetto pagamenti con carta?
L'obbligo di nomina del DPO (Data Protection Officer) dipende dal tipo e dalla scala del trattamento, non specificatamente dall'accettazione di carte. Un merchant ecommerce medio non è automaticamente obbligato a nominare un DPO solo perché accetta carte. L'obbligo scatta per aziende che trattano dati su larga scala, che effettuano monitoraggio sistematico degli interessati o che trattano categorie particolari di dati. Consulta il tuo legale per una valutazione specifica.
Conformità doppia con una sola integrazione: la tokenizzazione riduce il perimetro di esposizione sia GDPR che PCI DSS. Scopri PCI Proxy EU.