Saltar al contenido principal
patrón hexagonal morado

Cumplir disposiciones clave de la CCPA y el Estatuto de Notificación de Filtración de Datos de California

La Ley de privacidad del consumidor de California (CCPA) entró en vigencia a principios de 2020. El 1 de julio de 2020 venció el período de gracia de seis meses para cumplir la CCPA. La CCPA aborda el uso de cifrado para proteger información personal del consumidor. El proyecto de Ley de la Asamblea 1130 no forma parte de la CCPA pero actualiza el estatuto de notificación de filtraciones de datos de California. Este proyecto de ley requiere notificar a las personas cuando se filtran sus datos, a menos que dichos datos estén cifrados y las claves a salvo.

Los infractores de la CCPA pueden incurrir en una multa de $7,500 por cada violación deliberada. Las infracciones no deliberadas son menos onerosas, pero aun así cuestan $2,500 cada una. Sin embargo, los litigios pueden tener un impacto muy negativo en las organizaciones que incumplen la CCPA. Por cada consumidor afectado por el incumplimiento de la CCPA, las organizaciones se enfrentan a multas de hasta $750 por consumidor.

Reglamento

Con los HSM Entrust nShield, puede cumplir las siguientes secciones de la CCPA y Estatuto de Filtración de Datos de California.

Protección de datos del consumidor

La sección 1798.150. (a) (1) de la CCPA establece:

Cualquier consumidor cuya información personal no encriptada y no redactada, como se define en el subpárrafo (A) del párrafo (1) de la subdivisión (d) de la Sección 1798.81.5, esté sujeto a un acceso no autorizado y exfiltración, robo o divulgación como resultado de la violación por parte de la empresa del deber de implementar y mantener procedimientos y prácticas de seguridad razonables apropiados a la naturaleza de la información para proteger la información personal puede iniciar una acción civil por cualquiera de los siguientes:

(A) Para recuperar daños en una cantidad no menor de cien dólares ($ 100) y no mayor de setecientos cincuenta ($ 750) por consumidor por incidente o daños reales, lo que sea mayor.

(B) Medidas cautelares o declarativas.

(C) Cualquier otra reparación que el tribunal considere apropiada.

La CCPA no proporciona más detalles sobre el cifrado de datos, pero sí lo hace una enmienda al estatuto de violación de datos de California. A finales de 2019, los legisladores de California firmaron enmiendas a la CCPA y el proyecto de Ley de la Asamblea 1130 sobre cifrado y protección de claves de cifrado. Lo siguiente es un extracto del proyecto de ley:

La Sección 1789.82 del Código Civil ha sido enmendada para que rece:

1798,82. (a) Una persona o empresa que realiza negocios en California, y que posee o autoriza datos computarizados que incluyen información personal, revelará una violación de la seguridad del sistema luego del descubrimiento o notificación de la violación en la seguridad de los datos a un residente de California (1) cuya información personal no cifrada fue, o se cree razonablemente que ha sido adquirida por una persona no autorizada, o (2) cuya información personal cifrada fue, o se cree razonablemente que ha sido, adquirida por una persona no autorizada y la clave de cifrado o credencial de seguridad fue, o se cree razonablemente que ha sido, adquirida por una persona no autorizada y la persona o empresa que posee o autoriza la información cifrada tiene una creencia razonable de que la clave de cifrado o credencial de seguridad podría generar esa información personal legible o utilizable. La divulgación se hará en el tiempo más oportuno posible y sin demoras irrazonables, de acuerdo con las necesidades legítimas de la aplicación de la ley, según lo dispuesto en la subdivisión (c), o cualquier medida necesaria para determinar el alcance de la infracción y restaurar la integridad razonable del sistema de datos.

Cumplimiento

Protección de claves

Según la enmienda anterior, las organizaciones no pueden limitarse a cifrar datos de los residentes de California. Para proteger dichos datos, también deben salvaguardar claves de cifrado y las credenciales de seguridad. El cifrado hace ilegible información confidencial como datos financieros, identificaciones gubernamentales y números de seguridad. Pero si además no protege las claves de cifrado, es como si cierra la puerta y deja las llaves bajo el felpudo.

Soluciones HSM Entrust nShield para proteger claves criptográficas

El mejor modo de proteger claves criptográficas es almacenarlas en un módulo de seguridad hardware (HSM). Los HSM Entrust nShield® son dispositivos hardware seguros para generar, proteger y administrar claves de cifrado, descifrado, firma y emisión de certificados digitales. Los HSM nShield cumplen rigurosos estándares de seguridad como FIPS 140-2 y Common Criteria. Con los HSM de nShield, las organizaciones pueden:

  • Cumplir y superar regulaciones de seguridad como CCPA, GDPR, eIDAS, PCI DSS y HIPAA.
  • Lograr altos niveles de seguridad y confianza
  • Mantener altos niveles de servicio y agilidad empresarial

nShield as a Service es una solución basada en suscripción para generar, acceder y proteger claves criptográficas mediante HSM nShield Connect certificados FIPS 140-2 Nivel 3. La solución ofrece las mismas características y funcionalidades que los HSM in situ y añade los beneficios de un despliegue en la nube. De este modo, los clientes cumplen sus primeros objetivos en la nube y confían el mantenimiento de dispositivos a expertos de Entrust.

Productos relacionados