Перейти к основному содержимому
Изображение
рисунок фиолетового шестиугольника

Соблюдение основных положений Закона Южной Африки о защите персональных данных (POPIA)

В ноябре 2013 года парламент Южно-Африканской Республики принял Закон о защите персональных данных 2013 года (POPIA):

содействие защите персональных данных, обрабатываемых государственными и частными органами; представление определенных условий для установления минимальных требований к обработке персональных данных; создание регулятора ИБ для осуществления определенных полномочий и выполнения определенных обязанностей и функций в соответствии с настоящим Законом и Законом о содействии доступу к информации 2000 года; принятие кодексов поведения; обеспечение прав лиц на незапрошенные электронные сообщения и автоматизированное принятие решений; регулирование потока персональных данных через границы республики; и решение связанных с этим вопросов.

Потенциальные последствия несоблюдения

Статьи 100-106 закона POPI касаются случаев, когда стороны признают себя «виновными в совершении преступления». В частности, в разделе 105 (незаконные действия ответственной стороны с номером счета) говорится, что «ответственная сторона должна знать или должна была знать, что [нарушение конфиденциальности персональных данных], вероятно, причинит существенный ущерб или тяготы субъекту данных».

Кроме того, в разделе 106 (незаконные действия третьих сторон с номером счета) говорится, что «лицо, которое сознательно или по неосторожности без согласия ответственной стороны получает или раскрывает номер счета субъекта данных или обеспечивает раскрытие номера счета субъекта данных другому лицу, виновно в совершении преступления».

В разделе 107 подробно говорится о том, какие меры наказания применяются к соответствующим правонарушениям. В частности, «любое лицо, осужденное за преступление получает штраф или тюремное заключение на срок, не превышающий 10 лет, или штраф или тюремное заключение на срок, не превышающий 12 месяцев, или штраф и тюремное заключение вместе».

Как подробно указано в статье 109 Закона, максимальный размер штрафа «не может превышать 10 млн рандов».

Регламент

Следующие материалы взяты непосредственно из Закона о защите персональных данных Южно-Африканской Республики (POPIA), который устанавливает требования к обработке персональных данных

Меры безопасности в отношении целостности и конфиденциальности личной информации и требования к обработке персональных данных

19. 1) Ответственная сторона должна обеспечить целостность и конфиденциальность личной информации, находящейся в ее распоряжении или под ее контролем, путем принятия надлежащих, технических и организационных мер для предотвращения:

  • утраты, повреждения или несанкционированного уничтожения личной информации;
  • незаконного доступа к личной информации или ее обработки;

Для осуществления положений подраздела 1 ответственная сторона должна принять разумные меры для:

  • выявления всех прогнозируемых внутренних и внешних рисков для личной информации, находящейся в распоряжении или под контролем;
  • установления и поддерживания соответствующей защиты от выявленных рисков;
  • регулярной проверки эффективного применения защиты;
  • обеспечения постоянного обновления защиты в ответ на новые риски или недостатки ранее реализованных защит.

Меры безопасности в отношении информации, обрабатываемой оператором

21. (1) Ответственная сторона должна в соответствии с письменным договором между ответственной стороной и оператором обеспечить ситуацию, при которой оператор, обрабатывающий личную информацию для ответственной стороны, должен устанавливать и поддерживать меры безопасности, упомянутые в разделе 19.

(2) Оператор должен немедленно уведомить ответственную сторону, если есть разумные основания полагать, что личная информация субъекта данных попала или открыта любому несанкционированному лицу.

Уведомление о нарушениях безопасности

22. (1) Если есть разумные основания полагать, что личная информация субъекта данных попала или открыта любому несанкционированному лицу, ответственная сторона должна уведомить об этом:

  • регулирующий орган;
  • в соответствии с подразделом (3) субъект данных, если личность такого субъекта данных не может быть установлена.

(4) Уведомление субъекту данных должно быть составлено в письменной форме и передано субъекту данных по крайней мере одним из указанных далее способов.

  • Отправляется по последнему известному физическому или почтовому адресу субъекта данных.
  • Отправляется по электронной почте на последний известный адрес электронной почты субъекта данных.
  • Размещается в публичном месте на веб-сайте ответственной стороны.
  • Публикуется в средствах массовой информации или
  • по указанию регулирующего органа.

