01.06.2018
W świecie technologii informatycznych miało miejsce wydarzenie, które wywołało u wielu osób burzę wszelkiego rodzaju emocji i opinii. Omówmy to niezwykle ważne i bezprecedensowe wydarzenie.
25 maja 2018 roku w Europie wchodzi w życie nowe wymaganie w zakresie ochrony danych osobowych: RODO — Ogólne rozporządzenie o ochronie danych osobowych. Jest to przypadek bez precedensu w historii bezpieczeństwa danych. Zgodnie z tym nowym wymogiem odpowiedzialność za ochronę danych spoczywa na kierownictwie wyższego szczebla firmy, a przy tym warto zauważyć, że odpowiedzialność ta jest bezpośrednia.
Ujawnione naruszenia wymagań RODO(GDPR) mogą podlegać karze grzywny. Sąd może nałożyć grzywnę w wysokości do 4% całkowitego obrotu firmy za poprzedni rok podatkowy, ale nie mniej niż 10 mln euro. Te liczby sprawiły duże wrażenie na menedżerach i właścicielach firm.
Sceptykom, którzy nie wierzą w całą powagę tego wymagania, możemy powiedzieć tak: w Brukseli przeszkolono 500 audytorów, którzy mają prawo sprawdzić dowolną firmę w Unii Europejskiej. A kto wie, kiedy i od jakich firm i przedsiębiorstw rozpoczną się te kontrole?
Wymogi RODO skupiają się na ochronie danych osób fizycznych będących obywatelami UE. Przy tym firma podlegająca wymogom RODO może w ogóle nie prowadzić działalności na terenie UE, a jedynie zbierać dane obywateli Unii. Do takich firm można zaliczyć na przykład sieć społecznościową Facebook.
Zwróćmy uwagę na ważne aspekty wymagań RODO:
• Firma, która gromadzi, przechowuje lub przetwarza dane osobowe, musi jasno określić cel, w jakim to robi. Firma ta musi uzyskać od każdej osoby zgodę na gromadzenie i przetwarzanie danych. Wykorzystywanie danych osobowych do celów innych niż podane lub przekazywanie tych danych firmom trzecim bez zgody właściciela jest zabronione!
• Każda firma musi wdrożyć procedury i technologie umożliwiające obywatelom uzyskiwanie informacji o wszystkich swoich danych osobowych oraz żądanie ich usunięcia z wszelkich baz danych.
• Firmy są zobowiązane do powiadamiania właścicieli danych osobowych o fakcie włamania do ich infrastruktury informatycznej lub o wycieku (utracie) danych.
RODO wywołało poruszenie nie tylko na rynku europejskim, ale i na całym świecie. Wiele firm ogłosiło, że przestają gromadzić jakiekolwiek dane osobowe i zaprzestają działalności w UE. 
Niektórzy analitycy twierdzą, że wymagania RODO mogą kolidować z wymaganiami standardu PCI DSS, a wraz z wdrożeniem RODO certyfikacja na zgodność ze standardem PCI DSS stanie się znacznie trudniejsza.
Czy to prawda? Spróbujmy to przeanalizować.
PCI DSS określa wymagania dotyczące ochrony danych posiadaczy kart płatniczych. Przy tym standard PCI DSS bardzo jasno wylicza, o jakich danych mowa:
• Imię i nazwisko;• Numer karty;• Data ważności karty;• Zawartość paska magnetycznego;• Zawartość chipa EMV;• Kod PIN;• Kod weryfikacyjny CVV/CVC2.
Oczywiste jest, że na powyższej liście danymi osobowymi są tylko imię i nazwisko. Bank wydający karty zwykle gromadzi różne dane swoich klientów, ale standard PCI DSS nie ma z tym nic wspólnego. Jednocześnie punkt 3 standardu PCI DSS wymaga, aby wszystkie wymienione dane były przechowywane tylko wtedy, gdy jest to konieczne. Innymi słowy, musi istnieć uzasadniona potrzeba biznesowa do przechowywania danych osobowych.
Zatem jeśli do transakcji bankowych nie są wymagane imię i nazwisko, wówczas bank, firma handlowa lub dostawca mogą nie przechowywać ani nie gromadzić tych danych. Jeżeli firma nie przechowuje ani nie gromadzi takich danych, to automatycznie nie podlega wymaganiom RODO (GDPR).
Inne wymagania PCI DSS zobowiązują firmy do skutecznego szyfrowania danych podczas ich przechowywania i przesyłania, a także do usuwania ich po upływie terminu ważności karty. Wymóg ten jest nie tylko zgodny z treścią i istotą wymagań RODO, ale także zawiera praktyczne zalecenia dotyczące ochrony danych osobowych.
Spełnienie wszystkich wymagań standardu PCI DSS pozwoli poprawić stan bezpieczeństwa danych, co pomoże zmniejszyć prawdopodobieństwo włamania do infrastruktury informatycznej i kradzieży danych.
Wniosek z powyższego jest prosty: menedżerowie firm przechodzących certyfikację na zgodność ze standardem PCI DSS mogą nie martwić się o spełnienie wymagań RODO. Wdrożenie rozwiązań wymaganych przez standard PCI DSS zapewni doskonałą podstawę do zapewnienia zgodności z RODO.
Eksperci firmy IT Specialist udzielają konsultacji w zakresie zgodności z wymogami PCI DSS i RODO. Po konsultacji przedstawiamy klientom plan wdrożenia niezbędnych środków ochrony. Wszystko to jest bardzo proste, jeśli cyberbezpieczeństwo firmy zostanie powierzone profesjonalistom!