文章分类
随着加利福尼亚州、科罗拉多州、犹他州和弗吉尼亚州的全面的州数据保护法规的出台——以及其他州的几项类似法规的出台——美国类似的联邦隐私法规很快就会成为现实的可能性越来越大。
根据国际隐私专业人士协会(IAPP)的数据,美国国会正在审议的消费者隐私法案有近20项,与金融和健康数据隐私相关的法案几乎同样多。
本届立法会议的重头戏是《美国数据隐私与保护法案》(ADPPA),该法案最近通过了众议院委员会。尽管这是迄今为止在国会通过的最全面的联邦隐私法,但它不太可能通过——至少在今年的会议期间是这样——有几个原因。
最主要的担忧是联邦法律与加州标志性法规——《加州消费者隐私法》和《加州隐私权法》之间的潜在冲突。一些议员,尤其是代表加州的议员,认为金州的法律比提议的立法更有力,赞成在ADPPA中取消联邦优先购买权。然而,许多共和党人认为,允许各州通过更具限制性的隐私法违背了联邦监管的目的,并将使消费者和企业的问题复杂化。
不管ADPPA的命运如何,由于有那么多潜在的法规悬而未决,商业领袖应该认为联邦隐私法案成为法律只是时间问题。因此,现在是最好的时机,让你自己和你的组织为联邦隐私条例的影响做好准备。
关注数据。
要开始准备工作,首先要尽量减少组织收集的数据量。然后可以开始实施以数据为中心的安全策略。以数据为中心的安全策略由从最小化开始的分层方法组成。
这听起来很简单,但您不必保护没有收集或存储的数据。然而,对于许多组织来说,这一课很难学到。
例如,2019年Capital One 1.9亿美元的数据泄露(付费墙)暴露了近1.06亿个人的记录,部分原因是Capital One有14年的信用卡申请数据存档,这超出了存储这些数据的行业要求。如果Capital One尽量减少它正在收集和存储的数据,它可能会大大减少受泄露影响的个人数量。
采用分层的安全。
一旦你消除了多余的数据,使用分层的安全方法来保护它。加密通常是必要的,但并不总是足以保护个人数据和PII等敏感信息。
使用分层的方法,而不是单独依赖加密,将产生更有效的安全策略,不允许单点故障破坏组织内的敏感数据。
为此,许多安全专业人士会采用零信任的数据安全模型。这个框架的运作原则很简单:在没有必要的地方,不要信任人、流程和技术,在被授予信任的地方,要持续评估和验证信任。
有了这种思路,组织不再仅仅依赖防火墙和入侵防御系统等基于周界的防御,而是还必须定期监控、认证和更新用户的访问权限。
Pseudonymize敏感数据。
最后,作为分层数据保护方法的一部分,实现匿名来识别您的组织有法律依据保留的个人数据。化名在GDPR和CCPA中都被引用为一种保护个人数据的适当技术措施。
化名化,即用假名代替敏感数据,是代币化的同义词,用代币代替敏感数据。多年来,支付卡行业一直利用令牌化来保护信用卡数据。同样的技术也可以应用到个人数据的识别元素上。在需要对原始数据进行处理的情况下,可以将其暂时去token化。
结论
如果你所在的机构还没有像加利福尼亚州、科罗拉多州、犹他州或弗吉尼亚州那样受到全面的数据保护法的约束,那么现在是时候开始准备了。除了国会的几个州外,其他几个州也在等待类似的立法。同样地,如果你还没有在你的组织中化名个人数据,现在开始也不晚。
最好的开始方式是使用现有的数据保护框架,如支付卡行业数据安全标准(PCI DSS),将您的合规努力扩展到个人数据。
本文:https://cioctocdo.com/three-steps-take-now-adppa-compliance
- 登录 发表评论