Средства правовой защиты гражданского характера

99. (1) Субъект данных или по просьбе субъекта данных регулирующий орган может возбудить гражданский иск о возмещении убытков в суде, юрисдикция которого распространяется на ответственную сторону за нарушение любого положения настоящего Закона, упомянутого в разделе 73, независимо от наличия умысла или небрежности ответственной стороны.

(3) Судебное разбирательство по смыслу подраздела (1) может присудить справедливую и соответствующую сумму, включая:

  • выплату компенсации за имущественный и нематериальный ущерб, понесенный субъектом данных в результате нарушения положений настоящего Закона;
  • возмещение убытков при отягчающих обстоятельствах в размере, определяемом по усмотрению суда;
  • проценты и
  • расходы по иску в таком масштабе, который может быть определен судом.

Соблюдение требований

Модули Entrust nShield® HSM помогут вам соблюдать закон POPIA и избежать требований об уведомлении при нарушении данных

В то время как в POPIA неясно, что считается доступом и приобретением данных субъекта, правила по всему миру, которые касаются защиты личной информации, гласят, что если данные псевдонимизированы или нечитаемыми для тех, кто их незаконно заполучил, то о нарушении данных не нужно сообщать; украденные конфиденциальные данные бесполезны для воров, и это не опасно для субъекта данных, таковы требования к обработке персональных данных.

Два широко признанные передовые подходы к псевдонимизации — это шифрование и токенизация. Оба используют криптографические ключи для преобразования простого текста в нечитаемый зашифрованный текст и обратно. Если киберпреступники крадут ключи вместе с зашифрованными или токенизированными данными, они могут затем конвертировать данные обратно в обычный текст. Поэтому важно отделить ключи от защищаемых ими данных и обеспечить дополнительную безопасность самих ключей.

Решения Entrust для обеспечения безопасности криптографических ключей

Лучший метод обеспечения безопасности криптографических ключей — это хранение ключей в аппаратном модуле безопасности (HSM). Entrust nShield HSM — это усиленные, устойчивые ко взлому аппаратные устройства, которые защищают криптографические процессы путем генерации, защиты и управления ключами, используемыми для шифрования и расшифровки данных и создания цифровых подписей и сертификатов. Эти HSM протестированы, валидированы и сертифицированы в соответствии с самыми высокими стандартами безопасности, включая стандарт FIPS 140-2 и «Общие критерии». Модули Entrust nShield HSM позволяют организациям соблюдать требования к обработке персональных данных в указанном далее.

  • Соответствие установленным и формирующимся нормативным стандартам конфиденциальности данных и их превышение
  • Более высокий уровень безопасности данных и доверия к данным.
  • Стабильно высокий уровень обслуживания и гибкость бизнеса.

nShield as a Service — это решение на основе подписки для генерирования и защиты криптографического материала ключа, а также получения доступа к нему отдельно от конфиденциальных данных с использованием специальных модулей HSM nShield Connect, имеющих сертификат соответствия стандарту FIPS 140-2 уровня 3. Решение предоставляет те же возможности и функциональность, что и локальные HSM, в сочетании с преимуществами развертывания облачных сервисов. Это позволяет клиентам выполнять свои первоочередные задачи в облаке и оставлять обслуживание этих устройств на усмотрение экспертов в Entrust.

Ресурсы

Краткая информация о соблюдении требований к обработке персональных данныхв Южной Африке, POPIA

Закон Южной Африки POPIA распространяется на защиту личной информации наряду со штрафами и гражданскими исками, которые могут возникнуть в результате нарушения.

Инструкция по соблюдению закона POPIA в Южной Африке

Буклеты буклет о семействе Entrust nShield HSM

Модули безопасности Entrust для госучреждений nShield HSM обеспечивают устойчивую защиту от кибератак с усиленной безопасностью от несанкционированного вмешательства для безопасной криптографической обработки, генерирования и защиты ключей, шифрования и ряда других задач.Модули Entrust nShield HSM сертифицированы по стандарту FIPS 140-2 и предлагаются в трех форм-факторах, благодаря чему могут использоваться в различных сценариях развертывания.

Буклет о семействе Entrust nShield HSM

Технические данные: nShield as a Service

nShield as a Service — это решение на основе подписки для генерирования и защиты криптографического материала ключа, а также получения доступа к нему с использованием специальных модулей HSM nShield Connect, имеющих сертификат соответствия стандарту FIPS 140-2 уровня 3.

Технические данные nShield as a Service