La sfârșitul lunii iunie, în 2018, California trecut AB 375, un consumator privacy act care ar putea avea mai multe repercusiuni asupra companiilor AMERICANE decât a Uniunii Europene Regulamentul General privind Protecția Datelor (RGPD), care a intrat în vigoare în luna Mai 2018. Legea din California nu are unele dintre cele mai oneroase cerințe ale GDPR, cum ar fi fereastra îngustă de 72 de ore în care o companie trebuie să raporteze o încălcare. În alte privințe, însă, merge și mai departe.CCPA are o viziune mai largă decât GDPR asupra a ceea ce constituie date private., Provocarea pentru securitate, atunci, este de a localiza și securiza aceste date private.
ce este CCPA?Legea privind confidențialitatea consumatorilor din California (CCPA) este o lege care permite oricărui consumator din California să solicite să vadă toate informațiile pe care o companie le-a salvat pe acestea, precum și o listă completă a tuturor părților terțe cu care sunt partajate datele. În plus, Legea din California permite consumatorilor să dea în judecată companiile dacă regulile de confidențialitate sunt încălcate, chiar dacă nu există nicio încălcare.,
Care companiile nu CJAP afecta?toate companiile care deservesc rezidenții din California și au venituri anuale de cel puțin 25 de milioane de dolari trebuie să respecte legea. În plus, companiile de orice dimensiune care au date cu caracter personal despre cel puțin 50.000 de persoane sau care colectează mai mult de jumătate din veniturile lor din vânzarea de date cu caracter personal, intră, de asemenea, sub incidența Legii. Companiile nu trebuie să aibă sediul în California sau să aibă o prezență fizică acolo pentru a intra sub incidența Legii. Nici măcar nu trebuie să aibă sediul în Statele Unite.,o modificare făcută în aprilie scutește” instituțiile de asigurare, agenții și organizațiile de sprijin”, deoarece acestea sunt deja supuse unor reglementări similare în conformitate cu Legea privind protecția informațiilor și a confidențialității din California (IIPPA).
când trebuie compania mea să respecte CCPA?
legea a intrat în vigoare la 1 ianuarie 2020, dar aplicarea a început la 1 iulie.
ce se întâmplă dacă compania mea nu respectă CCPA?
companiile au 30 de zile pentru a se conforma legii odată ce autoritățile de reglementare le notifică despre o încălcare., Dacă problema nu este rezolvată, există o amendă de până la 7.500 USD pe înregistrare. „Dacă vă gândiți la câte înregistrări sunt afectate într-o încălcare, crește într-adevăr foarte repede”, spune Debra Farber, director senior pentru strategia de confidențialitate la BigID. Deoarece proiectul de lege a fost pus împreună și a trecut în doar o săptămână, se va vedea, probabil, unele amendamente, adaugă ea. „Lucruri precum sumele fine se vor schimba probabil.”
există, de asemenea, un alt risc financiar potențial, spune Farber. „Proiectul de lege prevede dreptul unei persoane de a da în judecată , pentru prima dată”, spune ea. „Și permite procese de acțiune de clasă pentru daune.,din nou ,există o fereastră de 30 de zile care începe atunci când consumatorii notifică în scris unei companii că consideră că drepturile lor de confidențialitate au fost încălcate. „Dacă nu este vindecat și procurorul general refuză urmărirea penală, atunci pot aduce un proces de acțiune de clasă”, spune Farber. „Și nu este doar în jurul valorii de încălcări.de exemplu, legea specifică faptul că companiile trebuie să aibă un subsol clar vizibil pe site-urile web care oferă consumatorilor opțiunea de a renunța la partajarea datelor. Dacă subsolul lipsește, consumatorii pot da în judecată., De asemenea, aceștia pot da în judecată dacă nu pot afla cum au fost colectate informațiile lor sau nu pot obține copii ale acestor informații. „Poate fi în jurul valorii de orice”, spune Farber.
legea atribuie sancțiuni specifice ar trebui să accesului neautorizat apar, fie printr-o breșă, extracția, furt, sau „divulgarea, ca urmare a afacerii încălcare a obligației de a implementa și de a menține rezonabile de securitate, proceduri și practici”, Ca în prezent, în scris, AB 375 permite penalități de 100 de dolari la 750 de dolari pe consum per incident, sau daune reale, oricare dintre acestea este mai mare.,”adăugați toate celelalte costuri legate de încălcare-răspuns IT, criminalistică și recuperare, legal, notificare și așa mai departe-și acest lucru ar putea împinge o încălcare în domeniul unei amenințări existențiale pentru multe companii”, spune Chris Prevost, șeful arhitecturii soluțiilor de securitate runtime la Imperva.în general, dacă o companie a luat măsurile necesare pentru a respecta RGPD, atunci cea mai mare parte a drumului pentru Legea privind confidențialitatea consumatorilor din California. Cel puțin, este mai aproape decât dacă nu este pregătit pentru GDPR, spune Eric Dieterich, liderul practicii de Confidențialitate a datelor la Focal Point data Risk, LLC., „Unele multinaționale au făcut schimbări pentru piețele lor europene, dar poate că nu au lansat-o în activitățile din SUA, așa că ar putea exista o schimbare de domeniu”, spune el.
ce date acoperă CCPA?
