Compliance mit den wichtigsten Bestimmungen des CCPA und des California Data Breach Notification Statute

Der California Consumer Privacy Act (CCPA) ist Anfang 2020 in Kraft getreten, wobei am 1. Juli 2020 die sechsmonatige CCPA-Compliance-Schonfrist abgelaufen ist. Der CCPA befasst sich mit der Verwendung von Verschlüsselung zum Schutz personenbezogener Daten von Verbrauchern. Die Assembly Bill 1130, die nicht Teil des CCPA ist, wurde zur Aktualisierung des California Breach Notification Statute eingeführt und schreibt vor, dass von Datenschutzverletzungen betroffene Personen darüber benachrichtigt werden müssen, es sei denn, die Daten sind verschlüsselt und die Verschlüsselungsschlüssel wurden nicht mit den Daten erlangt.

Wer gegen die CCPA-Bestimmungen verstößt, muss für jeden vorsätzlichen Verstoß mit einer Geldstrafe von 7.500 USD rechnen. Nicht vorsätzliche Verstöße sind weniger empfindlich, aber mit jeweils 2.500 USD immer noch kostspielig. Zivilrechtliche Streitigkeiten können jedoch potenziell sehr negative Auswirkungen auf nicht konforme Organisationen haben. Für jeden Verbraucher, der von der Nichteinhaltung des CCPA betroffen ist, müssen Organisationen zivilrechtlichen Schadensersatzforderungen von bis zu 750 USD pro Verbraucher rechnen.

    Regelung

    Nachfolgend finden Sie Auszüge aus dem kalifornischen CCPA und dem Data Breach Notification Statute, bei deren Einhaltung Ihnen Entrust nShield HSMs helfen können.

    Verbraucherdatenschutz

    Abschnitt 1798.150. (a) (1) des CCPA besagt:

    Jeder Verbraucher, dessen unverschlüsselte und nicht bearbeitete personenbezogene Daten, wie in Unterabsatz (A) des Absatzes (1) des Buchstaben (d) von Artikel 1798.81.5 definiert, infolge einer Verletzung der Pflicht des Unternehmens, angemessene Sicherheitsverfahren und -praktiken einzuführen und aufrechtzuerhalten, die für die Art der Daten angemessen sind, um die personenbezogenen Daten zu schützen, einem unbefugten Zugriff und Ausschleusung, Diebstahl oder Offenlegung ausgesetzt sind, kann eine Zivilklage für jeden der folgenden Punkte einreichen:

    (A) Schadenersatz in einer Höhe von mindestens einhundert US-Dollar (100 $) und höchstens siebenhundertfünfzig US-Dollar (750 $) pro Verbraucher und Vorfall oder tatsächlichen Schäden, je nachdem, welcher Betrag höher ist

    (B) Unterlassungs- oder Feststellungsklage

    (C) Jede andere Maßnahme, die das Gericht für angemessen hält

    Der CCPA selbst enthält keine näheren Angaben zur Datenverschlüsselung, eine Änderung des kalifornischen Gesetzes über Datenverletzungen jedoch schon. Ende 2019 unterzeichneten die kalifornischen Gesetzgeber zeitgleich mit der Unterzeichnung der Änderungen zum CCPA auch Assembly Bill 1130, die sich speziell auf Verschlüsselung und den Schutz von Verschlüsselungsschlüsseln bezieht. Der folgende Text ist ein Auszug aus dem Gesetzesentwurf:

    Absatz 1789.82 des Zivilgesetzbuches wird wie folgt geändert:

