Cumplir con las disposiciones clave de la CCPA y el Estatuto de notificación de violación de datos de California

La Ley de privacidad del consumidor de California (CCPA) entró en vigencia a principios de 2020, y el 1 de julio de 2020 marcó el vencimiento del período de gracia de cumplimiento de la CCPA de seis meses. La CCPA aborda el uso de cifrado para proteger la información personal del consumidor. El proyecto de Ley de la Asamblea 1130, que no forma parte de la CCPA, pero se introdujo para actualizar el estatuto de notificación de infracciones de California, requiere notificar a las personas cuyos datos se han violado a menos que esos datos estén encriptados y las claves de encriptación no se hayan obtenido con los datos.

Aquellos a los que se descubra violando la CCPA pueden incurrir en una multa de $ 7,500 por cada violación intencional. Las infracciones no intencionales son menos onerosas, pero aun así costosas, $ 2,500 cada una. Sin embargo, los litigios civiles pueden tener un impacto muy negativo en las organizaciones que no cumplen. Por cada consumidor afectado por el incumplimiento de la CCPA, las organizaciones enfrentan hasta $ 750 en daños civiles por consumidor.

    Reglamento

    A continuación, se presentan extractos de la Ley de Privacidad del Consumidor (CCPA) de California que el Estatuto de Notificación de Violación de Datos que los HSM de Entrust nShield pueden ayudarlo a cumplir.

    Protección de datos del consumidor

    Sección 1798.150. (a) (1) de la CCPA establece:

    Cualquier consumidor cuya información personal no encriptada y no redactada, como se define en el subpárrafo (A) del párrafo (1) de la subdivisión (d) de la Sección 1798.81.5, esté sujeto a un acceso no autorizado y exfiltración, robo o divulgación como resultado de la violación por parte de la empresa del deber de implementar y mantener procedimientos y prácticas de seguridad razonables apropiados a la naturaleza de la información para proteger la información personal puede iniciar una acción civil por cualquiera de los siguientes:

    (A) Para recuperar daños en una cantidad no menor de cien dólares ($ 100) y no mayor de setecientos cincuenta ($ 750) por consumidor por incidente o daños reales, lo que sea mayor.

    (B) Medidas cautelares o declarativas.

    (C) Cualquier otra reparación que el tribunal considere apropiada.

    Si bien la CCPA en sí no proporciona más detalles sobre el cifrado de datos, una enmienda al estatuto de violación de datos de California sí lo hace. A fines de 2019, simultáneamente a la firma de enmiendas a la CCPA, los legisladores de California también firmaron el Proyecto de Ley de la Asamblea 1130, que se refiere específicamente al cifrado y la protección de las claves de cifrado. Lo siguiente es un extracto del proyecto de ley:

    Se enmienda la Sección 1789.82 del Código Civil para que rece:

    1798,82. (a) Una persona o empresa que realiza negocios en California, y que posee o autoriza datos computarizados que incluyen información personal, revelará una violación de la seguridad del sistema luego del descubrimiento o notificación de la violación en la seguridad de los datos a un residente de California (1) cuya información personal no cifrada fue, o se cree razonablemente que ha sido adquirida por una persona no autorizada, o (2) cuya información personal cifrada fue, o se cree razonablemente que ha sido, adquirida por una persona no autorizada y la clave de cifrado o credencial de seguridad fue, o se cree razonablemente que ha sido, adquirida por una persona no autorizada y la persona o empresa que posee o autoriza la información cifrada tiene una creencia razonable de que la clave de cifrado o credencial de seguridad podría generar esa información personal legible o utilizable. La divulgación se hará en el tiempo más oportuno posible y sin demoras irrazonables, de acuerdo con las necesidades legítimas de la aplicación de la ley, según lo dispuesto en la subdivisión (c), o cualquier medida necesaria para determinar el alcance de la infracción y restaurar la integridad razonable del sistema de datos.

    Cumplimiento

    Protección de claves

    La enmienda anterior indica que las organizaciones no pueden simplemente cifrar los datos de los residentes de California para protegerlos, sino que también deben salvaguardar las claves de cifrado asociadas o las credenciales de seguridad para cumplir. El cifrado protege la información confidencial, incluidos los datos financieros, las identificaciones gubernamentales y los números de seguro social, al hacerla ilegible, pero si no protege las claves de cifrado, es como cerrar la puerta de entrada y dejar las llaves debajo del tapete.

    Soluciones HSM de Entrust nShield para seguridad de claves criptográficas

    La mejor práctica para la seguridad de claves criptográficas es almacenar esas claves en un módulo de seguridad de hardware (HSM). Los HSM de Entrust nShield® son dispositivos de hardware reforzados y a prueba de manipulaciones que aseguran los procesos criptográficos al generar, proteger y administrar claves que se utilizan para cifrar y descifrar datos y crear firmas y certificados digitales. Los HSM de nShield se prueban, validan y certifican con los más altos estándares de seguridad, incluidos FIPS 140-2 y Criterios comunes. Los HSM de nShield permiten a las organizaciones:

    • Cumplir y superar los estándares regulatorios establecidos y emergentes para la ciberseguridad, incluida la CCPA, GDPR, eIDAS, PCI DSS, HIPAA etc.
    • Lograr altos niveles de seguridad de datos y confianza
    • Mantener altos niveles de servicio y agilidad empresarial

    nShield como servicio es una solución basada en la suscripción para generar, acceder y proteger el material de las claves criptográficas, separado de los datos confidenciales, utilizando los HSM de nShield Connect específicos certificados por FIPS 140-2 Nivel 3. La solución ofrece las mismas características y funcionalidades que los HSM en las instalaciones, combinados con los beneficios de una implementación de servicios en la nube. Esto les permite a los clientes cumplir con sus primeros objetivos en la nube y dejar el mantenimiento de estos dispositivos a los expertos de Entrust.

    Recursos

    Resumen de cumplimiento: Ley de privacidad del consumidor de California

    Los HSM de Entrust nShield ayudan a las empresas a cumplir con los requisitos clave de la Ley de Privacidad del Consumidor de California (CCPA) y el Estatuto de Notificación de Violación de Datos mediante la administración y protección de las claves de cifrado.

    Folletos: Folleto de la familia de los HSM de Entrust nShield

    Los módulos de seguridad de hardware (HSM) de nShield proporcionan un entorno reforzado y a prueba de manipulaciones indebidas para el procesamiento criptográfico seguro, la generación y protección de claves, el cifrado y mucho más. Disponibles en tres factores de forma certificados FIPS 140-2, los HSM de Entrust nShield admiten una variedad de escenarios de implementación.

    Productos relacionados

    Chatea ahora