Na konci června, 2018, Kalifornie prošel AB 375, spotřebitele zákon o ochraně soukromí, které mohou mít více dopad na AMERICKÉ společnosti, než Evropská Unie je Obecné Nařízení o Ochraně Údajů (obecného nařízení o ochraně údajů), který vešel v platnost v Květnu roku 2018. Kalifornský zákon nemá některé z nejnáročnějších požadavků GDPR, například úzké 72hodinové okno, ve kterém musí společnost nahlásit porušení. V jiných ohledech však jde ještě dál.
CCPA má širší pohled než GDPR na to, co představuje soukromá data., Výzvou pro bezpečnost je tedy lokalizovat a zabezpečit tato soukromá data.
co je CCPA?
Kalifornie Spotřebitele Zákon o ochraně Soukromí (CCPA) je zákon, který umožňuje Kalifornie spotřebitele požadovat, aby vidět všechny informace, které má společnost uložené na nich, stejně jako úplný seznam všech třetích stran, které data je sdílena s. Kalifornský zákon navíc umožňuje spotřebitelům žalovat společnosti, pokud jsou porušeny pokyny pro ochranu soukromí, i když nedochází k porušení.,
, Které společnosti se CCPA vliv?
všechny společnosti, které slouží obyvatelům Kalifornie a mají roční příjmy nejméně 25 milionů dolarů, musí být v souladu se zákonem. Kromě toho, společnosti všech velikostí, které osobní údaje o alespoň 50 000 lidí, nebo, že sbírat více než polovinu svých příjmů z prodeje osobních údajů, a také spadají pod zákon. Společnosti nemusí být se sídlem v Kalifornii nebo tam mají fyzickou přítomnost, aby spadaly pod zákon. Ani nemusí sídlit ve Spojených státech.,
změna provedená v dubnu osvobozuje „pojišťovací instituce, agenty a podpůrné organizace“, protože již podléhají podobným předpisům podle kalifornského zákona o pojišťovacích informacích a ochraně soukromí (IIPPA).
kdy musí moje společnost dodržovat CCPA?
zákon vstoupil v platnost 1.ledna 2020, ale vymáhání začalo 1. července.
co se stane, když moje společnost není v souladu s CCPA?
společnosti mají 30 dní na to, aby byly v souladu se zákonem, jakmile je regulátoři oznámí porušení., Pokud se problém nevyřeší, hrozí pokuta až 7500 dolarů za záznam. „Pokud přemýšlíte o tom, kolik záznamů je v rozporu ovlivněno, opravdu se velmi rychle zvyšuje,“ říká Debra Farber, senior director pro strategii ochrany osobních údajů ve společnosti BigID. Vzhledem k tomu, že návrh zákona byl sestaven a schválen za pouhý týden, bude pravděpodobně vidět některé změny, dodává. „Věci jako jemné částky se pravděpodobně změní.“
existuje také další potenciální finanční riziko, říká Farber. „Zákon stanoví právo jednotlivce žalovat, poprvé,“ říká. „A umožňuje hromadné žaloby na náhradu škody.,“
opět existuje 30denní okno, které začíná, když spotřebitelé písemně oznámí společnosti, že se domnívají, že byla porušena jejich práva na soukromí. „Pokud se to nevyléčí a nejvyšší státní zástupce odmítne stíhat, mohou podat žalobu,“ říká Farber. „A není to jen kolem porušení.“
například, zákon stanoví, že společnosti musí mít jasně viditelné zápatí na webových stránkách, které nabízejí spotřebitelům možnost odhlásit se sdílení údajů. Pokud tato zápatí chybí, mohou spotřebitelé žalovat., Mohou také žalovat, pokud nemohou zjistit, jak byly jejich informace shromážděny, nebo získat kopie těchto informací. „Může to být kolem čehokoliv,“ říká Farber.
zákon přiřadí konkrétní sankce by mělo dojít k neoprávněnému přístupu, ať už prostřednictvím porušení, exfiltrační, krádeže, nebo „prozrazení v důsledku podnikání porušení povinnosti zavést a udržovat přiměřené bezpečnostní postupy a praktiky,“ Jak je v současnosti napsán, AB 375 umožňuje sankce ve výši $100 až $750 za spotřebitele za incident, nebo skutečné škody, která je větší.,
„Přidat do všech ostatních porušení související náklady-JE reakce, forenzní a obnovy, právní, oznámení, a tak dále — a to by mohlo tlačit porušení do sféry existenční hrozbu pro mnoho podniků,“ říká Chris Prevost, vedoucí zabezpečení runtime řešení architektury na Imperva.
obecně platí, že pokud společnost podnikla kroky potřebné k dosažení souladu s GDPR, pak je to většina cesty pro Kalifornský zákon o ochraně soukromí spotřebitelů. Alespoň je to blíž, než kdyby nebylo připraveno na GDPR, říká Eric Dieterich, vedoucí praxe v oblasti ochrany osobních údajů společnosti Focal Point Data Risk, LLC., „Některé nadnárodní společnosti provedeny změny pro jejich Evropské trhy, ale možná nevěděl, roll to do USA-založené aktivity, takže tam by mohlo být stanovení rozsahu změnit,“ říká.
jaká data pokrývá CCPA?
