Regulamentação e RGPD

PCI DSS e RGPD: não são a mesma coisa e pode violar ambos

18 de fevereiro de 2025 5 min de leitura

A sobreposição entre RGPD e PCI DSS gera confusão em muitas empresas que aceitam pagamentos com cartão. A crença de que as duas normas são equivalentes, ou de que cumprir uma implica cumprir a outra, é errónea e potencialmente onerosa. O RGPD e o PCI DSS nascem de contextos distintos, regulam aspetos diferentes e, em caso de infração, ativam mecanismos sancionatórios separados que podem acumular-se. Conhecer as diferenças concretas é fundamental para construir uma estratégia de conformidade que não deixe nenhuma frente a descoberto.

PCI DSS e RGPD: não são a mesma coisa e pode violar ambos

RGPD vs PCI DSS: objetivos distintos, obrigações distintas

O RGPD é um regulamento europeu com força de lei direta em todos os Estados-membros. O seu objetivo é proteger os direitos fundamentais das pessoas singulares em relação ao tratamento dos seus dados pessoais. Aplica-se a qualquer organização que trate dados de pessoas singulares na UE, independentemente do setor. O PCI DSS é, por sua vez, uma norma técnica e contratual promovida pelo PCI Security Standards Council, fundado pelas principais redes de pagamento. O seu objetivo é proteger os dados de pagamento durante as transações e reduzir a fraude. Aplica-se a qualquer entidade que armazene, transmita ou processe dados de cartões de pagamento das redes aderentes.

As obrigações concretas são distintas. O RGPD exige uma base jurídica para cada tratamento, resposta aos direitos dos titulares (acesso, apagamento, portabilidade), nomeação de um DPO em determinados casos, registo das atividades de tratamento e notificação obrigatória à autoridade de controlo em caso de violação num prazo de 72 horas. O PCI DSS exige encriptação dos dados de cartão, segmentação de rede do CDE, vulnerability scanning trimestral, penetration test anual, gestão de acessos privilegiados com MFA e registos de auditoria contínuos. Algumas medidas são partilhadas (encriptação, controlo de acessos), mas a maioria é específica de cada norma.

Os dados de cartão ao abrigo de ambas as normas

Os dados de cartão de pagamento contêm quase sempre dados pessoais: o nome do titular, o número de conta (PAN), a data de validade e, por vezes, a morada de faturação. Isto significa que o mesmo conjunto de dados está regulado simultaneamente pelo RGPD (como dados pessoais) e pelo PCI DSS (como dados de pagamento). O tratamento destes dados exige, por conseguinte, a conformidade com ambas as normas: dispor de uma base jurídica RGPD para o armazenamento dos dados de cartão não dispensa a obrigação PCI DSS de encriptar esse dado e protegê-lo com os controlos técnicos exigidos pela norma.

A tokenização é uma das poucas ferramentas que ajuda em ambas as frentes. Substituir o PAN por um token não reversível reduz o número de registos de dados pessoais em risco (benefício RGPD) e reduz o perímetro do CDE (benefício PCI DSS). Não elimina todas as obrigações de ambas as normas, mas reduz significativamente a área de exposição e o custo global da conformidade. Para os comerciantes que armazenam dados de cartão para encomendas recorrentes, a tokenização é muitas vezes a única solução prática que satisfaz simultaneamente os requisitos de ambos os quadros regulatórios.

Em caso de violação: notificações e sanções que se acumulam

Uma violação que expõe dados de cartão ativa obrigações de notificação separadas ao abrigo das duas normas. Ao abrigo do RGPD, o responsável pelo tratamento deve notificar a autoridade de controlo num prazo de 72 horas desde que a deteta, se a violação apresentar um risco para os direitos e liberdades dos titulares. Se o risco for elevado, deve também notificar os próprios titulares. Ao abrigo do PCI DSS, o comerciante deve notificar imediatamente o adquirente e seguir os procedimentos de resposta a incidentes do esquema de pagamento, que habitualmente incluem uma investigação forense obrigatória a cargo do comerciante.

As sanções não se excluem mutuamente. A autoridade de proteção de dados pode aplicar até 4% do volume de negócios global anual por infrações graves do RGPD. O adquirente, por via contratual, pode aplicar sanções PCI DSS que vão de alguns milhares de euros por mês em caso de incumprimento continuado até sanções únicas significativas em caso de violação documentada. A estes acrescem os custos da investigação forense (entre 50.000 e 500.000 euros para violações de média dimensão), o reembolso dos chargebacks fraudulentos sobre os cartões comprometidos e os possíveis custos de substituição de cartões impostos pelos emitentes. A dupla exposição normativa transforma a violação num evento com custos muito superiores ao estimado na fase de avaliação do risco, se não se considerar a interação entre os dois quadros regulatórios.

Perguntas frequentes

O responsável pelo tratamento RGPD coincide com o comerciante PCI DSS?

Não necessariamente. Um comerciante pode ser responsável pelo tratamento RGPD (decide as finalidades do tratamento dos dados dos clientes) e ao mesmo tempo comerciante PCI DSS (aceita cartões de pagamento). Mas se o comerciante utilizar um fornecedor de serviços de pagamento, esse fornecedor será tipicamente um subcontratante RGPD para os dados de cartão e um fornecedor de serviços PCI DSS. As duas cadeias de responsabilidade coexistem em paralelo e devem ser formalizadas com acordos adequados (DPA para o RGPD, acordo de serviço com atestação PCI para o PCI DSS).

A pseudonimização RGPD equivale à tokenização PCI DSS?

São conceitos relacionados mas não equivalentes. A pseudonimização RGPD (art. 4.º) é um processo que torna os dados pessoais não atribuíveis a um titular específico sem informação adicional. A tokenização PCI substitui o PAN por um token não reversível no contexto do comerciante. Uma tokenização forte pode satisfazer os critérios de pseudonimização do RGPD, mas a pseudonimização RGPD não implica automaticamente a conformidade com os requisitos técnicos de tokenização do PCI DSS. Ambas as normas devem ser verificadas separadamente.

Devo nomear um DPO se aceitar pagamentos com cartão?

A obrigação de nomear um DPO (Data Protection Officer) depende do tipo e da escala do tratamento, não especificamente da aceitação de cartões. Um comerciante de e-commerce médio não está automaticamente obrigado a nomear um DPO apenas por aceitar cartões. A obrigação surge para empresas que tratam dados em grande escala, que realizam monitorização sistemática dos titulares ou que tratam categorias especiais de dados. Consulte o seu consultor jurídico para uma avaliação específica.

Conformidade dupla com uma única integração: a tokenização reduz o perímetro de exposição tanto ao RGPD como ao PCI DSS. Descubra a PCI Proxy EU.


Precisa de apoio na conformidade PCI?

A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.

Contacte-nos

Simplifique a conformidade PCI DSS hoje

Reduza o seu CDE, simplifique o SAQ e proteja os dados de cartão dos clientes com a PCI Proxy EU.