Legea din California are o abordare mai largă a ceea ce constituie date sensibile decât GDPR. De exemplu, informațiile olfactive sunt acoperite, precum și istoricul de navigare și înregistrările interacțiunilor unui vizitator cu un site web sau o aplicație.,informații ometrice
Internet sau alte informații despre activitatea rețelei electronice, inclusiv, dar fără a se limita la, istoricul navigării, Istoricul căutărilor și informații privind interacțiunea unui consumator cu un site web, o aplicație sau o reclamă
date de geolocalizare
informații Audio, electronice, vizuale, termice, olfactive sau similare
informații profesionale sau legate de ocuparea forței de muncă
informații despre educație, definite ca informații care nu sunt U.,S. C. secțiunea 1232g, 34 C. F. R. o Parte 99)
Concluzii trase de la orice de la informațiile identificate în această subdiviziune a crea un profil despre un consumator să reflecte preferintele consumatorilor, caracteristicile psihologice tendințe, preferințe, predispoziții, comportament, atitudini, inteligență, abilități și aptitudini
Un amendament, AB 874, în prezent, așteaptă semnătura guvernatorului ar scuti dispoziția publicului, deidentified și agregate de informare a consumatorilor de a fi clasificate ca informații de identificare personală., Informațiile disponibile publicului sunt definite ca date disponibile și menținute din înregistrările guvernamentale.CCPA a acoperit inițial atât datele angajaților, cât și cele ale consumatorilor. Cu toate acestea, un amendament adoptat în aprilie scutește datele angajaților de regulament. Un alt amendament, AB 25, scutește parțial informațiile personale colectate de la solicitanții de locuri de muncă, proprietari, directori, ofițeri, personal medical și contractori. Această scutire ar expira la 1 ianuarie 2021. AB 25 aștepta semnătura Guvernatorului la această scriere.
care sunt prevederile cheie privind confidențialitatea în CCPA?,
companiile trebuie să permită consumatorilor să aleagă să nu partajeze datele lor cu terțe părți. Aceasta înseamnă că companiile vor trebui acum să poată separa datele pe care le colectează în funcție de opțiunile de confidențialitate ale utilizatorilor.în plus ,în timp ce o companie nu poate refuza utilizatorilor servicii egale, poate oferi stimulente utilizatorilor care furnizează informații personale. „Această prevedere ar putea fi supusă schimbării, dar, așa cum s-a menționat Astăzi, vă oferă posibilitatea de a oferi reduceri persoanelor care sunt dispuse să partajeze sau să vândă datele lor unor terțe părți”, spune Dieterich., „În mod tradițional, sistemele nu sunt proiectate astfel încât structura prețurilor dvs. să se modifice în funcție de opțiunile dvs. de confidențialitate. Acesta este un concept nou care are implicații foarte tehnice.o altă diferență majoră cu GDPR este că legea din California permite clienților un acces mult mai mare la înregistrările lor, spune Subra Ramesh, SVP de produse la Dataguise. Un consumator din California are dreptul să afle ce informații colectează o companie despre ei. Majoritatea companiilor vor avea probleme să adune aceste informații., „În primul rând, cantitatea de date pe care o colectează este deja masivă și continuă să crească, adesea în valoare de sute până la mii de terabytes și cu organizații la nivel de întreprindere care procesează petabytes de date”, spune el.
că datele sunt conținute în mai multe platforme de stocare, în momente diferite de fișiere. „Majoritatea instrumentelor de căutare a fișierelor nu au capacitatea de a căuta în ecosistemele moderne ale depozitului de fișiere atât de răspândite astăzi”, spune Aaron Ganek, CEO al Cloudtenna. „Gestionarea fișierelor cu siloz încrucișat este o provocare majoră., Este dificil de înțeles contextul pentru fiecare fișier dacă sunt împrăștiate în diferite depozite.”În plus, problemele de Conformitate sunt asociate cu colectarea datelor, spune el. „Legacy enterprise tools se luptă să respecte permisiunile și modelele de securitate disparate, încălcând chiar legile și reglementările pe care sunt folosite pentru a le satisface.”
apoi, există limita de timp., „După cerere de acces, o companie are 45 de zile pentru a le oferi un raport complet despre ce tip de informații au fost vândute, și la care, și dacă ar fi fost vândută părților terțe în ultimele 12 luni, acesta trebuie să dea nume și adrese de terți datele sunt vândute”, spune John Tsopanis, confidențialitate, manager de produs la 1touch.io. „Nu poți face asta în Europa.”
deoarece regula acoperă ultimele 12 luni de înregistrări, companiile trebuie să înceapă să respecte șase luni de acum, spune el., Apoi, la 1 ianuarie 2020, fiecare companie trebuie să dezvăluie orice altă companie căreia îi vând date. „Va schimba peisajul de confidențialitate din America pentru totdeauna”, spune Tsopanis.
ce înseamnă CCPA pentru securitate?
