راهنمای انطباق قانون حفظ حریم خصوصی مصرف کننده کالیفرنیا (CCPA)

طبق قانون گذار كالیفرنیا ، قانون حفظ حریم خصوصی مصرف كنندگان در كالیفرنیا (CCPA) "اولین اقدام برای حفظ حریم خصوصی مصرف کننده در کشور" است. هیچ ایالت دیگر ایالات متحده حمایتهای مشابه GDPR را در اختیار شهروندان خود قرار نداده است ، که شامل یک شفافیت است که شرکت ها را ملزم به اطلاع مصرف کنندگان درمورد داده های جمع آوری و به اشتراک گذاشته و حق دسترسی ، حذف و حذف خود می کند. برای کسب اطلاعات بیشتر در مورد دیدار با الزامات پیروی از انطباق ، آمادگی و همچنین پیشینی که CCPA تعیین می کند ، بخوانید.

قانون حفظ حریم خصوصی مصرف کنندگان کالیفرنیا چیست؟

CCPA قانونی طراحی شده است برای محافظت از حقوق حریم خصوصی داده شهروندان ساکن کالیفرنیا. به طور خلاصه ، این قانون شرکت ها را مجبور می کند تا اطلاعات بیشتری را در مورد کارهایی که با داده های خود انجام می دهند به مصرف کنندگان ارائه دهند و کنترل بیشتری در به اشتراک گذاری داده های خود به آنها می دهد. مسئله واقعی که قانون به آن پرداخته است این است که اکثر مصرف کنندگان درک نمی کنند که اطلاعات شخصی آنها به دیگران به اشتراک گذاشته می شود یا به آنها فروخته می شود. این عمل به آنها اطمینان می دهد كه به آنها فرصت داده می شود كه از اطلاعات خود به گونه ای استفاده كنند كه آنها را رد كنند ، امتناع كنند.

چه موقع قانونگذاری به نتیجه می رسد؟

CCPA مدتهاست كه به سر می آید. این قانون در ابتدا در ژوئن سال 2018 توسط فرماندار براون تصویب شد و قرار است در تاریخ 1 ژانویه سال 2020 به مرحله اجرا برسد. در ماه های گذشته ، اصلاحات متعددی توسط قانونگذاران آغاز شد. این قانون ماه گذشته نهایی شد اما با چند ترفند جزئی. کارفرمایان می توانند با تغییر آخرین لحظه در صورتحساب ، کارمندان را از CCPA مستثنی نکنند – یعنی قوانین رضایت و حق حذف برای کارگران اعمال نمی شود.

چه کسی CCPA را تحت تأثیر قرار می دهد؟

CCPA شامل هر "مشاغل" – اشخاص حقوقی با سود – است که "اطلاعات شخصی" مصرف کننده را جمع آوری و به فروش می رساند. معافیت های معدودی وجود دارد که باید به آنها بپردازیم. قانون گذاران از لحاظ درآمد و تعداد سوابق مصرف کننده در حال پردازش برای CCPA برای ورود به سیستم ، حداقل نوار تعیین كرده اند. یك شركت باید یكی از موارد زیر را برای اعمال CCPA را داشته باشد:

• 25 میلیون دلار یا بیشتر در سال درآمد؛ یا
• اطلاعات شخصی بیش از 50،000 "مصرف کننده ، خانواده ، یا دستگاه" یا
• بیش از نیمی از داده های شخصی سالانه خود را که از اطلاعات شخصی مصرف کنندگان می فروشد ، بدست آورید.

تاکنون خوب است. اگر چاپ دقیق CCPA را بیشتر بخوانید ، متوجه خواهید شد که قانونگذاران کالیفرنیا می خواهند برخی از شرکت های بهداشتی و مالی را که قبلاً تحت قوانین امنیت داده های فدرال معاف هستند ، معاف کنند. بنابراین CCPA به این موارد اعمال نمی شود:

• ارائه دهندگان بهداشت و بیمه گرانی که قبلاً تحت نظارت HIPAA
• بانک ها و شرکت های مالی تحت پوشش گرام-لیچ-بیلی
• آژانس های گزارشگری اعتباری (Equifax ، TransUnion و غیره) فعالیت دارند. قانون گزارش دهی اعتبار منصفانه

تعاریف مهم CCPA برای درک

مانند مقررات حفاظت از داده های عمومی اتحادیه اروپا (GDPR) ، CCPA به مصرف کنندگان حقوق جدید مهمی اعطا می کند: حق دانستن (یا "شفافیت") درباره چگونگی داده ها. مورد استفاده قرار می گیرد ، حق دسترسی و حق خودداری از فروش داده های خود (انتخاب کردن برای افراد زیر سن قانونی) به اشخاص ثالث.

