캘리포니아 소비자 개인정보 보호법(CCPA)
주요 CCPA 및 캘리포니아 데이터 침해 통지 법령 조항 준수
캘리포니아 소비자 개인정보 보호법(CCPA)은 2020년 초에 발효되었으며 2020년 7월 1일 자로 6개월간의 CCPA 규정 준수 유예 기간이 만료되었습니다. CCPA는 소비자 개인 정보를 보호하는 암호화의 사용을 다룹니다. 의회 법안 1130의 경우 CCPA의 일부는 아니지만 캘리포니아 침해 통지 법령을 업데이트하기 위해 도입된 것으로, 데이터가 침해되는 경우 데이터 침해 주체에게 이를 통지해야 합니다(데이터가 암호화되었거나 암호화 키가 데이터와 함께 획득되지 않은 경우 제외).
CCPA를 위반한 것으로 밝혀지면 의도적인 각 위반 행위에 대해 $7,500의 벌금이 부과됩니다. 비의도적인 위반은 그보다는 덜 부담스럽지만 각 행위당 $2,500으로 여전히 무겁습니다. 그러나 민사 소송은 규정 비준수 조직에 잠재적으로 매우 부정적인 영향을 미칠 수 있습니다. 조직은 CCPA 비준수로 인해 영향을 받은 소비자에 대해 1인당 최대 $750의 민사 피해를 입을 수 있습니다.
규정
다음은 캘리포니아 CCPA 및 데이터 침해 통지 법령의 일부로, 귀사가 이를 준수할 수 있도록 Entrust nShield HSM이 도울 수 있습니다.
소비자 데이터 보호
CCPA의 1798.150. (a) (1)항에 명시된 내용은 다음과 같습니다.
개인정보를 보호하기 위해 정보의 성격에 적합하게 합리적인 보안 절차 및 관행을 이행하고 유지해야 하는 기업이 의무를 위반한 결과로 인해 제1798.81.5항 하위 조항 (d)의 (1)절 (A)호에 정의된 “암호화되지 않고 삭제되지 않은” 개인 정보가 무단 액세스 및 유출, 도난 또는 공개된 모든 소비자는 다음 중 하나에 해당하는 민사소송을 제기할 수 있습니다.
(A) 소비자 한 명당 사건 하나에 대해 100달러($100) 이상 750($750) 이하의 금액 또는 실제 피해 금액 중 더 큰 금액을 제공하여 손해를 복구해야 합니다.
(B) 금지 명령 구제 또는 선언적 구제
(C) 법원이 적절하다고 판단하는 기타 모든 구제
CCPA 자체는 데이터 암호화에 대한 자세한 내용을 제공하지 않지만, 캘리포니아의 데이터 침해 법령에 대한 개정 내용은 데이터 암호화에 대한 자세한 내용을 제공합니다. 캘리포니아의 입법자들은 2019년 말 CCPA 개정안에 서명하는 동시에 암호화 및 암호화 키의 보호를 특별히 언급하는 의회 법안 1130에도 서명했습니다. 다음은 법안에서 발췌한 내용입니다.
민법 제1789.82항은 다음과 같이 개정됩니다.
1798.82. (a) 캘리포니아에서 사업을 수행하고 개인정보를 포함하는 컴퓨터화된 데이터를 소유하거나 라이선스를 부여하는 개인 또는 기업은 다음과 같은 캘리포니아 거주자의 데이터 보안 침해 사실을 발견하거나 통보한 후 시스템 보안 침해를 공개해야 합니다 (1) 해당 거주자의 암호화되지 않은 개인정보가 인가되지 않은 개인에 의해 취득되었거나 취득되었다고 합리적으로 믿는 경우 또는 (2) 권한이 없는 사람이 암호화된 개인 정보를 획득했거나 획득했다고 합리적으로 믿을 수 있으며 암호화 키 또는 보안 자격증명도 획득했거나 획득했다고 합리적으로 믿는 경우 및 암호화된 정보를 소유하거나 라이선스를 부여한 개인 또는 기업이 해당 암호화 키 또는 보안 자격증명을 통해 해당 개인 정보를 읽을 수 있거나 사용할 수 있다고 합리적으로 믿는 경우. 공개는 하위 조항 (c)에서 규정하는 법 집행의 합법적 요구 또는 위반 범위를 결정하고 데이터 시스템의 합리적인 무결성을 회복하기 위해 필요한 모든 조치와 일치하도록 합리적인 지연 없이 가능한 가장 편리한 시간에 이루어져야 합니다.
규정 준수
키 보호
위의 개정 내용은 조직이 캘리포니아 거주자의 데이터를 보호하기 위해 암호화만 해서는 안 되며, 관련 암호화 키 또는 보안 자격증명도 보호해야 한다는 것을 나타냅니다. 암호화는 금융 데이터, 정부 ID 및 사회 보장 번호를 포함한 민감한 정보를 읽을 수 없도록 보호하지만, 암호화 키를 보호하지 못하면 현관문을 잠그고 키를 매트 아래에 두는 것과 같습니다.
암호화 키 보안을 위한 Entrust nShield HSM 솔루션
암호화 키 보안을 위한 모범 사례는 하드웨어 보안 모듈(HSM)에 해당 키를 저장하는 것입니다. Entrust nShield® HSM은 데이터를 암호화 및 해독하고 디지털 서명 및 인증서를 생성하는 데 사용되는 키를 생성, 보호, 관리하여 암호화 프로세스를 보호하는 강화된 변조 방지 하드웨어 장치입니다. nShield HSM은 FIPS 140-2 및 공통 기준을 포함한 최고 보안 표준에 따라 테스트, 검증 및 인증되었습니다. nShield HSM을 통해 조직은 다음을 수행할 수 있습니다.
- CCPA, GDPR, eIDAS, PCI DSS, HIPAA 등을 포함한 사이버 보안에 대한 기존 및 새로운 규정 표준을 충족하고 초과 달성합니다.
- 더 높은 수준의 데이터 보안 및 신뢰 달성
- 높은 서비스 수준 및 비즈니스 민첩성 유지
nShield as a Service는 FIPS 140-2 레벨 3 인증을 받은 전용 nShield Connect HSM을 사용하여 민감한 데이터와 별도로 암호화 키 자료를 생성, 액세스 및 보호하기 위한 구독 기반 솔루션입니다. 이 솔루션은 온프레미스 Shield HSM과 동일한 기능 및 클라우드 서비스 배포의 이점을 모두 제공합니다. 이를 통해 고객은 클라우드 우선 목표를 달성하고 이러한 어플라이언스의 유지 관리를 Entrust 전문가에게 맡길 수 있습니다.
리소스
캘리포니아 소비자 개인정보 보호법(CCPA)
Entrust nShield HSM은 기업이 암호화 키를 관리하고 보호하여 캘리포니아 소비자 개인정보 보호법(CCPA) 및 데이터 침해 통지 법령의 주요 요건을 준수하도록 지원합니다.
Entrust nShield HSM 제품군 브로슈어
Entrust nShield HSM은 안전한 암호화 처리, 키 생성 및 보호, 암호화 등에 적합한 강력한 변조 방지 환경을 제공합니다. FIPS 140-2 인증을 받은 세 가지 폼 팩터를 사용하는 Entrust nShield HSM는 다양한 배포 시나리오를 지원합니다.