已经对《加利福尼亚消费者隐私法案》（CCPA）进行了比较，称其为“加利福尼亚居民的GDPR”。但是，如标题所示与PCI DSS进行比较可能会引起一些注意。根据CCPA的广泛定义，加州居民隐私和个人信息的保护具有与GDPR和PCI DSS相当的核心组成部分。

什么是CCPA？

在2018年6月，加利福尼亚州成为第一个颁布全面的消费者隐私法的美国州，该法律被称为《加利福尼亚消费者隐私法》（CCPA），该法律将于2020年1月1日生效。对于收集和处理个人数据的组织，预计CCPA产生重大影响。CCPA赋予加利福尼亚州居民关于个人信息的新权利，并对在加利福尼亚开展业务的组织施加了新的数据保护责任。

你为什么要在乎呢？

您的公司可能正在与加利福尼亚州的居民开展业务，或者正在加利福尼亚州开展业务。除某些例外，您的公司可能需要遵守CCPA中列出的代码。另外，您的组织可能已经对其他数据隐私和数据保护要求负责，需要对其进行审核，以确保符合CCPA。

许多人将CCPA中使用的术语描述为“广泛的”，为许多法律辩论留下了空间。尽管如此，与个人信息隐私和数据保护职责有关的两个关键领域与GDPR和PCI DSS相当：

1. CCPA将个人信息描述为包括直接或间接识别特定个人或家庭的任何数据。

2. CCPA表示，组织有责任实施和维护“合理的安全程序和做法”以保护个人信息。

如果不解决这些问题，可能会使您的组织容易提出疑问，询问或采取法律行动。这是因为CCPA允许消费者在个人信息不受保护的情况下因未执行那些“合理的安全程序和做法”而对企业提起民事诉讼。

了解什么是个人信息以及您的组织需要承担什么数据保护责任非常有用，因为诸如CCPA之类的数据隐私法规可能是“冰山一角”。美国其他几个州已经在计划自己的数据隐私法，并且有传言称联邦数据隐私法规正在制定中。

CCPA与PCI DSS相比如何？

如前所述，如果消费者的不受保护的数据暴露在数据泄露中，则企业必须使用“合理的安全程序和做法”来保护个人信息或冒险采取法律行动。

付款行业的大多数专业人员都将PCI要求视为“合理的安全措施和程序”。因此，将PCI DSS的关键数据安全要求应用于CCPA，以包括除支付卡数据之外的个人信息，可能有助于履行CCPA中的数据安全职责。

什么是PCI DSS？

从2004年开始，支付卡行业标准安全委员会（PCI SSC）发布了合并的数据安全标准（DSS）以保护持卡人数据。从那时起，PCI DSS要求不断修订和更新，以应对持卡人数据不断发展的威胁。

PCI要求3.4当前在3.2版本上，计划在未来几年内发布4.0版本，PCI要求3.4规定在存储它们的任何地方都不能读取主帐号（PAN）。该要求指定可以使用加密，令牌化，截断和单向哈希来保护存储在文件和数据库中的数据。PCI DSS的另一项要求（要求4）要求采取类似措施来保护通过公共网络传输的数据。

什么是GDPR？

通用数据保护条例（GDPR）是数据隐私法的最新版本，该法律起源于1995年首次发布的数据保护指令（DPD）。对于欧盟内部的居民来说，保持个人数据私密性是一个很高的要求多年优先。

CCPA与GDPR相比如何？

CCPA和GDPR都注重消费者的权利，而不是组织应遵守的要求。然后，企业需要解释这些权利并确定如何调用它们。关于谁和哪些信息应保密的定义是相似的。CCPA和GDPR都为消费者列出了相似的权利，包括披露或访问权，数据可移植权，删除权以及对权利要求的响应。

GDPR要求所有组织处理居住在欧盟的个人的任何个人数据，以加强其数据管理和安全策略。这包括处理欧盟居民数据的欧盟以外组织，这意味着您的组织可能已经制定了GDPR政策。CCPA当然是针对居住在加利福尼亚的个人，但是在维护数据隐私方面与GDPR相似。此要求也适用于在加利福尼亚州以外开展业务或维护加利福尼亚居民个人数据的组织。

CCPA和GDPR都使用语言描述个人信息的令牌化和匿名化（数据屏蔽），以保护数据隐私，并且将数据保密，以减少重新识别数据的可能性。

在合规性要求面前，该如何前行？

以数据为中心的安全性重点在于对数据本身进行数据保护。由于安全性随数据一起传播，因此由于数据泄露而大大降低了数据暴露的风险。以数据为中心的安全性解决了以下核心问题：保持数据私有性（CCPA和GDPR），使数据在存储和传输过程中不可读（PCI DSS）以及部署“合理的安全性程序和做法”（CCPA）。

与所有合规性要求、法规和法律一样，对于您的组织而言，在制定决策时掌握所有事实和适当的信息也很重要。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 不断变化的数据保护法规表明为什么企业必须将隐私置于核心位置

• 如何遵守不断变化的数据保护法规

• BigID和Thales合作提供全面的数据保护和隐私合规性

• PCI DSS 4.0 合规性已迫在眉睫

• 数据脱敏和数据加密一样吗？