Rispettare le disposizioni chiave del CCPA e dello Statuto sulla notifica delle violazioni dei dati (Data Breach Notification Statute) della California

La Legge californiana sulla privacy del consumatore (California Consumer Privacy Act, CPPA) è entrata in vigore all'inizio del 2020, e il 1° luglio 2020 segna il termine del periodo di tolleranza di sei mesi per conformarsi al CCPA. Il CCPA tratta l'uso della crittografia per proteggere le informazioni personali dei consumatori. Il Disegno di legge 1130, che non fa parte del CCPA ma è stato introdotto per aggiornare lo statuto sulla notifica delle violazioni della California, richiede di informare le persone i cui dati sono stati violati a meno che tali dati non siano crittografati e le chiavi di crittografia non siano state ottenute con i dati.

I soggetti che si sono resi responsabili di violazione del CCPA rischiano di incorrere in una sanzione di 7500 dollari statunitensi per ciascuna violazione intenzionale. Le violazioni non intenzionali sono meno onerose, ma comunque costose, infatti prevedono una sanzione di 2500 dollari statunitensi ciascuna. Tuttavia, il contenzioso civile può potenzialmente avere un impatto molto negativo sulle organizzazioni non conformi. Per ogni consumatore colpito dalla non conformità al CCPA, le organizzazioni possono incorrere in un risarcimento danni fino a 750 dollari statunitensi per consumatore.

    Regolamento

    Di seguito sono riportati alcuni estratti del CCPA e dello Statuto sulle notifiche di violazione dei dati (Data Breach Notification Statute) della California a cui gli HSM nShield Entrust possono aiutarti a conformarti.

    Protezione dei dati dei consumatori

    La Sezione 1798.150. (a) (1) del CCPA afferma:

    Qualsiasi consumatore le cui informazioni personali non crittografate e non modificate, come definito nel comma (A) del paragrafo (1) della suddivisione (d) della Sezione 1798.81.5, subisce accesso non autorizzato ed esfiltrazione, furto o divulgazione a seguito della violazione da parte delle aziende del dovere di implementare e mantenere procedure e pratiche di sicurezza ragionevoli appropriate alla natura delle informazioni per proteggere tali informazioni personali, può avviare un'azione civile per uno dei seguenti:

    (A) Per recuperare i danni per un importo non inferiore a cento dollari (100 dollari statunitensi) e non superiore a settecentocinquanta (750 dollari statunitensi) per consumatore per incidente o danno effettivo, a seconda di quale sia maggiore.

    (B) Provvedimento ingiuntivi o dichiarativi.

    (C) Qualsiasi altro provvedimento che il tribunale ritenga appropriato.

    Sebbene il CCPA stesso non fornisca ulteriori dettagli sulla crittografia dei dati, questi vengono specificati in un emendamento allo statuto sulla violazione dei dati della California. Alla fine del 2019, contemporaneamente alla firma degli emendamenti al CCPA, i legislatori della California hanno altresì firmato il Disegno di legge 1130 dell'Assemblea, che si riferisce specificamente alla crittografia e alla protezione delle chiavi di crittografia. Quanto segue è estratto dal disegno di legge:

    La sezione 1789.82 del codice civile è modificata come segue:

    1798.82. (a) Una persona o azienda che conduce affari in California e che possiede o concede in licenza dati computerizzati che includono informazioni personali, deve rivelare una violazione della sicurezza del sistema in seguito alla scoperta o alla notifica della violazione della sicurezza dei dati a un residente in California (1) le cui informazioni personali non crittografate sono state, o si ritiene ragionevolmente che siano state, acquisite da una persona non autorizzata, o (2) le cui informazioni personali crittografate sono state, o si ritiene ragionevolmente che siano state, acquisite da una persona non autorizzata e la chiave di crittografia o le credenziali di sicurezza sono state, o si ritiene ragionevolmente che siano state, acquisite da una persona non autorizzata e la persona o l'azienda che possiede o concede in licenza le informazioni crittografate ha una ragionevole convinzione che la chiave di crittografia o le credenziali di sicurezza potrebbero rendere tali informazioni personali leggibili o utilizzabili. La divulgazione deve essere effettuata il più tempestivamente possibile e senza ritardi irragionevoli, compatibilmente con le legittime esigenze delle forze dell'ordine, come previsto nella sottodivisione (c), o con qualsiasi misura necessaria per determinare la portata della violazione e ripristinare la ragionevole integrità del sistema dati.

    Conformità

    Protezione delle chiavi

    L'emendamento di cui sopra indica che le organizzazioni non possono semplicemente crittografare i dati dei residenti della California per proteggerli, ma devono altresì salvaguardare le chiavi di crittografia associate o le credenziali sicurezza per essere conformi. La crittografia protegge le informazioni sensibili, inclusi dati finanziari, ID governativi e numeri di previdenza sociale, rendendole illeggibili, ma se non si riescono a proteggere le chiavi di crittografia è come chiudere la porta di casa e lasciare le chiavi sotto il tappetino.

    Soluzioni HSM nShield Entrust per la sicurezza delle chiavi crittografiche

    La migliore pratica per la protezione delle chiavi crittografiche consiste nell'archiviare tali chiavi in un modulo di sicurezza hardware (HSM). Gli HSM nShield® Entrust sono dispositivi hardware rinforzati e a prova di manomissione che proteggono i processi crittografici generando, proteggendo e gestendo le chiavi utilizzate per crittografare e decrittografare i dati e creare firme digitali e certificati. Gli HSM nShield sono testati, convalidati e certificati secondo i più elevati standard di sicurezza, inclusi FIPS 140-2 e Common Criteria. Gli HSM nShield consentono alle organizzazioni di:

    • Soddisfare e superare gli standard normativi stabiliti ed emergenti per la sicurezza informatica, tra cui CCPA, GDPR, eIDAS, PCI DSS, HIPAA, ecc.
    • Ottieni livelli di sicurezza e affidabilità dei dati più elevati
    • Mantieni agilità aziendale e livelli di servizio elevati

    nShield as a Service è una soluzione basata su abbonamento per la generazione, l'accesso e la protezione del materiale della chiave crittografica, separatamente dai dati sensibili, utilizzando HSM nShield Connect certificati FIPS 140-2 Livello 3 dedicati. La soluzione offre le stesse caratteristiche e funzionalità degli HSM in locale combinate con i vantaggi di una distribuzione del servizio cloud. Ciò consente ai clienti di raggiungere i propri obiettivi prioritari per il cloud e lasciare la manutenzione di queste appliance agli esperti di Entrust.

    Risorse

    Sintesi sulla conformità: Legge della California sulla privacy del consumatore (California Consumer Privacy Act)

    Gli HSM nShield Entrust aiutano le aziende a soddisfare i requisiti chiave del Legge della California sulla privacy del consumatore (California Consumer Privacy Act, CPPA) e dello Statuto sulla notifica delle violazioni dei dati (Data Breach Notification Statute) gestendo e proteggendo le chiavi di crittografia.

    Brochure: Brochure della famiglia di HSM nShield Entrust

    Gli HSM nShield Entrust forniscono un ambiente temprato a prova di manomissione per eseguire attività sicure di elaborazione crittografica, generazione e protezione delle chiavi, crittografia e molto altro. Gli HSM nShield Entrust sono disponibili in tre fattori di forma con certificazione FIPS 140-2 e supportano diversi scenari di distribuzione.

    Prodotti correlati