021-54410609
加利福尼亚州正在淘汰旨在保护消费者私人数据的立法。作为小企业主,这对您意味着什么?我们分享一些最佳做法。
鉴于过去几年中许多数据泄露事件占据了新闻的主导地位(例如Yahoo、OPM、Anthem、Equifax甚至Facebook),数据隐私法规变得越来越重要和重要。
当局试图确保人们委托其数据的公司能够正确地处理它。
消费者数据隐私保护
迄今为止,就保护人们数据的立法而言,加利福尼亚州一直是最积极的州。由州立法机关于2018年6月颁布的《加利福尼亚消费者隐私法案》(CCPA)继续引领潮流。该法律将于2020年1月1日生效。
该法律将允许加利福尼亚州的消费者:
要求查看公司已保存的所有信息
查看与数据共享的所有第三方的完整列表
起诉公司是否违反了隐私准则,即使没有违反隐私准则
根据CCPA,公司有72小时的窗口期,必须在该窗口期内报告数据泄露事件。
某些要求仍在不断变化。最终法案包含许多需要进一步澄清的条款。一些澄清性的修正案已经颁布,还有更多可能还在进行中。
就是说,从数据安全性和隐私性的角度来看,您可以考虑将此法律作为自己企业的北极星。其他州和地区也可能会遵循类似的立法。
数据安全最佳实践
即使您的业务不受CCPA的保护,以下五种数据安全最佳实践也可以帮助您限制风险:
1.只收集您需要的东西
对您收集和持有的数据类型进行基于风险的评估。通常,将收集的数据限制为绝对需要的数据。如果您实际上并不需要客户的社会安全号码(SSN),电话号码甚至姓名,那么根本就不用收集它们!无论您收集什么,您都要负责,因此最好承担较小的风险。必须向整个组织发布已建立的数据安全策略和标准,以帮助建立正确的数据处理标准。
确保为您使用的任何供应商遵循有关供应商风险管理的标准做法。这将有助于管理第三方风险,并使您准备响应任何这些信息请求。
2.妥善保护您收集的内容
无论您收集什么数据,都需要受到保护。实施适当的数据安全措施,包括适当的访问控制,以限制谁可以访问数据。确保传输中的数据以及静态数据的加密也至关重要。
静态加密的一个示例是在端点和便携式计算机上实施全磁盘加密。这不仅可以在设备丢失或被盗的情况下保护数据,而且在某些方面还可以提供加密“安全港”。如果可以证明数据是加密的,则许多州的违反法规中包含的安全港豁免限制了公司的责任。
3. 尤其是最敏感和关键的数据
假设您确实需要为您的业务收集SSN。这类敏感数据应采用其他保护措施来保护它,例如令牌化。遵循领先行业组织概述的隐私和数据安全标准和框架,例如:
美国国家标准技术研究院(NIST)网络安全框架
支付卡行业(PCI)数据安全标准(DSS)
互联网安全中心(CIS)基准
关于服务组织审核标准的认证参与标准(SSAE)的声明
4.对数据进行分类和映射
数据分类以及存储用户数据的映射至关重要。像CCPA一样,对跟踪,访问和存储数据的要求意味着您的安全团队将需要与数据库管理员和其他利益相关者紧密合作,以获取对数据存储的可见性并确保对其进行完全安全的访问。
培训和意识不能过分强调。应对员工进行正确处理和维护每种数据类别的培训。安全培训和安全意识还有助于降低员工因仿冒电子邮件或行为而倒下的风险,这些行为不仅可能使自己的数据面临风险,而且也可能使公司面临风险。
5.制定事件响应计划
制定事件响应计划可以帮助您的组织迅速做出响应,并限制事件可能造成的损害。
该计划应包括在出现问题时应如何应对。例如,如果必须发出违规通知,您将如何处理?您还应该计划所需的任何团队或资源。如果您是一家小型企业,则可能需要聘请外部隐私专业人士或律师在事件中寻求帮助。
如何正确的选择安全产品?
Vormetric数据安全平台中内含:动态加密(Vormetric应用加密)、动态数据屏蔽(Vormetric批量数据转换)和磁盘级加密(Vormetric透明加密)。企业可以在一套平台内,依据业务和性能要求,用最低的维护成本和造价成本,实现对安全合规性要求的满足。
揽阁信息可提供的部分安全产品和解决方案信息
联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:
-
数据库访问控制:揽阁LGPAC系统
-
通用HSM:Luna HSM、ProtectServer HSM
-
支付HSM:payShield 10K
您还可以得到揽阁信息所提供的优质服务。
揽阁信息 · 值得您信赖的信息安全顾问!
联系我们
免费试用留言
客服电话