California Consumer Privacy Act

Nachfolgend finden Sie Auszüge aus dem kalifornischen CCPA und dem Data Breach Notification Statute, bei deren Einhaltung Ihnen Entrust nShield HSMs helfen können.

Verbraucherdatenschutz

Abschnitt 1798.150. (a) (1) des CCPA besagt:

Jeder Verbraucher, dessen unverschlüsselte und nicht bearbeitete personenbezogene Daten, wie in Unterabsatz (A) des Absatzes (1) des Buchstaben (d) von Artikel 1798.81.5 definiert, infolge einer Verletzung der Pflicht des Unternehmens, angemessene Sicherheitsverfahren und -praktiken einzuführen und aufrechtzuerhalten, die für die Art der Daten angemessen sind, um die personenbezogenen Daten zu schützen, einem unbefugten Zugriff und Ausschleusung, Diebstahl oder Offenlegung ausgesetzt sind, kann eine Zivilklage für jeden der folgenden Punkte einreichen:

(A) Schadenersatz in einer Höhe von mindestens einhundert US-Dollar (100 $) und höchstens siebenhundertfünfzig US-Dollar (750 $) pro Verbraucher und Vorfall oder tatsächlichen Schäden, je nachdem, welcher Betrag höher ist

(B) Unterlassungs- oder Feststellungsklage

(C) Jede andere Maßnahme, die das Gericht für angemessen hält

Der CCPA selbst enthält keine näheren Angaben zur Datenverschlüsselung, eine Änderung des kalifornischen Gesetzes über Datenverletzungen jedoch schon. Ende 2019 unterzeichneten die kalifornischen Gesetzgeber zeitgleich mit der Unterzeichnung der Änderungen zum CCPA auch Assembly Bill 1130, die sich speziell auf Verschlüsselung und den Schutz von Verschlüsselungsschlüsseln bezieht. Der folgende Text ist ein Auszug aus dem Gesetzesentwurf:

Absatz 1789.82 des Zivilgesetzbuches wird wie folgt geändert:

1798.82. (a) Eine Person oder ein Unternehmen, die bzw. das in Kalifornien geschäftlich tätig ist und die bzw. das Eigentümer oder Lizenznehmer von computergestützten Daten ist, die personenbezogene Daten enthalten, ist verpflichtet, eine Verletzung der Sicherheit des Systems nach der Entdeckung oder Benachrichtigung über die Verletzung der Sicherheit der Daten gegenüber einem Einwohner Kaliforniens offenzulegen, (1) dessen unverschlüsselte personenbezogene Daten von einer nicht autorisierten Person erworben wurden oder von denen vernünftigerweise angenommen wird, dass sie von einer nicht autorisierten Person erworben wurden, oder (2) dessen verschlüsselte personenbezogene Daten von einer nicht autorisierten Person erworben wurden oder von denen vernünftigerweise angenommen wird, dass sie von einer nicht autorisierten Person erworben wurden, und dessen Verschlüsselungsschlüssel oder die Sicherheitsberechtigung von einer nicht autorisierten Person erworben wurde oder von der vernünftigerweise angenommen wird, dass sie von einer nicht autorisierten Person erworben wurde, und die Person oder das Unternehmen, das die verschlüsselten Daten besitzt oder lizenziert, einen begründeten Verdacht hat, dass der Verschlüsselungsschlüssel oder die Sicherheitsberechtigung diese personenbezogenen Daten lesbar oder nutzbar machen könnte. Die Offenlegung erfolgt so schnell wie möglich und ohne unangemessene Verzögerung im Einklang mit den berechtigten Bedürfnissen der Strafverfolgung, wie in Unterabschnitt (c) vorgesehen, oder mit allen Maßnahmen, die erforderlich sind, um das Ausmaß der Verletzung zu bestimmen und die angemessene Integrität des Datensystems wiederherzustellen.

Schlüsselschutz

Die obige Änderung besagt, dass Organisationen sowohl die Daten von Einwohnern Kaliforniens verschlüsseln als auch die zugehörigen Verschlüsselungsschlüssel oder Sicherheitszugangsdaten schützen müssen, um die Vorschriften einzuhalten. Die Verschlüsselung schützt vertrauliche Informationen, einschließlich Finanzdaten, ID- und Sozialversicherungsnummern, indem sie sie unlesbar macht. Wenn Sie jedoch die Verschlüsselungsschlüssel nicht schützen, ist das so, als würden Sie Ihre Haustür abschließen und die Schlüssel unter der Fußmatte liegen lassen.

Entrust nShield HSM-Lösungen für die Sicherheit kryptographischer Schlüssel

Best Practice für die Sicherheit kryptographischer Schlüssel ist die Speicherung dieser Schlüssel in einem Hardware-Sicherheitsmodul (HSM). Entrust nShield® HSMs sind gehärtete, manipulationssichere Hardware-Geräte, die kryptographische Prozesse schützen, indem sie Schlüssel generieren, schützen und verwalten, die zur Ver- und Entschlüsselung von Daten und zur Erstellung von digitalen Signaturen und Zertifikaten verwendet werden. nShield HSMs wurden nach den höchsten Sicherheitsstandards getestet, validiert und zertifiziert, einschließlich FIPS 140-2 und Common Criteria. nShield HSMs ermöglichen Organisationen Folgendes:

• Einhalten und Übertreffen etablierter und neue regulatorischer Standards für Cybersicherheit, einschließlich CCPA, DSGVO, eIDAS, PCI DSS, HIPAA usw.
• einen höheren Grad an Datensicherheit und Vertrauen zu erzielen
• ein hohes Serviceniveau und die Flexibilität des Unternehmens zu erhalten

nShield as a Service ist eine abonnementbasierte Lösung zur Erstellung und zum Schutz von und zum Zugriff auf kryptographische Schlüssel mittels entsprechender FIPS- 140-2 Level 3-zertifizierter nShield Connect HSMs und getrennt von vertraulichen Daten. Die Lösung bietet dieselben Funktionen wie lokale HSMs kombiniert mit den Vorteilen eines Cloud-Dienstes. So sind Kunden in der Lage, ihre in erster Linie auf die Cloud ausgerichteten Ziele zu erfüllen und die Wartung dieser Geräte den Experten von Entrust zu überlassen.