AB 375 este lumina pe cerințele legate de securitate și încălcarea răspuns în comparație cu RGPD. Așa cum am menționat anterior, legea definește sancțiuni pentru companiile care expun datele consumatorilor din cauza unei încălcări sau a unei întreruperi de securitate. De asemenea, permite instanțelor să ofere „scutire provizorie sau declarativă” sau „orice altă scutire pe care instanța o consideră adecvată.,”
întreprinderile nu sunt obligate să raporteze încălcările în conformitate cu AB 375, iar consumatorii trebuie să depună plângeri înainte ca amenzile să fie posibile. Cel mai bun mod de acțiune pentru securitate, atunci, este să știți ce date AB 375 definește ca date private și să luați măsuri pentru a le securiza. Din nou, orice organizație care respectă RGPD probabil nu trebuie să ia măsuri suplimentare pentru a se conforma cu AB 375 în ceea ce privește securizarea datelor.,cerințele AB 375 privind urmărirea, accesarea și stocarea datelor înseamnă că echipele de securitate vor trebui să lucreze îndeaproape cu administratorii bazelor de date, spune Terry Ray, vicepreședinte senior și coleg la Imperva, un furnizor de securitate cibernetică. Orice instrumente selectate pentru a ajuta la tratarea AB 375 nu vor trebui doar să aibă o vizibilitate completă asupra datelor stocate în întregul mediu corporativ heterogen, ci și să se asigure că accesul la aceste date este securizat în mod corespunzător., „În cele din urmă, vor avea nevoie de aceste instrumente pentru a coopera cu noul portal pentru consumatori, împărtășind date specifice consumatorilor cu consumatorul verificabil care îl solicită”, spune el.
dacă datele sunt stocate cu furnizorii de cloud, problema se înrăutățește. De exemplu, angajații ar putea configura un cont de partajare a fișierelor pentru a urmări contactele de marketing sau vânzări. „Nu e de mirare mari companii de tehnologie, cum ar fi Google și Facebook s-au opus proiectului de lege,” spune Kevin Bocek, VP de strategia de securitate și de informații amenințare la Venafi., „Controlul confidențialității și al informațiilor personale care circulă între mașini este incredibil de dificil și o provocare majoră pentru toate întreprinderile.”
o lucrare în curs
proiectul de lege a fost reunit în doar șapte zile, deoarece legislatorii doreau să evite o inițiativă de vot pentru a adopta o lege și mai strictă, care s-a opus multor companii tehnologice. „În acest moment, multe dintre prevederi și definiții intră în conflict între ele”, spune Andy Dale, consilier general și vicepreședinte al confidențialității globale la SessionM.,
un domeniu problematic este dacă o companie poate percepe consumatorilor prețuri diferite în funcție de setările lor de confidențialitate. De exemplu, multe companii au o opțiune în care un consumator poate trece la un nivel plătit în care nu văd niciun anunț. Aici, legea așa cum este scrisă în prezent este puțin contradictorie.”dacă consumatorul își exercită drepturile în temeiul Regulamentului, întreprinderile nu pot oferi consumatorului un nivel sau o calitate diferită a produsului, bunurilor sau serviciilor”, spune Pravin Kothari, CEO al CipherCloud., „Pe cealaltă parte a monedei, conform regulamentului, întreprinderilor nu le este interzis să perceapă unui consumator un preț sau o rată diferită sau să furnizeze consumatorului un nivel sau o calitate diferită a bunurilor sau Serviciilor, dacă această diferență este în mod rezonabil legată de valoarea furnizată consumatorului de datele consumatorului.”se pare că California încearcă să definească un cadru în care consumatorii pot fi plătiți pentru partajarea datelor lor, spune Kothari. „În acest domeniu legislația este un pic vizionară”, spune el. „Vom vedea în practică cum funcționează acest lucru.,”
Mai multe despre CCPA:
9 întrebări CCPA fiecare CISO ar trebui să fie pregătit să răspundă
CCPA este o oportunitate de a obține casa de securitate a datelor în ordine
ce este „Securitate rezonabilă”? Și cum să îndeplinească cerința
ia serios cu privire la protecția datelor consumatorilor
modul în care proprietatea cetățenilor asupra datelor impactul de afaceri merge mai departe