企业都需要知道的数据隐私和加密法律

发布时间:

  身份盗窃正在上升,公司几乎每天都会成为头条新闻,因为有关数据泄露事件的消息。因此,随着技术的不断发展和更多生命与数字世界错综复杂地交织在一起,对隐私和保护个人信息的担忧正在成为焦点。这些问题经常出现在数据保护法和隐私法规中。

  注意:我们只是涉及这些法律的加密和数据保护方面。这些法律涉及的信息要多得多。有关更深入的信息,应直接了解法律或与法律专业人士讨论这些法律如何适用于组织和行业。

  以下是应该了解的10条加密法律或法规。他们都很重要,保护用户的数据和隐私在世界各地发挥重要作用。

  该法律适用于与加州客户和/或其个人数据打交道的组织。一些小公司是免税的,因为它只适用于以下任何一个组织:

  该法律规定,不加密数据或忽视使用“合理安全程序”的公司可能会被数据受损的消费者起诉。

  2018年“加利福尼亚州消费者隐私法”(CCPA)是一项旨在保护美国加利福尼亚州消费者隐私权的立法。该法案是在欧盟通用数据保护条例(GDPR)制定之后产生的。

  为加利福尼亚州的消费者提供使用其信息的方式和方式的权利,并让企业对违反信息的信息负责。

  要求企业披露加州消费者个人信息的任何销售情况,在消费者要求时停止销售个人信息,并采取“合理步骤”来保护信息。

  防止企业歧视加利福尼亚州的消费者,他们要求提供有关如何收集或出售其信息的信息,或拒绝允许企业出售其信息的信息。

  作为这些要求的一部分,该法案规定加州消费者的个人信息必须受到保护。根据第1798.150节:

  “任何未加密或未编辑的个人信息,如第1798.81.5节(d)段第(1)项(A)项所定义的任何消费者,均可受到未经授权的访问和泄露,盗窃或披露。企业违反实施和维护合理的安全程序和做法的义务,这些程序和做法适合于保护个人信息的信息性质,可能会提起民事诉讼......“

  虽然它没有指定任何特定的安全方法,但它至少暗示应该使用加密来帮助保护信息。然而,重要的是要注意,不遵守这一规定可能会对每次违规行为处以高达2,500美元的罚款和民事罚款,或者每次故意违规行为将罚款7,500美元。

  此数据隐私法规适用于通过电子邮件处理机密和敏感个人数据的任何公共机构以及私人公司和组织。

  该法规规定,在通过开放式网络(如互联网)通过电子邮件传输机密和敏感信息时,必须使用加密。

  · 只要组织处理敏感的个人数据,就需要确保加密信息。这需要评估组织,以确定哪种加密方法最适合的特定需求。

  · 使用端到端加密(例如S / MIME,PGP和将在下面讨论的其他方法)加密此类敏感信息。

  丹麦的数据保护局对电子邮件安全非常认真。数据监察局是监测数据保护合规性的国家中央独立机构,它要求在2019年1月开始对包含个人数据的所有电子邮件使用电子邮件加密。数据保护条例规定,此保护措施需要用于包含敏感信息的所有邮件信息类型。

  “数据保护局已决定在私营部门通过电子邮件传播机密和敏感个人数据方面加强实践。因此,数据监察局的意见是,对于公共和私人行为者而言,通常是一种适当的安全措施,在通过互联网通过电子邮件传输机密和敏感的个人数据时使用加密。

  为了实现端到端加密,Data Inspectorate概述了组织可以使用各种加密方法,例如相当好的隐私(PGP),NemID(丹麦的公共自助服务登录解决方案,在线银行解决方案等),以及安全/多用途互联网邮件扩展(S / MIME),或电子邮件签名和加密证书。

  · 处理或处理敏感支付数据的任何电子商户都不会存储它,者,如果它们存在,它们“有必要的措施来保护这些数据”。

  欧洲银行管理局(EBA)针对互联网支付服务和支付服务提供商(PSP)的义务,为金融机构制定了一系列最低安全规定。该文件称为“互联网支付安全最终指南”,不影响欧洲中央银行“互联网支付安全建议”的有效性。此数据安全法规涵盖的互联网支付服务包括:

  卡片在互联网上执行卡片支付,包括虚拟卡支付,以及用于“钱包解决方案”的卡片支付数据的注册。

  电子授权——直接借记电子授权的发布和修订; 电子货币,通过互联网在两个电子货币账户之间转移电子货币。

  是否知道所有欧洲银行都需要使用扩展验证(EV)SSL证书?不,我们不是因为SSL Store™碰巧卖掉它们而不是这么做的。在第4.2节(风险控制和缓解)中,指南规定限制使用虚假网站,“提供互联网支付服务的交易网站应通过PSP名称或其他类似认证方法制定的扩展验证证书来识别。”

  考虑到最近Sectigo的一项研究显示25%的欧洲银行缺乏EV(尽管其中一些机构可能位于不属于欧盟的国家),这一点尤为有趣。

  在第11节(敏感支付数据的保护)中,指南规定,任何用于识别和验证客户的数据都应妥善保护,以防盗窃和未经授权的访问或修改。

  “PSP应确保在通过互联网交换敏感数据时,在整个相应通信会话期间在通信方之间应用安全的端到端加密,以便使用强大且广泛认可的加密来保护数据的机密性和完整性技术“。

  这些类型的数据隐私法规还扩展到存储,处理或传输敏感支付数据的第三方电子商务:

