mknews

dimanche 26
mai 2019

  

6612 News

1655 Membres

Simple & Gratuit !

Je communique
sur ma marque

    btcliquez

Je reste en veille

  facebook tw 

L'information permanente dédiée aux dirigeants et aux marketeurs

 
Accueil » tribune
 
Publié le

tribune

PCI DSS facilite-t-il la conformité au RGPD ?

En matière de protection des données, PCI DSS est un standard reconnu. Peut-on s’appuyer sur celui-ci pour adresser la conformité au RGPD ? Et si oui, dans quelle mesure ?

Introduction

Depuis le 25 mai 2018, les organisations publiques et privées qui traitent des données à caractère personnel doivent appliquer le Règlement Général sur la Protection des Données (RGPD), entré en vigueur à cette date, dès lors qu’elles sont établies sur le territoire de l’Union européenne ou que leurs activités ciblent directement des résidents européens.
Les entreprises manipulant des données de carte bancaire (entrant dans la définition de données à caractères personnelles (DCP) introduite par le RGPD) et devant appliquer le standard PCI DSS doivent désormais être également conformes au RGPD.

PCI DSS ?

Toute entreprise manipulant des données de carte bancaire peut, par le biais contractuel, se voir contrainte à se conformer à PCI DSS. C’est un standard évoluant depuis 2004, établi par les grandes marques de l’industrie des cartes de paiement et géré par le Conseil des normes de sécurité PCI (PCI SSC), dans le but de réduire les compromissions (massives) de données de carte bancaire.
Ce standard ne contient pas moins de 250 exigences et est un des textes les plus éprouvés en matière de sécurité des données.

Les deux textes ont pour objectif commun de protéger des données. Pour une entité déjà conforme PCI DSS, il est alors très tentant d’appliquer les mesures déjà mises en œuvre pour la sécurité des données de carte bancaire à toutes les données personnelles traitées. Il apparait, en effet, que de nombreux parallèles peuvent être faits.


Des mesures transposables

La sécurité des données voulue par les deux textes passe par les incontournables principes de la sécurité de l’information, qu’ils soient techniques ou organisationnels.

Le RGPD impose de sécuriser les traitements à la hauteur des risques pour les personnes concernées par les données. Pour garantir un niveau de sécurité adapté, des mesures telles que la pseudonymisation et le chiffrement des données à caractère personnel peuvent s’avérer nécessaires. Ce niveau de confidentialité de la donnée est imposé naturellement par PCI DSS aux données de carte bancaire. Les moyens techniques mis en œuvre pour rendre illisibles ces données de carte ainsi que pour chiffrer les flux transitant par des réseaux ouverts peuvent alors très bien être étendus à toute donnée à caractère personnel.

Ce n’est bien sûr qu’un exemple. Il serait aussi possible d’aborder le maintien dans le temps des mesures, le processus de notification en cas d’incidents de sécurité touchant les données concernées, ou encore la surveillance des accès, thèmes présents dans les deux textes bien que dans des mesures différentes. Et il y a d’autres points communs !

Attention cependant à ne pas perdre de vue l’objectif final du RGPD : renforcer les droits des citoyens européens vis-à-vis de leurs données personnelles. Et cela comprend leur disponibilité et leur intégrité alors que PCI DSS se focalise uniquement sur la Confidentialité


 

Toutes les news

Espace service

La lettre d'information des professionnels de la VAD, du MD, de l'E-commerce et M-commerce