به طور خلاصه ، مشاغل مجبورند مصرف کنندگان را در مورد دسته های اطلاعاتی که جمع آوری می شود ، آگاه سازند. و هدفی که برای آن جمع آوری شده است – در یا قبل از آنکه اطلاعات گرفته شود. بنابراین می توان از شرکتهای کالیفرنیایی ایمیل زیادی در مورد شیوه داده آنها یا اطلاعات بیشتر ارائه شده در فرم وب در ماههای آینده انتظار داشت! البته مصرف کنندگان می توانند از رضایت خودداری کنند.

اما اگر مصرف کننده با جمع آوری داده ها موافقت کند ، از حقوق دیگری برخوردار است. آنها می توانند برای دسترسی به اطلاعات شخصی خود درخواست دسترسی پیدا کنند تا جزئیات بیشتری درباره جزئیات خاص اطلاعاتی که توسط مشاغل و اشخاص ثالث دریافت کرده اند کسب کنند. آنها همچنین حق دارند كه اطلاعات خود را حذف كنند (با استثنائات برخی استثنائات).

نکته دیگری که بسیار حائز اهمیت است: اگر مصرف کنندگان هر یک از حقوق خود را استفاده کنند ، با محرومیت از کالاها یا خدمات ، نمی توان از آنها تبعیض قائل شد. [19659005] CCPA و اطلاعات شخصی

CCPA برای اطلاعات شخصی اعمال می شود كه "شناسایی ، ارتباط با آنها ، توصیف ، قادر به همراه بودن است ، یا می تواند منطقی با مستقیم یا غیرمستقیم با مصرف کننده یا خانواده خاص در ارتباط باشد." دنیای قوانین انطباق داده ها ، این مربوط به گسترده ای است که اطلاعات شخصی شناسایی شده (PII) بدست می آید. کلمات "مربوط" یا "رابطه منطقی" کلاس بسیار بزرگی از شناسه های غیر سنتی را باز می کند – فراتر از نام ، آدرس ، شماره تأمین اجتماعی.

فقط برای اطمینان از این که شرکت ها آنچه را که اتفاق می افتد سود جستند ، قانون گذاران ذکر کردند. چند نمونه خاص ، از جمله

• آدرس ایمیل
• دسته آنلاین
• آدرس IP
• اطلاعات بیومتریک
• داده جغرافیایی
• تاریخچه مرور و جستجو

اگر می خواهید کل مسابقه تیراندازی را مشاهده کنید ، در اینجا گزیده ای از لایحه واقعی آورده شده است:

چگونه قانون حفظ حریم خصوصی مصرف کننده کالیفرنیا اجرا می شود؟

دادستان کل کالیفرنیا CCPA را اجرا می کند. اما پیچش جالبی برای اجرای آن وجود دارد. CCPA "حق اقدام خصوصی" را در مواردی که سرقت یا افشای اطلاعات شخصی غیر رمزگذاری شده یا غیرقابل ویرایش وجود دارد ، فراهم می کند.

مجازات های CCPA در دنیای واقعی

به زبان انگلیسی ساده ، این بدان معنی است که مصرف کنندگان و آنها وکلای خصوصی می توانند برای خسارت های قانونی از 100 دلار تا 750 دلار در هر تخلف یا خسارت های واقعی ، دادرسی را انجام دهند ، هر کدام بیشتر باشد. به خاطر داشته باشید که با خسارت های قانونی ، مصرف کننده مجبور نیست ثابت کند که وی این ضرر واقعی مالی را متحمل شده است ، بلکه فقط باید نشان دهد که این شرکت آن قانون را نقض کرده است! بله ، CCPA برای وکلا در زمینه حفظ حریم شخصی داده ها بسیار مهم است و شرکت ها باید نسبت به پتانسیلهای مربوط به اقدامات مربوط به کلاس اقدام کنند.

کلیدهای سازگار با CCPA

[19659019] CCPA بیشتر مربوط به حقوق حریم خصوصی مصرف کننده است. در حال حاضر یک الزام مبهم برای اجرای اقدامات امنیتی مناسب وجود دارد – ممکن است این بخش در آینده واضح تر باشد.