    1798.82. (a) Eine Person oder ein Unternehmen, die bzw. das in Kalifornien geschäftlich tätig ist und die bzw. das Eigentümer oder Lizenznehmer von computergestützten Daten ist, die personenbezogene Daten enthalten, ist verpflichtet, eine Verletzung der Sicherheit des Systems nach der Entdeckung oder Benachrichtigung über die Verletzung der Sicherheit der Daten gegenüber einem Einwohner Kaliforniens offenzulegen, (1) dessen unverschlüsselte personenbezogene Daten von einer nicht autorisierten Person erworben wurden oder von denen vernünftigerweise angenommen wird, dass sie von einer nicht autorisierten Person erworben wurden, oder (2) dessen verschlüsselte personenbezogene Daten von einer nicht autorisierten Person erworben wurden oder von denen vernünftigerweise angenommen wird, dass sie von einer nicht autorisierten Person erworben wurden, und dessen Verschlüsselungsschlüssel oder die Sicherheitsberechtigung von einer nicht autorisierten Person erworben wurde oder von der vernünftigerweise angenommen wird, dass sie von einer nicht autorisierten Person erworben wurde, und die Person oder das Unternehmen, das die verschlüsselten Daten besitzt oder lizenziert, einen begründeten Verdacht hat, dass der Verschlüsselungsschlüssel oder die Sicherheitsberechtigung diese personenbezogenen Daten lesbar oder nutzbar machen könnte. Die Offenlegung erfolgt so schnell wie möglich und ohne unangemessene Verzögerung im Einklang mit den berechtigten Bedürfnissen der Strafverfolgung, wie in Unterabschnitt (c) vorgesehen, oder mit allen Maßnahmen, die erforderlich sind, um das Ausmaß der Verletzung zu bestimmen und die angemessene Integrität des Datensystems wiederherzustellen.

    Compliance

    Schlüsselschutz

    Die obige Änderung besagt, dass Organisationen sowohl die Daten von Einwohnern Kaliforniens verschlüsseln als auch die zugehörigen Verschlüsselungsschlüssel oder Sicherheitszugangsdaten schützen müssen, um die Vorschriften einzuhalten. Die Verschlüsselung schützt vertrauliche Informationen, einschließlich Finanzdaten, ID- und Sozialversicherungsnummern, indem sie sie unlesbar macht. Wenn Sie jedoch die Verschlüsselungsschlüssel nicht schützen, ist das so, als würden Sie Ihre Haustür abschließen und die Schlüssel unter der Fußmatte liegen lassen.

    Entrust nShield HSM-Lösungen für die Sicherheit kryptographischer Schlüssel

    Best Practice für die Sicherheit kryptographischer Schlüssel ist die Speicherung dieser Schlüssel in einem Hardware-Sicherheitsmodul (HSM). Entrust nShield® HSMs sind gehärtete, manipulationssichere Hardware-Geräte, die kryptographische Prozesse schützen, indem sie Schlüssel generieren, schützen und verwalten, die zur Ver- und Entschlüsselung von Daten und zur Erstellung von digitalen Signaturen und Zertifikaten verwendet werden. nShield HSMs wurden nach den höchsten Sicherheitsstandards getestet, validiert und zertifiziert, einschließlich FIPS 140-2 und Common Criteria. nShield HSMs ermöglichen Organisationen Folgendes:

    • Einhalten und Übertreffen etablierter und neue regulatorischer Standards für Cybersicherheit, einschließlich CCPA, DSGVO, eIDAS, PCI DSS, HIPAA usw.
    • einen höheren Grad an Datensicherheit und Vertrauen zu erzielen
    • ein hohes Serviceniveau und die Flexibilität des Unternehmens zu erhalten

    nShield as a Service ist eine abonnementbasierte Lösung zur Erstellung und zum Schutz von und zum Zugriff auf kryptographische Schlüssel mittels entsprechender FIPS- 140-2 Level 3-zertifizierter nShield Connect HSMs und getrennt von vertraulichen Daten. Die Lösung bietet dieselben Funktionen wie lokale HSMs kombiniert mit den Vorteilen eines Cloud-Dienstes. So sind Kunden in der Lage, ihre in erster Linie auf die Cloud ausgerichteten Ziele zu erfüllen und die Wartung dieser Geräte den Experten von Entrust zu überlassen.

    Ressourcen

    Compliance-Kurzdarstellung: California Consumer Privacy Act

    Entrust nShield HSMs helfen Unternehmen, die wichtigsten Anforderungen des California Consumer Privacy Act (CCPA) und des Data Breach Notification Statute zu erfüllen, indem sie Verschlüsselungsschlüssel verwalten und schützen.

    Broschüren: Broschüre zur Entrust nShield HSM-Produktfamilie

    Entrust nShield HSMs bieten eine sicherheitsgehärtete, manipulationssichere Umgebung für sichere kryptographische Verarbeitung, Schlüsselerstellung und -schutz, Verschlüsselung und vieles mehr. Die Entrust nShield-HSMs sind in drei „FIPS 140-2“-zertifizierten Formfaktoren erhältlich und unterstützen eine Vielzahl von Einsatzszenarien.

    Verwandte Produkte von nShield Connect

    Jetzt chatten