Kalifornský zákon má širší přístup k tomu, co představuje citlivá data než GDPR. Například jsou pokryty čichové informace, stejně jako historie prohlížení a záznamy o interakcích návštěvníka s webem nebo aplikací.,ometric informace
pozměňovací návrh, AB 874, v současné době čeká na podpis guvernéra by osvobozeny veřejně k dispozici, deidentified a souhrnné informace pro spotřebitele byly klasifikovány jako údaje umožňující zjištění totožnosti., Veřejně dostupné informace jsou definovány jako údaje dostupné a udržované z vládních záznamů.
CCPA původně zahrnovala zaměstnance i spotřebitelské údaje. Novela, která byla schválena v dubnu, však osvobozuje údaje o zaměstnancích od nařízení. Další změna, AB 25, částečně osvobozuje osobní údaje shromážděné od uchazečů o zaměstnání, vlastníků, ředitelů, důstojníků, zdravotnického personálu a dodavatelů. Tato výjimka by vypršela 1. ledna 2021. AB 25 čekal na podpis guvernéra v tomto psaní.
jaká jsou klíčová ustanovení o ochraně osobních údajů v CCPA?,
společnosti musí umožnit spotřebitelům, aby se rozhodli, že nebudou mít svá data sdílena s třetími stranami. To znamená, že společnosti budou nyní muset být schopny oddělit data, která shromažďují, podle možností ochrany osobních údajů uživatelů.
společnost navíc nemůže odmítnout rovné služby uživatelů, může nabídnout pobídky uživatelům, kteří poskytují osobní údaje. „Toto ustanovení může být předmětem změny, ale jak je uvedeno dnes, dává vám možnost nabídnout slevy lidem, kteří jsou ochotni nechat své údaje sdílet nebo prodat třetím stranám,“ říká Dieterich., „Tradičně nejsou systémy navrženy tak, aby se vaše cenová struktura mohla měnit v závislosti na vašich rozhodnutích o ochraně osobních údajů. To je nový koncept, který má velmi technické důsledky.“
dalším velkým rozdílem s GDPR je to, že Kalifornský zákon umožňuje zákazníkům mnohem větší přístup k jejich záznamům, říká Subra Ramesh, SVP produktů v Dataguise. Kalifornský spotřebitel má právo zjistit, jaké informace o nich společnost shromažďuje. Většina firem bude mít problém tyto informace spojit dohromady., „Za prvé, množství dat, které sbírají je už obrovský a stále roste, často ve stovky až tisíce za tb, a s enterprise-úrovni organizace zpracování petabajtů dat,“ říká.
tato data jsou obsažena na více platformách pro ukládání dat v různých časech souborů. „Většina nástrojů pro vyhledávání souborů postrádá schopnost vyhledávat v moderních ekosystémech úložiště souborů, které jsou dnes tak rozšířené,“ říká Aaron Ganek, generální ředitel společnosti Cloudtenna. „Správa souborů Cross-silo je velkou výzvou., Je obtížné pochopit kontext pro každý soubor, pokud jsou rozptýleny uvnitř různých úložišť.“Problémy s dodržováním předpisů jsou navíc podle něj spojeny se stahováním dat. „Legacy enterprise tools se snaží dodržovat nesourodá oprávnění a bezpečnostní modely a porušují zákony a předpisy, které jsou používány k uspokojení.“
pak je tu časový limit., „Po žádosti o přístup, společnost má 45 dní na to, aby jim komplexní zprávu o tom, jaký typ informací mají, byl to prodal a komu, a jestli byla prodána třetím stranám za posledních 12 měsíců, musí dát jména a adresy třetím stranám údaje je prodal,“ říká John Tsopanis, soukromí produktový manažer v 1touch.io. „Nemůžete udělat, že v Evropě.“
vzhledem k tomu, že pravidlo pokrývá předchozích 12 měsíců záznamů, musí společnosti začít plnit šest měsíců od nynějška, říká., Pak, 1.ledna 2020, musí každá společnost zveřejnit každou jinou společnost, které údaje prodávají. „Navždy to změní krajinu soukromí v Americe,“ říká Tsopanis.
co znamená CCPA pro bezpečnost?
