希腊的旅游业PII
HDPA(希腊数据保护当局,Αρχή Προστασίας Δεδομένων Προσώπων)专注于旅游和海事部门的PII处理。
Why?希腊拥有世界上最受欢迎的旅游目的地之一。旅游行业处理大量的游客PII:
- 护照数据
- 信用卡数据
- 旅游预订
- 度假村登记
HDPA的立场:旅游公司必须以与银行相同的方式保护这些数据。
HDPA对旅游业的关键要求
1. 护照数据的最小化
许多希腊酒店收集客人护照的完整副本。HDPA说这是过度的。
Minimal护照数据应该是:
- 护照号码(用于监管报告)
- 国籍(用于统计)
- 名字(用于预订)
不需要:
- 出生日期
- 发行/过期日期
- 护照页面图像
2. 支付卡数据
许多旅游公司存储信用卡数据用于后来的收费。HDPA说这违反了PCI DSS(支付卡行业数据安全标准)。
Minimal方法:
- 不存储信用卡数据
- 使用支付网关(Stripe、Square等)
- 支付网关处理卡数据,不是您
HDPA对海事部门的关注
希腊也是主要的航运中心。船员来自世界各地,处理他们的PII(护照、合同、工资)。
HDPA要求:
- 船员数据应该加密和分离存储
- 访问应该仅限于HR
- 数据应该在雇用结束后1年删除
AFM和AMKA
AFM(税号)
- AFM是希腊税号
- HDPA要求AFM与其他标识符分离
AMKA(社会保险号)
- AMKA是希腊社会保险号
- HDPA要求AMKA加密
底线
HDPA的关键:旅游业应该最小化PII,不存储多余的护照数据,不存储信用卡数据。
来源: