01.06.2018
В мире информационных технологий свершилось событие, поднявшее бурю всевозможных эмоций и мыслей у самых разных людей. Поговорим об этом очень важном и ранее небывалом событии.
C 25 мая 2018 года в Европе вступает в силу новое требование по защите персональных данных GDPR — General Data Protection Regulation. Это беспрецедентный случай в истории информационной безопасности. Согласно этому новому требованию ответственность за защиту данных возлагается на высшее руководство компании, при этом важно отметить, что такая ответственность является прямой.
 Выявленные нарушения требований GDPR могут караться штрафами. Суд может потребовать выплатить штраф, который составит 4% от общего дохода компании за предыдущий финансовый год, но не менее чем 10 млн евро. Такие цифры очень впечатлили руководителей и владельцев бизнеса.
Для скептиков, не верящих во всю серьёзность этого требования, скажем следующее: в Брюсселе прошли подготовку 500 аудиторов, имеющих право проверить любую компанию на территории ЕС. И кто знает, когда и с каких компаний и бизнесов начнутся эти проверки?
Требования GDPR ориентированы на то, чтобы защитить данные физических лиц, являющихся гражданами ЕС. Причём компания, попадающая под требования GDPR, может вообще не работать на территории ЕС, а только собирать данные граждан. К таким компаниям можно, например, отнести социальную сеть Facebook.
Представим вашему вниманию важную информацию о требованиях GDPR:● Компания, которая собирает, хранит или обрабатывает персональные данные, должна чётко определить цель, с которой она это делает. Такая компания должна получить разрешение от каждого человека на сбор и обработку его данных. Использование персональных данных для других целей, кроме заявленных, или передача этих данных сторонним компаниям без разрешения владельца – запрещено!● Каждая компания должна предусмотреть процедуры и технологии, позволяющие гражданам получать информацию обо всех данных о себе, и запрашивать их удаление из любых баз данных. ● Компании обязаны уведомлять владельцев персональных данных о фактах взлома своей ИТ-инфраструктуры или об утечке (утрате) данных. 
GDPR вызвал суматоху не только на европейском рынке, но и во всем мире. Многие компании объявили о том, что они прекращают собирать какие-либо персональные данные и прекращают вести бизнес на территории ЕС. К примеру, компания VERVE специализируется на таргетированной рекламе в онлайн-приложениях и мобильных играх. Данная компания прекращает свою деятельность на территории ЕС.
Некоторые аналитики заявляют, что требования GDPR могут противоречить требованиям стандарта PCI DSS, а также, что с появлением GDPR, сертификация по стандарту PCI DSS значительно усложнится.  
Так ли это? Попробуем разобраться.
PCI DSS определяет требования к защите данных держателя платёжной карты. При этом в стандарте PCI DSS очень чётко перечисляется, что к этим данным относится:• Имя и фамилия; • Номер карты;• Срок действия карты;• Содержимое магнитной дорожки;• Содержимое EMV-чипа;• Пин-код;• Проверочный код CVV/CVC2.
Очевидно, что к персональным данным из выше представленного перечня относятся только имя и фамилия. Банк, который выдаёт карточку, как правило, собирает разные данные о своих клиентах, но PCI DSS к этому отношения не имеет. При этом пункт №3 PCI DSS требует, чтобы все указанные данные хранились только при острой необходимости. Другими словами, для хранения персональных данных должна быть обоснованная бизнес-необходимость.
Соответственно, если для банковских операций имя и фамилия не нужны, тогда банк, торговое предприятие или провайдер могут эти данные не хранить и не собирать. А раз данные не хранятся и не собираются, такие компании автоматически выводят себя из-под действия стандарта GDPR. 
Другие требования PCI DSS обязывают компании надёжно шифровать данные при хранении и передаче, а также удалять их по окончании срока действия карты. Это требование не только соответствует смыслу и сути требований GDPR, но и даёт практические рекомендации по защите персональных данных.  
Выполнение всех требований стандарта PCI DSS позволит улучшить состояние защищённости данных, чем поможет снизить вероятность взлома ИТ-инфраструктуры и кражи данных. 
Вывод из выше сказанного простой: руководители компаний, которые проходят сертификацию по стандарту PCI DSS, могут не волноваться о выполнении требований GDPR. Выполнение требований стандарта PCI DSS послужит отличной базой для выполнения требований GDPR.
Эксперты компании «ИТ Специалист» проводят консультации на тему выполнения требований PCI DSS и GDPR. После консультации клиенту будет предложен план по внедрению необходимых средств защиты. Всё очень просто, если кибербезопасность компании доверить профессионалам!