AB 375 je světlo na požadavky týkající se bezpečnosti a reakce na porušení předpisů ve srovnání s GDPR. Jak již bylo uvedeno výše, zákon definuje sankce pro společnosti, které vystavují údaje o spotřebitelích z důvodu porušení nebo výpadku zabezpečení. Umožňuje také soudům nabídnout “ soudní nebo deklaratorní úlevu „nebo“ jakoukoli jinou úlevu, kterou soud považuje za řádnou.,“
podniky nejsou povinny hlásit porušení podle AB 375 a spotřebitelé musí podat stížnosti dříve, než budou možné pokuty. Nejlepší postup pro bezpečnost je tedy vědět, jaká data AB 375 definuje jako soukromá data a podniknout kroky k zajištění. Opět platí, že každá organizace, která je v souladu s GDPR, pravděpodobně nemusí podniknout další kroky k dosažení souladu s AB 375, pokud jde o zabezpečení dat.,
AB 375 požadavky kolem sledování, přístup a ukládání dat na mysli bezpečnostní týmy budou muset úzce spolupracovat se správci databáze, říká Terry Ray, senior viceprezident a kolegy na Imperva, kybernetické bezpečnosti dodavatele. Všechny nástroje vybrané k řešení AB 375 budou nejen muset mít plnou viditelnost dat uložených v celém heterogenním podnikovém prostředí, ale také zajistit, aby byl přístup k těmto datům řádně zajištěn., „Nakonec budou potřebovat tyto nástroje ke spolupráci s novým spotřebitelským Portálem sdílením konkrétních spotřebitelských údajů s ověřitelným spotřebitelem, který o to požádá,“ říká.
pokud jsou data uložena u poskytovatelů cloudu, problém se jen zhorší. Zaměstnanci mohou například nastavit účet pro sdílení souborů, aby sledovali marketingové nebo prodejní kontakty. „Není překvapením, že velké technologické společnosti jako Google a Facebook proti návrhu zákona,“ říká Kevin Bocek, VP bezpečnostní strategie a hrozbách na Venafi., „Ovládání soukromí a osobních údajů, které proudí mezi stroji, je neuvěřitelně obtížné a hlavní výzvou pro všechny podniky.“
práce v pokroku
návrh zákona byl dát dohromady jen sedm dní, protože zákonodárce chtěl, aby se zabránilo volební iniciativa projít ještě přísnější zákon, který byl proti mnoha technologických společností. „Právě teď je mnoho ustanovení a definic v rozporu mezi sebou,“ říká Andy Dale, generální rada a viceprezident pro globální soukromí v Sessionmu.,
jednou z problematických oblastí je, zda SPOLEČNOST může účtovat spotřebitelům různé ceny na základě jejich nastavení ochrany osobních údajů. Například mnoho společností má možnost, kdy může spotřebitel upgradovat na placenou úroveň, kde nevidí žádné reklamy. Zde je zákon, jak je v současné době psán, trochu protichůdný.
„Pokud spotřebitel využije svého práva podle nařízení, podniky nemohou poskytnout jinou úroveň nebo kvalitu produktu, zboží nebo služeb spotřebiteli,“ říká Pravin Kothari, generální ŘEDITEL společnosti CipherCloud., „Na druhou stranu mince, a to podle nařízení, podniky nejsou zakázáno účtovat spotřebiteli jinou cenu nebo rychlost, nebo poskytuje jinou úroveň či kvalitu zboží nebo služeb pro spotřebitele, v případě, že rozdíl je v přiměřeném vztahu k hodnotě poskytnuté spotřebiteli spotřebiteli údaje.“
vypadá to, že Kalifornie se snaží definovat rámec, ve kterém mohou spotřebitelé dostat zaplaceno za sdílení svých dat, “ říká Kothari. „V této oblasti je legislativa trochu vizionářská,“ říká. „V praxi uvidíme, jak to skutečně funguje.,“
Více na CCPA:
- 9 CCPA otázky každý CISO by měl být připraven odpovědět
- CCPA je příležitost, aby se vaše data, zabezpečení domu, v pořadí
- Co je to „přiměřená bezpečnost“? A jak ke splnění požadavku
- Získat vážně o spotřebitelské ochrany údajů
- Jak občan vlastnictví dat dopady podnikání do budoucna