假设 GDPR 适用于您的组织，是的，您应该担心 GDPR。

PCI-DSS 合规性并不意味着 GDPR 合规性。

GDPR 中存在许多概念，而 PCI-DSS 中没有，或者具有相同的范围/期望。对我来说，您将不得不仔细研究 GDPR 的一些原则，例如：

• 用户处理其个人数据的可接受性
• 数据处理的必要性
• 对数据主体的透明度
• 对特定目的的使用限制
• 数据缩减原则（收集尽可能少的个人数据）
• 数据删除
• 数据控制者和分包商

这两个规定的范围不同。

GDPR 的范围比专注于处理和保护持卡人数据的 PCI-DSS 更广泛。GDPR 范围包括您的组织可能处理的所有个人数据。因此，它将影响您组织的许多不同部门，而不仅仅是操纵持卡人数据的部分。例如，您的人力资源部门肯定会在 GDPR 的范围内，因为他们正在收集和存储公司员工的个人数据。

如果您向欧盟居民销售商品或服务，那么可以。GDPR 法规不同于 PCI-DSS。即使您符合 PCI-DSS，也不意味着您符合 GPPR。但是，GDPR 不适用于目标受众不是欧盟居民的组织。

我们是否需要做任何额外的事情来确保我们符合 GDPR 标准？

是的，请点击此链接了解更多信息：https ://techblog.bozho.net/gdpr-practical-guide-developers/

还是 GDPR 的所有要求都包含在 PCI-DSS 要求中？

不。

有用的链接：

• https://www.eugdpr.org/
• https://www.futurelearn.com/courses/general-data-protection-regulation

GDPR 要求您采取“适当的技术和组织措施”来保护个人数据的机密性、完整性、可用性和弹性（第 32 条）。

PCI DSS 以某种方式帮助保护一种类型的个人数据——即持卡人数据。我写了一份关于 PCI DSS 在多大程度上满足 GDPR 对持卡人数据的要求的分析。

http://withoutfire.com/2018/03/gdpr-and-pci-dss-appropriate-bedfellows/

但是，PCI DSS 在保护所有其他类型的个人数据或满足其他 40 条左右适用于您的条款（即要求）方面没有多大帮助。