kesäkuun lopulla, 2018, California kulunut AB 375, kuluttaja privacy act, että voisi olla enemmän vaikutuksia YHDYSVALTAIN yritykset kuin Euroopan Unionin Yleinen tietosuoja-Asetus (sen seurauksena), joka astui voimaan Toukokuussa 2018. Kalifornian laissa ei ole GDPR: n raskaimpia vaatimuksia, kuten kapeaa 72 tunnin ikkunaa, jossa yrityksen on ilmoitettava rikkomuksesta. Muilta osin se menee kuitenkin vielä pidemmälle.
CCPA suhtautuu GDPR: ää laajemmin yksityisiin tietoihin., Tietoturvan haasteena on siis löytää ja turvata nämä yksityiset tiedot.
Mikä on CCPA?
Kalifornian Kuluttajien Yksityisyyden Act (CCPA) on laki, joka mahdollistaa minkä tahansa California kuluttajien kysyntään nähdä kaikki tiedot, yritys on säästänyt heitä, sekä täydellinen luettelo kaikista kolmansille osapuolille, että tietoja on jaettu. Lisäksi Kalifornian laki sallii kuluttajien haastaa yrityksiä oikeuteen, jos tietosuojasääntöjä rikotaan, vaikka rikkomusta ei olisikaan.,
mitkä yritykset ei CCPA vaikuttaa?
kaikkien sellaisten yhtiöiden, jotka palvelevat Kalifornian asukkaita ja joilla on vähintään 25 miljoonan dollarin vuositulot, on noudatettava lakia. Lisäksi yritykset kaikenkokoisten jotka ovat henkilötietoja vähintään 50000 ihmistä tai jotka keräävät yli puolet tuloistaan myynnistä henkilötietoja, kuuluvat myös lain nojalla. Yritysten ei tarvitse olla Kaliforniassa tai on fyysinen läsnäolo ei kuulu lain. Heidän ei tarvitse edes olla Yhdysvalloissa.,
tarkistus tehdään huhtikuussa vapautetaan ”vakuutus laitokset, agentit, ja tukea järjestöjä”, koska ne ovat jo sovelletaan vastaavia säännöksiä Kalifornian Vakuutus Tietoja ja Privacy Protection Act (IIPPA).
milloin yritykseni on noudatettava CCPA: ta?
laki astui voimaan 1. tammikuuta 2020, mutta ulosotto alkoi 1.heinäkuuta.
mitä tapahtuu, jos yritykseni ei noudata CCPA: ta?
yrityksillä on 30 päivää aikaa noudattaa lakia sen jälkeen, kun sääntelyviranomaiset ovat ilmoittaneet heille rikkomuksesta., Jos asiaa ei ratkaista, sakko on jopa 7 500 dollaria per ennätys. ”Jos ajattelee kuinka monta kirjaa ovat vaikuttaneet rikkominen, se todella kasvaa hyvin nopeasti”, sanoo Debra Farber, vanhempi johtaja yksityisyyden strategian BigID. Koska lakiesitys on kasattu ja hyväksytty vain viikon kuluttua, se tulee todennäköisesti näkemään joitakin muutoksia, hän lisää. ”Sakkosummien kaltaiset asiat todennäköisesti muuttuvat.”
on myös toinen mahdollinen taloudellinen riski, Farber sanoo. ”Lakiesityksessä säädetään yksilön oikeudesta nostaa kanne ensimmäistä kertaa”, hän sanoo. ”Ja se sallii ryhmäkanteen vahingonkorvauksista.,”
Jälleen kerran, siellä on 30 päivän ikkuna, joka alkaa, kun kuluttajien annettava kirjallinen ilmoitus yhtiölle, että he uskovat, että heidän yksityisyyden oikeuksia on loukattu. ”Jos se ei parane ja oikeuskansleri kieltäytyy syyttämästä, niin he voivat nostaa ryhmäkanteen”, Farber sanoo. ”Ja se ei ole vain noin aukkoja.”
