Lograr el cumplimiento de PCI DSS puede ser una experiencia relativamente larga y costosa. La necesidad de analizar y documentar cada aspecto del proceso de procesamiento de pagos con tarjeta dentro de su empresa consume recursos y tiempo. También hay que tener en cuenta la inversión no despreciable en mejores tecnologías de seguridad y encriptación.

Para el Director de Sistemas de Información, el Reglamento General de Protección de Datos promete complicar aún más las cosas y aumentar los costes. La buena noticia es que su experiencia con el proceso de cumplimiento PCI DSS podría ayudar a reducir los costos del RGPD. Aquí se enumeran tres maneras de ahorrar:

1. Ustedyaentiende el proceso de auditoría de datos

El punto de partida de cualquier ejercicio de cumplimiento de PCI DSS es comprender cómo se mueven los datos personales a través de su red y dónde se almacenan. Para demostrar el cumplimiento, usted necesita documentar sus hallazgos y mantener estos registros actualizados.

El Reglamento Global de Protección de Datos se extiende a todos los datos de identificación personal (PID), no sólo a la información relacionada con el pago. Para proteger todos los PID, primero debe saber dónde están almacenados, cómo entran y salen del negocio y las medidas de seguridad empleadas para protegerlos.

Esta familiaridad ayudará a acelerar el proceso de descubrimiento y documentación, ayudando a que sea más barato también.

2. Yatienecolocadasdefensas de seguridadexternas

PCI DSS exige que los datos de pago personalmente identificables se cifren en tanto si está en tránsito como en reposo. Los datos también se colocan detrás de cortafuegos y protecciones basadas en permisos para restringir el acceso y para colocar la información robada en un lugar que no permita su recuperación.

El principio de asegurar la PID para el cumplimiento de los RGPD es prácticamente el mismo, sólo que se aplica a una escala más amplia. Es muy probable que muchas de las medidas de seguridad empleadas para proteger los datos de pago se puedan configurar para incluir el resto del PID que almacena.

Al utilizar los sistemas de seguridad existentes, su empresa puede evitar gastos de capital adicionales significativos, reduciendo drásticamente el coste financiero del cumplimiento de RGPD.

3. Su personal yaestácapacitadoenprotección de datos

La protección de la información de pago no es una cuestión puramente técnica. Sus empleados también manejan rutinariamente los PID y deben recibir capacitación para hacerlo de manera segura, a fin de evitar pérdidas, filtraciones o robos.

Una vez más, las disciplinas detrás de la protección de los datos de pago son casi exactamente las mismas que las de los PID que usted posee. Estos principios incluyen:

  • Utilizar la informaciónsólo para el propósitoacordado por el individuo.
  • Restringir el accesointernoenfunción de las necesidades.
  • Informarinmediatamente de cualquiersospecha de infracción o pérdida.

Es posible que tenga que proporcionar formación de actualización a sus empleados, pero ya están trabajando con el estándar PCI DSS. Esta formación les da una ventaja, por lo que no tendrán que volver a aprender desde cero.

Este conocimiento existente no sólo ayudará a reducir el gasto en formación, sino también la curva de aprendizaje general, lo que significa que es mucho menos probable que los datos de sus clientes queden expuestos. Esto significa que es mucho menos probable que su empresa sea procesada y multada por infringir el RGPD.

Cerrando las brechasensuconocimiento de PCI DSS y RGPD

En última instancia, PCI DSS ha sentado las bases para el RGPD - si usted se adhiere al esquema de la industria de pagos, ya está en buen camino para lograr el cumplimiento del RGPD. Mejor aún, su conocimiento existente podría ayudar a reducir el costo de asegurar todos los PID de su organización.

Sin embargo, la realidad es que el RGPD es diferente al estándar PCI DSS. En lugar de arriesgarse y esperar que sus provisiones sean suficientes, debería asociarse con un especialista experimentado en RGPD como Advantio, quien puede ayudar a llenar los vacíos en conocimientos y protecciones.

Take the first step in your compliance journey:  Download our GDPR Mapping Questionnaire

Marco Borza

Written by Marco Borza

I am the Founder of Advantio.
Technology has been my passion since I was a kid; when I first heard the handshake of an old 300bps modem I realised security would be key in an interconnected world. Since then it has become my passion and primary focus.
The reason why I've started my own business is to make IT Security simple.

Certifications: CISSP / CCSA (Checkpoint) / ITIL Foundations / ACSA (ArcSight)/ Linux+/ PCI-QSA / PA-QSA