Certificação PCI-DSS vs. LGPD – Qual a diferença?

Muitos acreditam que é difícil e até mesmo impossível atender aos dois, a Certificação PCI-DSS é um conjunto de regras de segurança para as empresas que atuam com dados de cartão de crédito, já o compliance com a LGPD é um conjunto de regras para tratamento de dados pessoais e sensíveis. Uma vez coletado e processado os dados de cartão e os dados pessoais, sua empresa deverá garantir a segurança do ambiente em relação à privacidade segurança dos dados. É necessário tomar medidas de segurança e ter as evidencias no ambiente, uma vez que terá que responder aos órgãos de competência no caso de um possível vazamento de dados, sendo para os criadores do PCI-DSS (Visa, Master, American Express, Discover e JCB) e para a LGPD será a ANPD que atuará com as sanções se necessário.

Entretanto, para melhorar a explicação, vamos entender os pontos que se diferem entre o PCI-DSS e a LGPD.

Certificação PCI-DSS

O PCI-DSS foi desenvolvido para incentivar e aprimorar a segurança dos dados do titular do cartão e facilitar a ampla adoção de medidas consistentes de segurança de dados em todo o mundo. O PCI-DSS fornece uma linha de base de requisitos técnicos e operacionais projetados para proteger os dados da conta.

Mantenha seus sistemas seguros para que os clientes possam confiar em você com suas informações confidenciais de cartão de crédito. Quando você permanece em conformidade, você faz parte da solução – uma resposta global e unida para combater o comprometimento de dados de cartão de pagamento.

LGPD – Lei Geral de Proteção de Dados

A princípio, é extremamente necessário conhecer os principais pontos da lei. Desta forma será possível compreender qual grau de maturidade sua empresa tem em relação à privacidade e proteção de dados. Os processos por onde trafegam dados pessoais devem ser analisados e ajustados dentro da sua organização.

Através do mapeamento dos processos onde exista tratamento de dados (coleta, armazenamento, transferência, descarte, etc) na empresa. A princípio, existem diversos tipos de dados pessoais, um exemplo disso, são os dados pessoais sensíveis que exigem mais atenção no tratamento já que podem gerar alguma discriminação para o titular.

É preciso ter uma equipe multidisciplinar, afinal a privacidade e proteção não tange somente uma única área da empresa, muito pelo contrário, ela faz parte de toda organização. Podemos considerar como pilares da lei: processos, jurídico, sistemas, segurança da informação e capacitação.

Na verdade, o profissional responsável pelas questões de privacidade é o DPO. É ele quem vai estar à frente das questões de privacidade e proteção de dados, porém todos os departamentos que tratarem dados pessoais deverão estar envolvidos no projeto.

Medidas de segurança garantem um ambiente seguro!

Conte com nossa empresa, fornecemos consultoria para atingir o compliance com o PCI-DSS e também LGPD.

• Aplique testes de segurança contínuos, Scanner ASV – receba os relatórios e faça as tratativas
• Realize um Pentest ao ano ou sempre que houver alteração no escopo – receba o relatório e também o reteste
• Aplique políticas de segurança, fornecemos os modelos para implementar ao ambiente.
• Aplique medidas de segurança – Antivírus, Firewall, Certificado SSL, Criptografia, WAF, Siem, orientação e suporte para atender aos requisitos necessários para atingir ao compliance.