  “如果电子商务处理,即存储,处理或传输敏感支付数据,此类PSP应合同要求电子商家采取必要措施来保护这些数据。PSP应进行定期检查,如果PSP发现处理敏感支付数据的电子商务没有采取必要的安全措施,则应采取措施强制执行此合同义务或终止合同。

  当EBA法规于2014年最终确定时,所有欧盟金融机构都将有两个月的时间来遵守指南或通知EBA他们不遵守的原因。考虑到现在是2019年,每个人都应该遵守这些指导原则。

  这些标准几乎适用于处理支付卡数据的任何实体或组织,包括金融机构,商家和服务提供商。如果银行帐号是主帐号(PAN)或包含PAN数字,则这些标准也适用。

  这些标准要求不加密数据并采用适当安全程序的公司可能会受到支付卡品牌定义的罚款和处罚。PCI安全标准委员会(PCI SSC)本身不会对违规行为施加后果,罚款或处罚。

  由于这些标准是由全球委员会发布的,如果您的企业处理,处理或存储支付卡数据,您应该确保:

  · 使用加密和其他方法使某些信息不可读,包括静态数据和传输加密方法中的数据。

  如果是一个处理,传输或存储支付卡数据的组织、借记卡和信用卡,那么至少熟悉支付卡行业数据安全标准(PCI DSS)v3.2.1。该标准对于帮助保护持卡人和整个支付卡生态系统至关重要。

  最新版本的PCI DSS旨在提供补充指导,而不是取代,替换或扩展任何支付卡行业安全标准委员会(PCI SSC)标准中的要求。与我们列表中的许多其他加密法律和法规一样,它也不支持使用任何特定技术,产品或服务。

  PCI DSS规定,支付卡处理中涉及的所有实体必须保护开放的公共网络上的数据存储和传输。要求3和4分别提供了指导

  · 加密开放的公共网络(包括互联网,无线技术,蜂窝技术,通用分组无线电服务和卫星通信)上的持卡人数据传输。

  · 该支付卡行业安全标准委员会,一个全球论坛,是权威负责这些行业标准的制定。但是,他们不负责强制遵守这些规定,这取决于五大支付卡品牌:

  包括PCI 3-D(PCI 3DS)SDK安全标准和支付卡行业点对点加密(PCI P2PE)标准。这些文档提供了有关软件开发工具包和点对点产品的安全要求,评估程序和过程的其他指导。目前P2PE的行业标准是PCI点对点加密v2.0。

  下一版标准PCI P2PE v3.0预计将于2019年第四季度至2020年第一季度发布。

  在粒度级别上,可以涵盖有关PCI DSS和其他PCI相关标准的更多内容。但是,我们只有这么多时间(到目前为止我们已经花了很多时间!)。所以,现在,我们将继续讨论来自Great White North的加密法。

  该法适用于处理加拿大消费者个人商业活动数据的私营部门组织。这包括在国内运营但拥有跨越所有省或国家边界的个人数据的企业 - 除了完全在以下地区运营的组织:

  法律规定,个人和加拿大隐私专员办公室(OPC)可以对未按规定使用收集的个人数据的公司提出投诉,或实施适当的安全保障措施。随后调查的结果可能导致对组织的费用和处罚。

  加拿大有自己的数据隐私法规:例如“ 个人信息保护和电子文件法”(PIPEDA)。该联邦隐私法适用于私营部门组织,并概述了企业在商业活动过程中必须如何处理个人信息。虽然这是加拿大的法律,但它也适用于在国内运营并处理跨越省或国界的个人数据的企业。

  与GDPR非常相似,法律规定一个人的个人信息只能用于收集的目的,因此公司不能说他们只收集服务相关功能的信息然后转身使用联系人用于营销目的的信息。相反,他们必须再次获得同意,同时指定信息将用于该新目的。法律还规定,人们有权访问其个人信息并质疑其准确性。

  所有在PIPEDA下运营的企业都必须遵循10项公平信息原则: 问责制、确定目的、同意、限制收集、限制使用,披露和保留、准确性、保障、透明度、个人访问、挑战合规性、贯穿这一密集且措辞奇怪的规则是“通过适合信息敏感性的安全保护来保护信息......”这一条款虽然法规没有规定特定的保护措施,这可能是由于技术的不断变化而设计的,可能需要使用加密,防火墙和安全补丁。

  “如果联邦政府决定起诉一个案件,那么如果个人受到安全漏洞的影响,未能报告可能造成重大损害的行为可能会使私营部门组织面临高达10万美元的罚款。”

  正如我们在开始时所说,根据行业或地点,其中一些法律可能不适用于的业务。但是,重要的是要知道哪些是有效的,因为一些加密法律和法规,如GDPR和PCI DSS,具有深远意义,适用于超出其地理边界的组织。例如,GDPR适用于欧盟内外处理欧盟公民个人信息的组织,PCI DSS几乎适用于任何处理信用卡付款的人。

  可以做些什么来提高数据安全性?一般而言,有一些保护方法应该全面实施(无论行业或地点),以符合数据隐私和加密法律:

  当通过互联网等开放式网络传输信息时,无法控制信息在此过程中将通过哪些服务器和设备。这就是为什么组织内的所有内容都必须通过网站使用安全的加密连接。

  没有办法解决这个问题:如果在网站上处理敏感数据的传输,例如消费者的个人和财务信息,则需要使用安全的加密协议(HTTPS)。这意味着使用SSL / TLS(安全套接字层/传输层安全性)证书。HTTP不安全(即使谷歌也这么说),并使网站及其访问者容易受到攻击。

  当在自己的网站上使用SSL时,它会通过显示挂锁来向网站访问者保证,该挂锁表明该网站是安全的。返回搜狐,查看更多70733扬红心水论坛