تهیه CCPA

با توجه به این نکته ، آماده سازی برای CCPA تفاوت آن با توصی ما نیست. برای آماده سازی برای GDPR اتحادیه اروپا – فکر می کنید که GDPR مطمئناً الزامات امنیتی سختگیرانه تری در کتاب ها دارد. در واقع ، کاغذ سفید GDPR ما یک برنامه کلی خوب برای مقابله با امنیت و حفظ حریم شخصی CCPA دارد. اگر ما مجبور بودیم آنچه را که شما باید در چند جمله کوتاه انجام دهید خلاصه کنید ، این این است:

Groundwork

1. دارایی داده های خود را شناسایی و طبقه بندی کنید: اطلاعات مکانی شخصی CCPA را در کجا قرار دهید و اطلاعات را پیدا کنید. با بررسی مجوزهای دسترسی ، در معرض خطر قرار دارید.
2. اطلاعات شخصی CCPA را عمیقاً جستجو کنید تا پوشه هایی را که به ندرت دسترسی دارند شناسایی کنید. اطلاعات شخصی قدیمی در خدمت اهداف کمی نیست و یک خطر امنیتی غیر ضروری است!

پیاده سازی

1. پس از تجزیه و تحلیل داده های شخصی و مجوزهای آنها ، مجوزهای صحیح را تنظیم کنید. یک اقدام امنیتی بسیار مؤثر برای محدود کردن دسترسی به اطلاعات به افرادی که به آن نیاز دارند بعنوان بخشی از کار خود یا کنترل دسترسی دسترسی مبتنی بر نقش.
2. بایگانی یا حذف داده های شخصی قدیمی.
3. برنامه ای را برای نظارت بر داده های شخصی در برابر تهدیدات بیرونی اجرا کنید. و دسترسی غیرمجاز.
4. با بررسی مداوم داده ها و مجوزهای آن ، امنیت و حفظ حریم شخصی اطلاعات را حفظ کنید.

حفظ

1. در جستجوی تهدیدهای سایبری جدید باشید ، و امنیت و امنیت را در صورت لزوم تنظیم کنید. [19659011] بازگشت به مرحله 1! شما واقعاً با CCPA یا هر نوع استاندارد دیگری از انطباق کار نکرده اید – همیشه در برخی مراحل هستید.

CCPA همچنین برای دسترسی به مصرف کننده و حذف داده های آنها الزاماتی دارد. با این حال ، اگر کار طبقه بندی داده های شخصی را انجام داده اید ، این مرحله لزوماً نباید سنگین باشد ، به ویژه اگر فناوری صحیحی داشته باشید.

امنیت داده ها در CCPA و NIST CIS Framework

موازی های آشکار وجود دارد. بین CCPA و GDPR اتحادیه اروپا. یک موسسه حقوقی با رحمت این نمودار را با یکدیگر مقایسه کرده است. یکی از تفاوت های مهم CCPA و GDPR این است که قانون اتحادیه اروپا الزامات امنیتی بسیار قوی ای در مورد داده ها دارد. GDPR حاوی قوانین حفظ حریم خصوصی داده ها و قوانین امنیتی است. این مورد در مورد CCPA ، که به حفظ حریم خصوصی مصرف کنندگان متمرکز است ، صحیح نیست.

طی چند ماه گذشته ، چندین اصلاح در اطراف ساکرامنتو رخ داده است. AB-1035 مورد توجه من ، AB-1035 ، زبان خاصی را درمورد… امنیت داده ها می افزاید.

AB-1035 این چالش را برای تعریف جمله معروف بویلر "امنیت مناسب" ، که اغلب در نقض داده های دولت یافت می شود ، می گیرد. قوانین اما به طور معمول بدون توضیحی به آن معنا می یابد. این اصلاحیه به طرز جسورانه چارچوب NIST را برای بهبود امنیت سایبری زیرساختهای بحرانی (CIS) و استاندارد دیگر NIST 800-171 پیشنهاد می کند ، که یک نسخه بریده شده از دائرyclالمعارف 800-53 ، به عنوان یک استاندارد امنیتی اولیه برای دولت است.

این یک معامله بزرگ است: حتی GDPR اتحادیه اروپا به صراحت به استانداردهای داده خارجی نمی پردازد. افسوس ، این اصلاحیه برای كالیفرنیا بسیار رادیكال بود: CCPA در 13 سپتامبر نهایی شد و این لایحه شامل این اصلاحیه خاص نیست. خوب.

بیایید به اعتبار کالیفرنیا برای بررسی چارچوب CIS اعتبار بدهیم. در صورت فراموش شدن ، چارچوبی برابر با استاندارد امنیتی نیست. در عوض ، این نوعی فراداده استاندارد است ، لیستی از کنترلهای متا امنیتی را که در کنترل استانداردهای داده موجود به کنترلهای امنیتی واقعی وارد می شوند ، فراهم می کند.

چارچوب CIS از نقشه برداری ها پشتیبانی می کند ، بطور حیرت انگیز ، NIST 800.53 و موارد معمول دیگر. مظنونین ، از جمله COBIT 5 ، SANS CCS ، ISO 270001 ، و ISA 62443.

