A sobreposição entre RGPD e PCI DSS é um dos aspetos mais mal interpretados na gestão dos pagamentos digitais na Europa. Muitas empresas julgam que cumprir uma das duas normas esgota as obrigações relativas aos dados de cartão. Não é assim: as duas disciplinas têm finalidades distintas, sobrepõem-se parcialmente e, em caso de violação de dados, podem gerar sanções paralelas. Compreender as diferenças é o primeiro passo para construir uma estratégia de conformidade sólida.
RGPD e PCI DSS: duas normas distintas, não alternativas
O RGPD é uma norma europeia com força de lei que protege os dados pessoais dos indivíduos. O PCI DSS é uma norma contratual definida pelas redes de pagamento (Visa, Mastercard, Amex) que protege os dados de cartão durante as transações. O RGPD aplica-se a qualquer empresa que trate dados de pessoas singulares na UE. O PCI DSS aplica-se a quem armazene, transmita ou processe dados de cartões de pagamento, independentemente da sua sede.
A diferença fundamental tem que ver com a natureza da obrigação: o RGPD impõe requisitos legais com sanções administrativas diretas. O PCI DSS cria obrigações contratuais entre comerciante, adquirente e redes de pagamento. Incumprir o RGPD expõe a procedimentos por parte da autoridade de controlo. Não respeitar o PCI DSS implica sanções comerciais, revogação da habilitação para aceitar cartões e custos de remediação impostos pelo adquirente. Nenhuma das duas normas substitui a outra.
Onde se sobrepõem: os dados de cartão entre RGPD e PCI DSS
Os dados de cartão contêm quase sempre dados pessoais: o nome do titular, o número de conta (PAN), por vezes a morada de faturação. Estes elementos enquadram-se na definição de dado pessoal do RGPD, pelo que o mesmo conjunto de dados está sujeito a ambas as normas. O RGPD exige uma base jurídica para o tratamento, minimização de dados e direitos do titular. O PCI DSS exige encriptação, controlo de acessos, segmentação de rede e monitorização contínua do CDE (Cardholder Data Environment).
Algumas medidas técnicas satisfazem ambas as normas. A tokenização, por exemplo, reduz o número de registos de dados de cartão no perímetro empresarial, diminuindo tanto o risco PCI como a exposição RGPD em caso de violação. A encriptação em repouso e em trânsito é exigida pelo PCI DSS, mas é também uma medida recomendada pelo RGPD para reduzir o risco para os titulares. Nem todas as medidas se sobrepõem: os direitos dos titulares (acesso, apagamento, portabilidade) não têm equivalente no PCI DSS e, por sua vez, os requisitos de segmentação de rede do PCI DSS vão além do exigido pela norma de privacidade.
Violação de dados: notificações e sanções cumulativas
Uma violação que afete dados de cartão ativa obrigações paralelas ao abrigo de ambas as normas. O RGPD impõe a notificação à autoridade de controlo num prazo de 72 horas desde a deteção, se a violação representar um risco para os direitos das pessoas singulares. Se o risco for elevado, é também necessário notificar os titulares. O PCI DSS exige, por sua vez, a notificação imediata ao adquirente e aos esquemas, que ativam procedimentos de resposta a incidentes com investigação forense obrigatória a cargo do comerciante.
As sanções não se excluem mutuamente. A autoridade de controlo pode aplicar sanções até 4% do volume de negócios global anual por infrações graves do RGPD. Em paralelo, o adquirente pode aplicar sanções contratuais por incumprimento do PCI DSS que vão de 5.000 a 100.000 euros por mês, para além dos custos do programa de remediação e das potenciais perdas associadas a chargebacks fraudulentos. Um único incidente pode, portanto, gerar uma dupla exposição financeira que as empresas tendem a subestimar na fase de avaliação do risco.
Perguntas frequentes
O RGPD cobre os dados de cartão em vez do PCI DSS?
Não. O RGPD protege os dados pessoais em geral, incluindo os contidos nos dados de cartão. O PCI DSS ocupa-se especificamente da segurança dos dados de pagamento durante o processamento das transações. As duas normas aplicam-se de forma cumulativa: cumprir o RGPD não dispensa o PCI DSS e vice-versa. Um comerciante que aceita cartões tem de cumprir ambas.
Se cumpro o RGPD também cumpro o PCI DSS?
Não necessariamente. As duas normas partilham algumas medidas técnicas (encriptação, controlo de acessos, minimização de dados), mas têm requisitos específicos que não se sobrepõem. O PCI DSS exige, por exemplo, vulnerability scanning trimestral, segmentação de rede do CDE e penetration test anual. Nenhuma destas obrigações é exigida explicitamente pelo RGPD.
As sanções do RGPD e do PCI DSS somam-se?
Em caso de violação de dados que afete dados de cartão, sim. As sanções do RGPD são aplicadas pela autoridade de controlo e têm natureza administrativa. As sanções do PCI DSS são aplicadas pelo adquirente de forma contratual. Não existe um mecanismo de compensação: uma empresa pode receber sanções de ambas as frentes pelo mesmo incidente, para além dos custos de investigação forense, notificação aos titulares e possíveis ações de indemnização.
Gerir RGPD e PCI DSS com uma única infraestrutura de tokenização reduz o perímetro de exposição em ambas as frentes. Descubra a PCI Proxy EU.
Precisa de apoio na conformidade PCI?
A nossa equipa ajuda a mapear o seu CDE, escolher o SAQ adequado e implementar tokenização com residência de dados na UE.
Contacte-nos