esimerkiksi laki määrittelee, että yrityksillä on oltava selkeästi näkyvä alatunniste verkkosivustoilla, jotka tarjoavat kuluttajille mahdollisuuden kieltäytyä tietojen jakamisesta. Jos alatunniste puuttuu, kuluttajat voivat nostaa kanteen., He voivat myös haastaa oikeuteen, jos he eivät saa tietää, miten heidän tietonsa on kerätty tai saada kopiot kyseisistä tiedoista. ”Se voi olla minkä tahansa ympärillä”, Farber sanoo.
laki määrittää erityisiä seuraamuksia olisi luvatonta käyttöä esiintyy, joko rikkomisesta, vedämme sinut, varkaus, tai ”paljastumisen seurauksena liiketoiminnan rikkoo velvollisuus toteuttaa ja ylläpitää kohtuullinen turvallisuus menettelyjä ja käytäntöjä,” Kuten tällä hetkellä kirjoitettu, AB 375 mahdollistaa rangaistuksia $100 $750 per kuluttaja per tapaus, tai todellisten vahinkojen mukaan, kumpi on suurempi.,
”Lisää kaikki muut rikkomisesta liittyvät kulut-SE vastaus, forensics ja hyödyntämistä, oikeudellinen, ilmoitus, ja niin edelleen-ja tämä voi työntää rikkomisesta valtakuntaan eksistentiaalinen uhka monille yrityksille”, sanoo Chris Prevost, johtaja runtime security-ratkaisujen arkkitehtuuria Imperva.
Yleensä, Jos yritys toteutti GDPR: n noudattamisen edellyttämät toimenpiteet, niin se on suurin osa tapaa siellä Kalifornian kuluttajansuojalain osalta. Ainakin se on lähempänä kuin jos se ei ole valmis sen seurauksena, sanoo Eric Dieterich, tietosuoja käytännössä johtaja Keskipiste Tiedot Riski, LLC., ”Jotkut monikansalliset yhtiöt tehnyt muutoksia niiden Euroopan markkinoille, mutta ehkä ei rullaa se pois YHDYSVALTAIN-pohjainen toiminta, joten saattaa olla rajauksen muutos”, hän sanoo.
mitä tietoja CCPA kattaa?
Kalifornian laki suhtautuu laajemmin siihen, mikä on arkaluonteista tietoa kuin GDPR. Esimerkiksi, haju tiedot on peitetty, sekä lukemassa historia ja tallentaa kävijän vuorovaikutusta verkkosivuilla tai sovelluksen.,ometric tietoa
tarkistuksen, AB 874, tällä hetkellä odottaa kuvernöörin allekirjoitusta olisi vapautettu julkisesti saatavilla, deidentified ja yhteenlaskettu kuluttajien tietoja on luokiteltu PII., Julkisesti saatavilla olevat tiedot määritellään julkisyhteisöjen rekistereistä saatavilla oleviksi ja ylläpidettäviksi tiedoiksi.
CCPA kattoi alun perin työntekijän sekä kuluttajatiedot. Huhtikuussa hyväksytty muutos kuitenkin vapauttaa työntekijöiden tiedot asetuksesta. Toinen tarkistus, AB, 25, osittain vapautetaan henkilökohtaisia tietoja kerätään työnhakijoista, omistajat, johtajat, virkailijat, lääketieteelliset henkilökunta ja urakoitsijat. Poikkeuksen voimassaolo päättyy 1. tammikuuta 2021. AB 25 odotti kuvernöörin allekirjoitusta tässä kirjoituksessa.
