数据保护
介绍
2018年,美国报告了1244起数据泄露事件,暴露了近4.5亿条记录(Statista). 2017年 数据泄露研究的成本 据波耐蒙研究所(Ponemon Institute)估计,每条曝光的记录的数据泄露成本为141美元. 根据这些数据,2018年美国数据泄露的成本超过62美元.9B. 记住这些数据, 很容易看出为什么数据保护在过去一年中一直是一个热点问题. 在国会就脸谱网的数据隐私做法举行听证会期间, 加州消费者隐私法案的通过, 以及数十亿用户的敏感信息被曝光, 关于这个问题的新闻报道一直不乏其人. 全球各国政府开始注意到这一点,并采取行动加强监管环境和消费者隐私.
GDPR
欧盟(EU)是最早颁布重要数据隐私法规的国家之一. 一般资料保障规例, 更广为人知的是GDPR, 是在2016年实施的,目的是让公民对自己的个人数据有更大的控制权,并更严厉地惩罚不维护公民隐私的组织.
GDPR适用于所有在欧盟运作的组织, 无论他们是总部设在那里,还是仅仅向欧盟内部的消费者提供商品和服务. GDPR包含五个主要要求:
- 所有遵守该规定的组织在处理某人的数据时必须获得同意.
- 收集的数据必须匿名,以保护隐私.
- 在数据泄露的情况下,被破坏的组织必须按照定义提供通知.
- 传输中的数据必须得到适当的保护和处理.
- 某些亚冠买球app下载必须任命一名数据保护官(DPO),负责总体上的数据隐私和保护以及更具体地说,GDPR合规.
美国在联邦层面出台类似的数据保护法只是时间问题. 目前联邦政府还没有任何法案, 美国大多数州都有自己的一套关于数据隐私和保护的法规. 对于在美国运营的亚冠买球app下载来说,这造成了一个过于复杂和低效的环境,因为它们必须不断适应并遵守在其运营的各州不同且不断变化的法律. 在GDPR引入之前,欧盟面临着类似的问题,因为欧盟内的许多国家都有自己的法律.
美国州法律
而这些领域的具体任务因州而异, 有许多州共享的标准元素. 这五个领域及其标准是:
涉及实体的定义
Any person or business who conducts business in (the state) and who owns or licenses computerized data that includes personal information; any person or business who maintains computerized data that includes personal information that the person or business does not own.
信息安全需求
维护个人身份信息的实体必须“实施和维护合理的安全程序和做法,以防止未经授权的获取。, 使用, 修改, 信息披露, 或销毁在正常业务过程中收集或维护的个人信息.”
个人身份信息(PII)定义
个人身份识别信息(PII)是可用于区分或追踪个人身份的任何数据或数据组合. 对于大多数州,PII的定义是相同的:
名字/首字母与姓氏搭配,以及以下一种或多种数据形式:
- 社会安全号码
- 状态标识号
- 驾照号
- 账户号, 信用卡#, 或其他带有密码或安全码的ID号,以便进入金融账户.
违反通知要求
所有国家都要求向必要的当事方提供通知,不得无故拖延. 在某些情况下,由于正在进行的执法调查的需要,故意推迟通知. 大多数州规定实体必须在多长时间内提供通知,要求在发现违规后的45天内提供通知.
违规罚款
在数据泄露的情况下,可以适用各种各样的罚款和处罚. 在具体情况下适用的罚款和处罚受到导致违反行为的环境和业务因素以及实体在发现违反行为后的反应是否适当的影响. 例如, 许多国家对被侵犯的实体未能在国家规定的时间内向受影响方提供适当通知的情况适用具体的处罚. 另外, 一些州区分不计后果的疏忽和故意或自愿的犯罪行为.
以及决定一个实体应该面临的惩罚程度的不同因素, 实体被罚款或处罚的原因有很多,比如未能履行数据隐私责任, 未遵守通知要求, 以及损害赔偿.
如何准备
每个亚冠买球app下载都需要确保自己遵守数据保护法律. Clearview帮助各种规模的亚冠买球app下载评估和开发规模合适且成本有效的数据保护程序. 我们的流程从使用一个全面的安全框架评估当前安全环境开始,该框架确定需要改进的关键领域,并为您提供现实的建议. 联系Aaron Kerr (akerr@www.itbswatch.com)或托德·詹宁斯(tjennings@www.itbswatch.com)浏览更多有关资料保护的资料,以及你的亚冠买球app下载如何开始采取措施改善你的资讯保安状况.