قانون SHIELD في نيويورك: ماذا يعني للشركات

قانون New York's Shield هو أحدث قانون لخصوصية البيانات يجب على الشركات في جميع أنحاء البلاد مراعاته ، لا سيما للشركات التي لديها أي عملاء حاليين أو محتملين يقيمون في الولاية. ما هو تأثير ذلك على المنظمات وكيف يمكنهم الاستعداد لمعايير التنظيم والامتثال في المستقبل؟

ما هو قانون SHIELD نيويورك؟

دخل قانون SHIELD في نيويورك حيز التنفيذ رسميًا في 21 ^مارس وهو مصمم للتوسع في اللوائح الحالية من خلال حماية المزيد من معلومات المستهلك وإعادة تعريف ما يشكل انتهاكًا للبيانات.

• التغطية: يوسع قانون SHIELD من يقع تحت اختصاص القانون. في السابق ، كانت الشركات التي يتعين عليها الامتثال للقانون هي الشركات التي تتعامل داخل الدولة. يوسع القانون الجديد هذا ليشمل أي عميل يقيم في نيويورك ، سواء كان النشاط التجاري قائمًا هناك أم لا.
• التعريف: تم إعادة تعريف تعريف ما يجعل خرقًا أمنيًا بموجب القانون. في السابق ، كان لا بد من الحصول على البيانات والمعلومات الشخصية من قبل جهة غير مصرح لها - تستهدف المتسللين ومجرمي الإنترنت. الآن ، يجب إخطار المستهلكين عند وصول طرف غير مصرح له إلى المعلومات ، بغض النظر عما إذا كانت مسروقة أم لا.
• أنواع البيانات: في السابق ، كان نوع المعلومات المحمية هو أي بيانات مستخدمة جنبًا إلى جنب مع رقم الضمان الاجتماعي للشخص أو رقم رخصة القيادة أو أرقام الحساب الأخرى التي يمكن استخدامها مع كلمات المرور أو رموز الوصول التي تسمح بالوصول إلى الحساب. تم توسيع هذا ليشمل ما يلي:
  • أرقام الحسابات المالية التي يمكن استخدامها للوصول إلى حساب ، مثل رقم بطاقة الائتمان
  • أسماء مستخدمي الحساب وكلمات المرور ورسائل البريد الإلكتروني وأسئلة الأمان
  • تستخدم المعلومات البيومترية لتحديد الأفراد

يجب أن تلتزم الشركات بهذه اللوائح الجديدة الآن.

"من الأهمية بمكان أن تواكب قوانيننا عالم التكنولوجيا سريع التغير. يرفع قانون SHIELD معايير الأمان بحيث لا يقع المزيد من سكان نيويورك ضحية لانتهاكات البيانات والهجمات الإلكترونية ". - السيناتور كيفن توماس ، رئيس لجنة حماية المستهلك

لماذا يجب أن تهتم الشركات؟

الغرامات

بطبيعة الحال ، فإن الاعتبار الأكثر وضوحًا الذي يجب أخذه هو الآثار المالية المترتبة على الإخلال بلوائح الامتثال الجديدة.

كان النظام الأساسي قد حدد في السابق سقفًا قدره 150 ألف دولار لغرامات شركة واحدة ، لكن تم رفعه إلى 250 ألف دولار.

لمعرفة الانتهاكات الطائشة - المنظمات التي لم تضع إجراءات الامتثال الصحيحة - يمكن للمحكمة أن تطلب عقوبات تزيد عن 5000 دولار أو ما يصل إلى 20 دولارًا لكل حالة بحد أقصى 250000 دولار.

بحلول آب (أغسطس) 2019 ، كان مكتب المدعي العام قد فرض بالفعل غرامات تزيد عن 600 مليون دولار من الشركات التي لم تستوف معايير الامتثال الصحيحة بموجب القانون السابق.

600 مليون دولار هي أموال طائلة ، وهذا - إلى جانب التوقيع على هذا القانون الجديد - مؤشر على مدى جدية نيويورك في التعامل مع حماية خصوصية البيانات للمستهلكين.

مع توسيع قانون SHIELD بشكل كبير لما يجب أن تكون الأعمال متوافقة معه والممارسات المعمول بها ، فمن المحتمل أن يرتفع هذا الرقم بشكل كبير خلال السنوات القادمة.