ایده بزرگ در چارچوب NIST CIS این است که شرکت هایی که قبلاً از استانداردهای امنیتی موجود داده ها پیروی می کنند ، می توانند به این کار ادامه دهند. آنها به سادگی قسمت های CIS را که پوشش داده اند بررسی کرده و در صورت لزوم کاستی ها را پر می کنند. چارچوب CIS به عنوان یک مبنای قانونی برای انطباق ، منطقی است زیرا شرکت ها را به دلیل داشتن برنامه های امنیت داده در حال حاضر مجازات نمی کند!

آینده حفظ حریم شخصی و امنیت داده ها: میراث CCPA

CCPA در حال حاضر موج می زند. . با اینكه واشنگتن هنوز رهبری را در سطح فدرال ارائه نمی دهد ، جای تعجب نیست كه سایر كشورها از كالیفرنیا سرپیچی كرده و قوانین حریم خصوصی خود را تهیه كرده اند. در حال حاضر چندین قانون کپی برداری CCPA از نیویورک ، ماساچوست ، مریلند ، داکوتای شمالی و ایالت های دیگر وجود دارد. و اگر به پیشنهاد اخیر مدیران آمریكا برای قانونی برای حریم خصوصی فدرال توجه كنید ، این بیش از شباهت به CCPA است.

تغییر صورت می گیرد ، چه از ایالت خود شما باشد و چه نهایتا در سطح فدرال. شركتها بايد با هماهنگ كردن امنيت داده ها و شيوه هاي حفظ حريم خصوصي با CCPA ، آن را هوشمندانه بازی كنند. به طور خاص ، آنها باید برنامه ها و فناوری هایی برای طبقه بندی داده های شخصی ، محافظت از آن داشته باشند ، و سپس مرتباً از تهدیدها نظارت و تحلیل کنند.

چگونه وارونیس چگونه به CCPA کمک می کند؟

واریونیس دارای سابقه ای در زمینه کمک به شرکتها برای پیروی از قوانین مختلف امنیت داده ها و استانداردهای انطباق (PCI DSS و بسیاری دیگر) است. می توانید اطلاعات بیشتری در مورد چگونگی کمک به ما در این سری جذاب از پست های وبلاگ در همین موضوع بخوانید.

اما در اینجا یک تور سریع از رویکرد وارونیس به پیروی از این مقاله آمده است. گزارش های DatAdvantage می تواند به کارکنان IT کمک کند تا پوشه های حاوی داده های حساس CCPA را شناسایی و فهرست کنند. با استفاده از DatAdvantage با عمق عمیق تر ، می توانند آن پوشه هایی را پیدا کنند که دارای مجوزهای گسترده باشند – دسترسی به همه را می گویند. گزارش های DatAdvantage همچنین می تواند به گروههای IT کمک کند تا افرادی که به پرونده های حاوی داده های CCPA دسترسی دارند دسترسی پیدا کنند.

آنها می توانند به مرحله بعدی منتقل شوند و از DatAdvantage استفاده کنند تا صاحبان داده های واقعی پوشه ها را بدست آورند – افرادی که بهترین مشاغل تجاری هستند. دانستن اینکه چه کسی مجاز است و چه کسی باید کنار گذاشته شود. DatAdvantage می تواند از طریق توصیه های خودکار برای مالکیت گروه در این فرایند کمک کند و همچنین می تواند به طور خودکار حقوق دسترسی را تنظیم کند. سپس DataPrivilege با هدایت درخواستهای دسترسی آینده از سوی کاربران مستقیماً به صاحبان آگاهی بهتر ، صاحبان داده را در حلقه نگه می دارد.

DatAlert نرم افزار مانیتورینگ همیشه فعال ماست که فناوری اطلاعات ، کارمندان را شناسایی می کند و به آنها هشدار می دهد. دسترسی غیرمجاز ، استفاده از بدافزار یا سایر فعالیتهای غیرمعمول. با هشدار فناوری اطلاعات ، آنها می توانند به یک حمله احتمالی پاسخ دهند و اقدامات مناسب را انجام دهند – غیرفعال کردن حساب ، پرونده های قرنطینه ، و غیره.

سرانجام ، برای رسیدگی به درخواست مصرف کننده CCPA برای داده ها ، DatAnswers می تواند به سرعت اطلاعات شخصی را پیدا کند و سپس به شرکت اجازه دهد.

می خواهید اطلاعات بیشتری کسب کنید؟

بدانید که چگونه وارونیس می تواند با انجام یک تور محصولی سفارشی با یکی از مهندسان امنیتی ما ، شما را در آمادگی برای CCPA یاری دهد.