Перейти к основному содержимому
Изображение
рисунок фиолетового шестиугольника

Соблюдать основные положения California Consumer Privacy Act и Закона Калифорнии об уведомлении о нарушении конфиденциальности данных

В начале 2020 года вступил в силу Калифорнийский закон California Consumer Privacy Act (CCPA), с 1 июля 2020 года истекает шестимесячный льготный период соблюдения California Consumer Privacy Act. California Consumer Privacy Act рассматривает использование шифрования для защиты личной информации потребителей. Законопроект Ассамблеи 1130, который не относится к California Consumer Privacy Act, но внесен для обновления закона Калифорнии об уведомлении о нарушении, требует уведомления людей, чьи данные раскрыты, если эти данные не зашифрованы, а ключи шифрования не получены вместе с данными.

Лица, признанные виновными в нарушении CCPA, обязаны оплатить штраф в размере 7500 долл. США за каждое преднамеренное нарушение. Непреднамеренные нарушения менее обременительны, но все же дорогостоящие и составляют 2500 долл. США за каждое нарушение. Однако гражданское судопроизводство потенциально может оказать весьма негативное воздействие на организации, не соблюдающие требования. Для каждого потребителя, затронутого несоблюдением CCPA, организациям грозит гражданский ущерб в размере до 750 долл. США на одного потребителя.

Регламент

Ниже приведены выдержки из Калифорнийского California Consumer Privacy Act и Закона об уведомлении о нарушении прав данных, с соблюдением которых могут помочь модули Entrust nShield HSM.

Защита данных потребителей

Раздел 1798.150. (a) (1) California Consumer Privacy Act гласит:

любой потребитель, чья незашифрованная и неотредактированная личная информация, как определено в подпункте (A) параграфа (1) подраздела (d) раздела 1798.81.5, подверглась несанкционированному доступу и эксфильтрации, краже или раскрытию в результате нарушения предприятием обязанности внедрять и поддерживать разумные процедуры и практику безопасности, соответствующие характеру информации для защиты личной информации, может возбудить гражданский иск в отношении любого из следующих указанных далее действий.

(A) Взыскать убытки в размере не менее ста долларов США (100 долларов США) и не более семисот пятидесяти долларов США (750 долларов США) на потребителя за инцидент или фактический ущерб, в зависимости от того, что больше.

B) Судебная или декларативная помощь.

C) Любые другие средства правовой защиты, которые суд сочтет необходимыми.

В то время как сам California Consumer Privacy Act не предоставляет более подробной информации о шифровании данных, поправка к закону Калифорнии о нарушении данных содержит таковую. В конце 2019 года, одновременно с подписанием поправок к California Consumer Privacy Act, законодатели Калифорнии также подписали законопроект Ассамблеи 1130, который конкретно касается шифрования и защиты ключей шифрования. Ниже приводятся выдержки из законопроекта:

Статья 1789.82 Гражданского кодекса с внесенными в нее поправками гласит:

1798.82. (a) Лицо или предприятие, осуществляющее коммерческую деятельность в Калифорнии и владеющее или лицензирующее компьютеризированные данные, включающие личную информацию, должно сообщить о нарушении безопасности системы после обнаружения или уведомления о нарушении безопасности данных жителю Калифорнии (1), чья незашифрованная личная информация была или разумно считается приобретенной несанкционированным лицом, или (2) чья зашифрованная личная информация была или разумно считается приобретенной несанкционированным лицом, и ключ шифрования или учетные данные безопасности были или разумно считаются приобретенными несанкционированным лицом, а лицо или предприятие, владеющее или лицензирующее зашифрованную информацию, обоснованно полагает, что ключ шифрования или учетные данные безопасности могут сделать эту личную информацию читаемой или пригодной для использования. Огласку ситуации необходимо сделать в кратчайшие сроки и без необоснованных задержек, в соответствии с законными потребностями правоохранительных органов, как это предусмотрено в подразделе (с), или любыми мерами, необходимыми для определения объема нарушения и восстановления разумной целостности системы данных.

Соблюдение требований

Защита ключей шифрования

Вышеуказанная поправка указывает на то, что организации не могут просто шифровать данные жителей Калифорнии для их защиты, они также должны предоставить защиту ключей шифрования, которые связаны, или учетные данные безопасности, чтобы соответствовать требованиям. Шифрование защищает конфиденциальную информацию, включая финансовые данные, государственные удостоверения личности и номера социального страхования, делая ее нечитаемой, но если вы не можете организовать защиту ключей шифрования, это как запирать входную дверь и оставить ключи под ковриком.

Решения Entrust nShield HSM для обеспечения безопасности криптографических ключей

Лучший метод обеспечения безопасности криптографических ключей — это хранение ключей в аппаратном модуле безопасности (HSM). Entrust nShield® HSM — это усиленные, устойчивые ко взлому аппаратные устройства, которые защищают криптографические процессы путем генерации, защиты и управления ключами, используемыми для шифрования и расшифровки данных и создания цифровых подписей и сертификатов. nShield HSM протестированы, проверены и сертифицированы в соответствии с самыми высокими стандартами безопасности, включая FIPS 140-2 и «Общие критерии». Модули nShield HSM позволяют организациям:

  • соответствовать и превышать установленные и формирующиеся нормативные стандарты кибербезопасности, включая California Consumer Privacy Act, Закон о защите персональных данныхGDPR, eIDAS, PCI DSS, HIPAA и т. д.
  • Более высокий уровень безопасности данных и доверия к данным.
  • Стабильно высокий уровень обслуживания и гибкость бизнеса.

nShield as a Service — это решение на основе подписки для генерирования и защиты криптографического материала ключа, а также получения доступа к нему отдельно от конфиденциальных данных с использованием специальных модулей HSM nShield Connect, имеющих сертификат соответствия стандарту FIPS 140-2 уровня 3. Решение предоставляет те же возможности и функциональность, что и локальные HSM, в сочетании с преимуществами развертывания облачных сервисов. Это позволяет клиентам выполнять свои первоочередные задачи в облаке и оставлять обслуживание этих устройств на усмотрение экспертов в Entrust.

Сопутствующие товары