Mitkä ovat keskeiset yksityisyyden säännökset CCPA?,
yritysten on annettava kuluttajille mahdollisuus olla jakamatta tietojaan kolmansille osapuolille. Tämä tarkoittaa sitä, että yritysten on nyt pystyttävä erottamaan keräämänsä tiedot käyttäjien yksityisyysvalintojen mukaan.
lisäksi, kun yritys ei voi kieltäytyä käyttäjien tasa-palvelu, se voi tarjota kannustimia käyttäjille, jotka tarjoavat henkilökohtaisia tietoja. ”Tämä säännös saattaa muuttua, mutta kuten tänään, se antaa sinulle mahdollisuuden tarjota alennuksia ihmisille, jotka ovat halukkaita toimimaan niiden tietojen jaeta tai myydä kolmansille osapuolille,” sanoo Dieterich., ”Perinteisesti järjestelmiä ei ole suunniteltu niin, että hinnoittelun rakenne saattaa muuttua riippuen yksityisyyttä valintoja. Se on uusi käsite, jolla on teknisiä vaikutuksia.”
Toinen tärkeä ero yleisen tietosuoja-asetuksen on, että Kalifornian lain avulla asiakkaat pääsevät paremmin heidän kirjaa, sanoo Subra Ramesh, SVP tuotteita Dataguise. Kalifornian kuluttajalla on oikeus selvittää, mitä tietoja yritys kerää niistä. Useimmilla yrityksillä on vaikeuksia saada tietoa kasaan., ”Ensinnäkin, määrä tietoja he keräävät, on jo valtava ja kasvaa edelleen, usein satoja tuhansia arvoinen teratavua, ja enterprise-tason organisaatiot käsittely petatavua dataa”, hän sanoo.
että tiedot sisältyvät useisiin tallennusalustoihin, eri tiedostoaikoihin. ”Kaikkein tiedoston haku työkaluja puuttuu kyky etsiä koko moderni tiedoston repository ecosystems niin vallalla tänään,” sanoo Aaron Ganek, TOIMITUSJOHTAJA Cloudtenna. ”Cross-silo tiedostojen hallinta on suuri haaste., Jokaisen tiedoston kontekstia on vaikea ymmärtää, jos ne ovat hajallaan eri arkistoissa.”Lisäksi compliance-asiat liittyvät datan yhteen vetämiseen, hän sanoo. ”Perintö enterprise työkaluja, taistelu tarkkailla erilaisia oikeudet ja turvallisuus malleja, rikkoo lakeja ja asetuksia, niitä käytetään tyydyttää.”
sitten on aikaraja., ”Sen jälkeen, kun yhteys pyyntö, yritys on 45 päivää, tarjota heille kattava raportti siitä, millaista tietoa heillä on, se oli myyty, ja kenelle, ja jos se oli myydä kolmansille osapuolille viimeisten 12 kuukauden aikana, sen on annettava nimet ja osoitteet kolmansien osapuolten tiedot on myyty”, sanoo John Tsopanis, yksityisyyden tuotepäällikkö 1touch.io. ”Et voi tehdä, että Euroopassa.”
koska sääntö kattaa edellisen 12 kuukauden ennätykset, yritysten on alettava noudattaa kuuden kuukauden päästä, hän sanoo., Sitten, 1. tammikuuta 2020, jokaisen yrityksen on julkistettava kaikki muut yritykset, joille ne myyvät tietoja. ”Se muuttaa Amerikan yksityisyysmaisemaa ikuisesti”, Tsopanis sanoo.
mitä CCPA tarkoittaa turvallisuuden kannalta?