"الحقيقة الصارخة هي أن الانتهاكات الأمنية أصبحت أكثر تواترًا ، وبفضل هذا التشريع ، تتخذ نيويورك خطوات لزيادة الحماية للمستهلكين ومحاسبة هذه الشركات عندما تسيء التعامل مع البيانات الحساسة." - حاكم ولاية كومو

باختصار ، هناك جوانب أكثر بكثير لتنظيم حماية البيانات يمكن للشركات أن تقع في الجانب الخطأ منها ، لذا يجب أن يكون تجنب الغرامات والتأكد من عدم حدوث ذلك أولوية قصوى.

الحفاظ على عملك

التشريعات الجديدة مثل SHIELD ، إلى جانب CCPA الحالية في كاليفورنيا و GDPR في الاتحاد الأوروبي ، هي مؤشرات واضحة على أن السياسيين يدركون عدم رضا المستهلكين عن كيفية تعامل المنظمات مع بياناتهم.

أصبح الأشخاص أكثر وعيًا بحقوق البيانات والخصوصية الخاصة بهم أكثر من أي وقت مضى ، ويقول 84٪ من الأشخاص إنهم يهتمون بالخصوصية ، ويهتمون ببياناتهم الخاصة ، ويهتمون ببيانات الأعضاء الآخرين في المجتمع ، ويريدون مزيدًا من التحكم كيف يتم استخدام بياناتهم.

لكن كيف يؤثر ذلك على نجاح الأعمال؟

حسنًا ، بصراحة ، يعد ضمان حماية البيانات جهدًا في الحفاظ على الذات للمؤسسات بقدر ما هو الحفاظ على مصالح عملائها في الاعتبار.

يقول 79٪ من الأشخاص إنهم قلقون جدًا أو إلى حد ما بشأن كيفية استخدام الشركات للبيانات التي يجمعونها عنهم

مرارًا وتكرارًا ، تقوم الشركات التي تسيء التعامل مع البيانات أو تعاني من انتهاكات البيانات بسبب معايير حماية المعلومات السيئة بإطلاق النار على نفسها ، حيث سيأخذ المستهلكون أعمالهم ببساطة إلى شخص آخر إذا شعروا أنهم غير محميين.

في الواقع ، قال 48٪ من المشاركين في الاستطلاع إنهم قاموا بالفعل بتبديل الشركات أو مقدمي الخدمات لأنهم كانوا قلقين بشأن سياسات البيانات وممارسات المشاركة الخاصة بهم.

الرسالة عالية وواضحة من المستهلكين: خذ بياناتهم على محمل الجد أو سيأخذون مخصصاتهم للشركات التي تفعل ذلك.

المزيد قادم

كما ذكرنا بإيجاز ، يحمل قانون SHIELD العديد من أوجه التشابه مع قوانين حماية البيانات الحالية مثل CCPA و GDPR.

SHIELD ليس الأول ، وبالتأكيد لن يكون الأخير.

تعمل مثل هذه القوانين على تشكيل المحادثة بشأن مدى حماية المستهلكين.

تدعو شخصيات ومؤسسات أعمال بارزة إلى قانون فيدرالي لخصوصية البيانات مستوحى من القانون العام لحماية البيانات (GDPR) وقانون حماية خصوصية المستهلك (CCPA) ، وفي حين أن مشروع قانون اتحادي ثنائي الحزب ليس قريبًا الآن ، يبدو أن كل هذه اللوائح تسير في اتجاه واحد.

هذا صحيح بشكل خاص عندما تفكر في تأثير CCPA و SHIELD وحدهما - 60 مليون شخص في كاليفورنيا ونيويورك يتم تغطيتهم الآن.

هذا ما يقرب من 20 ٪ من إجمالي سكان الولايات المتحدة الذين يتعين على الشركات الالتزام بها.

من المحتمل أنه بمرور الوقت ، ستحذو الولايات الأخرى حذوها ، حتى لو لم يكن هناك قانون فيدرالي - الولايات بما في ذلك فلوريدا (أحد أكبر المراكز والأسواق السكانية في الولايات المتحدة) تقدم فواتير إلى مجلس الشيوخ.

ستدرك الشركات التي تتقدم على المنحنى أن قوانين مثل CCPA و SHIELD هي مجرد البداية ، وتجهز مؤسساتها بمعايير وممارسات شاملة للامتثال لتنظيم البيانات والتي ستكون ضرورية لما هو قادم.

