اللائحة الأوروبية لحماية البيانات والمعيار الأمني PCI للاستوديوهات
يُعرف أيضاً بـ: GDPR, PCI, خصوصية بيانات اللياقة, PCI DSS للاستوديو
هذا ليس استشارة قانونية — استعن بمحامٍ لأسئلة خاصة بولايتك القضائية. لكن الصورة العملية واضحة. تشترط GDPR معالجة البيانات الشخصية للمواطنين الأوروبيين والبريطانيين (الأسماء والبريد الإلكتروني وسجلات الحضور) بغرض مُعلن وبموافقة العضو حيثما لزم، مع تمكين الأعضاء من الوصول إلى بياناتهم وطلب حذفها، ووجود إجراءات لإبلاغ الجهات المختصة عند تسرّب البيانات. أبرز التزامات GDPR اليومية للاستوديو: سياسة خصوصية على موقعك، إمكانية تنزيل الأعضاء لبياناتهم الخاصة، وإمكانية حذف العضو بالكامل عند الطلب.
يُنظّم PCI DSS بيانات البطاقات الائتمانية. مستوى الامتثال المطلوب للاستوديو الصغير هو الفئة الأدنى (SAQ-A أو SAQ-A-EP)، مما يعني في جوهره: لا تخزّن أرقام البطاقات الكاملة على أنظمتك. استخدم معالج دفع (Stripe أو Square أو Adyen) يتولى التخزين من طرفه. يجب أن يحتفظ برنامج الاستوديو برمز مرجعي فقط، لا برقم البطاقة.
أكبر فخ امتثال للاستوديوهات هو نقل بيانات الأعضاء. إذا صدّرت ملف CSV يحتوي على بريد الأعضاء وعناوينهم ثم أرسلته عبر Gmail الشخصي لموظفيك، فذلك انتهاك لـGDPR. الحل بسيط: أبقِ الملف داخل برنامج الاستوديو، وقيّد صلاحية التصدير، واحذف الملفات المُصدَّرة بمجرد انتهاء الترحيل.
إذا كان أعضاؤك في معظمهم محليين ويتولى المعالج التعامل مع البطاقات، فأنت مغطّى 90% بمجرد استخدام برنامج متوافق. الـ10% المتبقية سياسات: إشعار خصوصية مكتوب، وإجراء واضح لحذف البيانات عند الطلب، وتوعية المدربين والموظفين بعدم مشاركة التصديرات خارج النظام.