AB 375 on valo vaatimukset noin turvallisuus ja rikkoo vastaus verrattuna yleisen tietosuoja-asetuksen. Kuten aiemmin todettiin, laissa määritellään seuraamukset yrityksille, jotka altistavat kuluttajatiedot rikkomuksen tai tietoturvaloukkauksen vuoksi. Se mahdollistaa myös tuomioistuinten tarjota ”kielto tai toteava helpotus,” tai ”jokin muu helpotus tuomioistuin katsoo oikea.,”
Yritysten ei tarvitse ilmoittaa rikkomisista nojalla AB 375, ja kuluttajien on valituksia, ennen kuin sakot ovat mahdollisia. Tietoturvan kannalta paras toimintatapa on siis tietää, mitä tietoja AB 375 määrittelee yksityisiksi tiedoiksi ja ryhtyä toimiin sen varmistamiseksi. Jälleen, tahansa organisaatio, joka noudattaa yleisen tietosuoja-asetuksen todennäköisesti ei tarvitse ryhtyä lisätoimiin noudattamaan AB 375 kannalta turvata tietojen.,
AB 375 vaatimukset ympäri seuranta, pääsy, ja tietojen tallentaminen tarkoita, turvallisuus joukkueet tarvitsevat tiivistä yhteistyötä tietokannan ylläpitäjät, sanoo Terry Ray, senior vice president ja fellow Imperva, tietoverkkojen myyjä. Mitään työkaluja valittu auttaa käsittelemään AB 375 ei vain tarvitse olla täyden näkyvyyden tallennetut tiedot koko erilaisten yritysten ympäristö, mutta myös varmistaa, että tiedot on asianmukaisesti suojattu., ”Lopuksi, he tarvitsevat näitä työkaluja yhteistyössä uusia kuluttaja portaali jakamalla erityisiä kuluttajien tiedot todennettavissa kuluttaja pyytää sitä”, hän sanoo.
Jos tiedot tallennetaan pilvipalvelujen tarjoajien kanssa, ongelma vain pahenee. Työntekijät saattavat esimerkiksi perustaa tiedostonjakotilin pitääkseen kirjaa markkinointi-tai myyntiyhteyksistä. ”Se ei ole yllättävää, että suuret teknologian yritykset, kuten Google ja Facebook on vastustanut lakialoitetta”, sanoo Kevin Sumrow, VP turvallisuuden strategian ja uhka intelligence Venafi., ”Valvoa yksityisyyden ja henkilökohtaisten tietojen, joka virtaa välillä koneet on uskomattoman vaikeaa, ja on suuri haaste kaikille yrityksille.”
työt
bill oli koota vain seitsemän päivää, koska lainsäätäjät halusivat välttää äänestys aloite siirtää entistä tiukempi laki, joka vastusti monet teknologian yritykset. ”Juuri nyt, monet säännökset ja määritelmät ristiriidassa keskenään,” sanoo Andy Dale, lakiasiainjohtaja ja VARATOIMITUSJOHTAJA global privacy at SessionM.,
yksi ongelmallinen alue on se, voiko yritys periä kuluttajilta eri hintoja yksityisyysasetustensa perusteella. Monilla yrityksillä on esimerkiksi vaihtoehto, jossa kuluttaja voi päivittää maksulliselle tasolle, jossa ei näe mainoksia. Tässä nyt kirjoitettu laki on vähän ristiriitainen.
”Jos kuluttaja käyttää asetuksen mukaisia oikeuksiaan, yritykset voi tarjota eri tasolla tai tuotteen laatu, tavaroita tai palveluja kuluttajalle”, sanoo Pravin Kothari, TOIMITUSJOHTAJA CipherCloud., ”Toisella puolella kolikon, asetuksen mukaan yritykset eivät saa latauksen kuluttajan eri hinta tai määrä, tai tarjota eri tason tai laadun tavaroita tai palveluja kuluttajalle, jos se ero on kohtuullisen liittyvät arvo annetaan kuluttajalle kuluttajan tiedot.”
näyttää siltä, että Kalifornia yrittää määritellä puitteet, joissa kuluttajat voivat saada palkkaa tietojensa jakamisesta, Kothari sanoo. ”Tällä alalla lainsäädäntö on vähän visionäärinen”, hän sanoo. ”Näemme käytännössä, miten tämä oikeasti toimii.,”
Lisää CCPA:
- 9 CCPA kysymyksiä joka CISO pitäisi olla valmis vastaus
- CCPA on mahdollisuus saada tietoturvaa kuntoon
- Mikä on ”kohtuullinen turvallisuus”? Ja miten tavata vaatimus
- Saada tosissaan kuluttajien tietosuoja
- Miten kansalainen omistus tiedot vaikutuksista liiketoiminnan menossa eteenpäin