ما الذي يمكن أن تفعله الشركات للاستعداد؟

يجب أن تبدأ الشركات بالاستثمار في بعض الجوانب الرئيسية لأعمالها التي ستساعد في حماية بيانات عملائها. هذه هي:

تدابير حماية البيانات

كيف يتم تخزين بيانات العملاء الخاصة بك؟

أحد أسباب زيادة اعتماد السحابة بشكل كبير بين الشركات الصغيرة والمتوسطة هو سهولة الاستخدام النسبية والمعايير العالية عندما يتعلق الأمر بحماية البيانات.

بينما في السنوات السابقة ، كان أصحاب الأعمال مترددين في تخزين البيانات السرية على السحابة ، فإنهم يفعلون ذلك الآن بأعداد كبيرة نتيجة للتقدم في أمان السحابة.

تستخدم الخدمات السحابية مثل Azure من Microsoft مراكز بيانات Tier IV ، والتي توفر أقصى قدر من الأمان وفترة تعطل تصل إلى 26 دقيقة سنويًا.

تشغل العديد من الشركات نظامًا هجينًا لبياناتها ، مع الاحتفاظ بمعلومات العمل العامة المخزنة في مراكز البيانات السحابية العامة ؛ أثناء استخدام مركز بيانات خاص للحصول على معلومات أكثر حساسية ، مما يمنحهم المزيد من خيارات التحكم والتخصيص.

يتيح ذلك مزيدًا من المرونة للمنظمات التي قد تكون مدركة بشكل خاص لكيفية العناية ببياناتها.

وظيفة ذات صلة: لماذا تحتاج إلى مركز بيانات من المستوى الرابع

الموظفون المسؤولون بشكل مباشر عن التنسيق وتقييم المخاطر

بشكل عام ، من الجيد أن يكون لديك موظف (أو بائع) يقود سياسة الامتثال الخاصة بك.

معالجة البيانات بكفاءة وبشكل قياسي ليس مجرد حالة لتثبيت تطبيقات جديدة. يتعلق الأمر بشكل أساسي بكيفية استخدام القوى العاملة لديك للبيانات ومشاركتها والحلول التي يستخدمونها للقيام بذلك.

إذا كانت تنتهك قوانين جديدة ، أو كانت هناك ممارسات قائمة ، فأنت بحاجة إلى شخص لديه المعرفة والقدرة على معالجة هذه المخاوف وتنفيذ المعايير الصحيحة.

يجب أن يكون هذا الشخص مسؤولاً أيضًا عن الإبلاغ عن أي انتهاكات تحدث للبيانات ، بالإضافة إلى التقييم الروتيني لأي مخاطر محتملة فيما يتعلق بمعالجة البيانات ، سواء كانت متعلقة بالأجهزة أو البرامج.

سيكون هذا أكثر صلة بالموضوع ، مع الأخذ في الاعتبار الصعوبات التي واجهتها الشركات عند مشاركة البيانات داخل وبين القوى العاملة عن بعد.

ستختار بعض الشركات أن يكون لديها شخص ما في المنزل للقيام بذلك ، لكن العديد منها سيختار MSSP لأنها فعالة من حيث التكلفة ولديها الخبرة في ما تحتاجه الشركات بالضبط فيما يتعلق بحماية البيانات من حيث صلتها بخصائصها المحددة الموقف.

الوجبات الجاهزة

• يعد قانون New York SHIELD Act امتدادًا جوهريًا لقوانين خصوصية البيانات الحالية ، والتي يجب أن تلتزم بها الشركات الآن.
• تعني مطالب المستهلكين والاهتمام العام المتزايد بقوانين حماية البيانات أن الشركات يجب أن تأخذ ممارسات معالجة البيانات الخاصة بها على محمل الجد للحفاظ على رضا عملائها.
• SHIELD هي فقط الأحدث في سلسلة قوانين خصوصية البيانات ، وهناك قوانين أخرى في السنوات القادمة ستزيد من تسريع حاجة المؤسسات إلى التعجيل بامتثالها.

هل عملك متوافق؟

القوانين الجديدة مثل القانون العام لحماية البيانات (GDPR) ، وقانون حماية خصوصية المستهلك (CCPA) ، و SHIELD هي مجرد بداية لمعايير الامتثال لحماية البيانات التي يجب أن تأخذها الشركات في الاعتبار. يجب أن يكون الهدف الأساسي لأي مؤسسة حديثة هو وقف انتهاكات البيانات. ولكن كيف؟

ألق نظرة على كتابنا الإلكتروني المجاني ، " ما الذي يصنع دفاعًا جيدًا عن الأمن السيبراني للشركات الصغيرة والمتوسطة الحديثة؟" ومعرفة الإجراءات التي يجب أن تتخذها الشركات للحفاظ على أمان بياناتها.