compliance
2 статей с этим тегом
Что такое PCI DSS — стандарт безопасности для работы с данными платёжных карт
PCI DSS (Payment Card Industry Data Security Standard) — международный стандарт для бизнеса, который хранит, обрабатывает или передаёт данные карт. Его задают карточные бренды, и он требует защиты сети, шифрования хранимых данных, контроля доступа по принципу наименьших привилегий, мониторинга/логирования и управления уязвимостями. На практике самый безопасный шаг — не хранить номера карт у себя: передать обработку совместимому платёжному провайдеру (токенизация) и сузить область применения.
Что такое GDPR — правила защиты данных ЕС и обязанность уведомлять об утечке
GDPR (General Data Protection Regulation) — всеобъемлющий свод правил ЕС по защите персональных данных людей в ЕС, и он может дотянуться до бизнеса за пределами ЕС, обслуживающего пользователей из ЕС. Он требует законного основания (например, согласия), чёткой цели, минимизации данных, прав субъекта данных (доступ/удаление) и уведомления надзорного органа об утечке (как правило, в течение 72 часов), с крупными штрафами за серьёзные нарушения. Технически суть такова: собирайте и храните только нужные персональные данные, защищайте их и умейте быстро обнаружить и сообщить об утечке.