CTO 遵守 CPRA 网络安全要求的实用指南_安全锁|双十一

即将发生的法律变化如果您不是隐私极客，您可能没有注意到加利福尼亚最近投票以隐私法的名义更改其两个字母：从 CCPA 更改为 CPRA。但这还不是全部。名称的变化伴随着一项修正案，该修正案对在加利福尼亚州经营的企业施加了更大的压力，要求他们更认真地对待消费者数据保护。
根据 CCPA - 加利福尼亚州的网络安全措施必须应用于一组特定的敏感数据：社会安全号码、驾驶执照号码、其他政府标识符以及医疗、生物识别和其他信息。
根据即将出台的 CPRA -企业将有义务对与个人或家庭相关的任何信息实施合理的网络安全措施。
该修正案于 2023 年 1 月 1 日生效。
虽然这似乎有足够的时间，但了解法律内容并掌握您需要做的事情并非易事。

文章插图
究竟需要什么？对于监管机构希望您实施的内容，法律并未完全明确。这意味着您必须评估您的风险并做出相应的计划。
警告：前面的法律术语；建议用户酌情决定。
CPRA 包括对《加利福尼亚民法典》第 1798.100 节的修订。根据新的 e 小节：
收集消费者个人信息的企业应根据第 1798.81.5 条的规定，实施适合个人信息性质的合理安全程序和做法，以保护个人信息免遭未经授权或非法访问、破坏、使用、修改或披露。
反过来，加州民法典第 1798.81.5节 (b) 小节重申：
拥有、许可或维护加州居民个人信息的企业应实施和维护适合信息性质的合理安全程序和做法，以保护个人信息免遭未经授权的访问、破坏、使用、修改或披露。
令人恼火的是，对安全措施没有明确的要求，例如加密强度或许多后备系统。强制执行的安全措施完全取决于所处理的个人信息的性质。
在这方面，美国并不孤单。Art采取了同样的方法。欧洲 GDPR 第 32 条。
这种方法被称为“基于风险的”。为了留下完美的书面记录并证明其善意合规，组织通常分几个阶段进行风险评估：

列出可能导致的威胁：

非法访问数据
不需要的数据修改
数据消失

2. 对于每个威胁，评估：

严肃
可能性

（在规模上：可忽略不计、有限、重要和最大）

决定实施控制以应对风险，同时考虑到：

目前的“最先进”
实施成本

这种基于风险的方法是一种权衡：它对应实施的内容产生了不确定性。同时，它提供了灵活性，让您自己决定解决您的特定情况的最有效方法是什么。
您还应该注意适用于您的行业要求。例如，您可能需要在 PCI-DSS 下加密您的数据。忽视这些要求可能会给您的银行带来麻烦。如果您未能实施工作领域常见的安全措施，法院也可能会怀疑您为确保合规所做的努力。
“所有这些都非常令人困惑，”是的 - 告诉我吧。因此，让我们来看看如何迈出合规的第一步。
从哪里开始因此，通常有两种方法可以达到合规性。第一个适用于任何类型的合规性：相信您的直觉并实施您认为合适的安全措施。
优点：快速。
缺点：容易忽视或忘记事情；在法庭上很难辩护。
或者，您可以采取更平衡的方法并依赖框架和标准化实践。一个很好的例子是在美国商务部的指导下开发的NIST 隐私框架。
优点：管理风险状况的整体方法；善意考虑风险的证据。
缺点：比较费时间。
让你自己决定，但对我来说：前一种方法的速度不会超过犯错误和简单忘记东西的风险。创建可持续的业务意味着遵循一组特定的程序。这使得遵循既定框架来评估您需要的网络安全措施成为可行的选择。