Pular para o conteúdo principal
Imagem
padrão hexadecimal roxo

Conformidade com as principais disposições da CCPA e do Estatuto de Notificação de Violação de Dados da Califórnia

A Lei de Privacidade do Consumidor da Califórnia (CCPA, California Consumer Privacy Act) entrou em vigor no início de 2020 e a partir do dia 1 de julho de 2020 terminou o período de carência de seis meses de conformidade com a CCPA. A CCPA regula o uso de criptografia para proteger as informações pessoais do consumidor. O Projeto de Lei 1130, que não faz parte da CCPA, mas foi apresentado para atualizar o estatuto de notificação de violação da Califórnia, exige a notificação das pessoas cujos dados foram violados, a menos que esses dados sejam criptografados, e as chaves de criptografia não tenham sido obtidas com os dados.

Aqueles que violarem a CCPA receberão uma multa de US$ 7.500 por cada violação intencional. As violações não intencionais são menos onerosas, mas ainda assim custam US$ 2.500 cada. Entretanto, as ações civis podem afetar de forma muito negativa as organizações não conformes. As organizações podem ter que desembolsar até US$ 750 em danos civis para cada consumidor afetado pela não-conformidade com a CCPA.

Regulação

Os HSMs nShield da Entrust podem ajudá-lo a estar em conformidade com os trechos a seguir da CCPA da Califórnia e do Estatuto de Notificação de Violação de Dados.

Proteção de dados do consumidor

A Seção 1798.150. (a) (1) da CCPA estabelece:

Todo consumidor cujas informações pessoais não criptografadas e não predeterminadas, conforme definido no subparágrafo (A) do parágrafo (1) da subdivisão (d) da Seção 1798.81.5, estejam sujeitas a acesso não autorizado e à extração, roubo ou divulgação como resultado da violação pela empresa do dever de implementar e manter procedimentos e práticas de segurança apropriados à natureza das informações para proteger as informações pessoais, pode mover uma ação civil com o objetivo de:

(A) recuperar os danos em um valor não inferior a cem dólares (US$ 100) e não superior a setecentos e cinquenta (US$ 750) por consumidor, por incidente ou danos reais, o que for maior.

(B) Medidas cautelares ou declaratórias.

(C) Outras medidas que o tribunal julgar apropriadas.

Embora a própria CCPA não forneça mais detalhes sobre criptografia de dados, eles podem ser encontrados na emenda ao estatuto de violação de dados da Califórnia. No final de 2019, ao mesmo tempo em que aprovavam as emendas da CCPA, os deputados da Califórnia também aprovavam o Projeto de Lei 1130, uma legislação específica sobre criptografia e proteção de chaves de criptografia. O texto a seguir é extraído do Projeto de Lei:

A seção 1789.82 do Código Civil recebe uma emendada para:

1798.82. (a) Uma pessoa ou empresa que realize negócios na Califórnia, e que possua ou licencie dados computadorizados que incluam informações pessoais, deverá revelar violações de segurança do sistema após a descoberta ou notificação da violação de segurança dos dados de um residente da Califórnia (1) cujas informações pessoais não criptografadas foram, ou podem ter sido, adquiridas por uma pessoa não autorizada, ou, (2) cujas informações pessoais criptografadas foram, ou podem ter sido, adquiridas por uma pessoa não autorizada e a chave de criptografia ou credencial de segurança foi, ou pode ter sido, adquirida por uma pessoa não autorizada e a pessoa ou empresa que possui ou licencia as informações criptografadas acredita que a chave de criptografia ou credencial de segurança pode tornar essas informações pessoais legíveis ou utilizáveis. A divulgação deve ser feita no tempo mais oportuno possível e sem demora injustificada, e deve ser compatível com as necessidades legítimas da aplicação da lei, conforme previsto na subdivisão (c), ou quaisquer medidas necessárias para determinar o escopo da violação e restaurar a integridade do sistema de dados.

Conformidade

Proteção de chave

A emenda acima indica que não basta que as organizações somente criptografem os dados para proteger os residentes da Califórnia, elas também devem proteger as chaves de criptografia ou credenciais de segurança associadas para estar em conformidade. A criptografia protege informações confidenciais, incluindo dados financeiros, RGs e CPFs, tornando-as ilegíveis, mas se as chaves de criptografia não estiverem protegidas isso seria o mesmo que trancar a porta da frente e deixar as chaves embaixo do capacho.

Soluções HSM nShield da Entrust para segurança de chaves criptográficas

A melhor prática para segurança de chaves criptográficas é armazenar essas chaves em um módulo de segurança de hardware (HSM). Os HSMs nShield® da Entrust são dispositivos de hardware reforçados e com proteção inviolável que protegem processos criptográficos através da geração, proteção e gerenciamento de chaves usadas para criptografar e decodificar dados e criar assinaturas e certificados digitais. Os HSMs nShield são testados, validados e certificados de acordo com os mais altos padrões de segurança, incluindo FIPS 140-2 e Common Criteria. Os HSMs nShield permitem que as organizações:

  • Atendam e superem as normas regulatórias estabelecidas e novas de cibersegurança, incluindo CCPA, GDPR, eIDAS, PCI DSS, HIPAA, etc.
  • Obter níveis mais altos de segurança de dados e confiança
  • Manter serviços de alto nível e agilidade de negócios

O nShield as a Service é uma solução baseada em assinatura para gerar, acessar e proteger material de chaves criptográficas, separadamente dos dados confidenciais, usando HSMs nShield Connect com certificação FIPS 140-2 Nível 3. A solução oferece as mesmas características e funcionalidades dos HSMs locais combinadas com os benefícios de uma implantação de serviços na nuvem. Isto permite que os clientes atinjam seus objetivos básicos na nuvem e deixem a manutenção dos aparelhos para os especialistas da Entrust.

Produtos relacionados