Nowojorska ustawa SHIELD: co to oznacza dla firm

Opublikowany: 2020-07-22

New York's Shield Act to najnowsze prawo dotyczące prywatności danych, które firmy w całym kraju muszą brać pod uwagę, szczególnie w przypadku firm z obecnymi lub potencjalnymi klientami mieszkającymi w stanie. Jaki będzie to miało wpływ na organizacje i jak mogą przygotować się do przyszłych regulacji i standardów zgodności?

Czym jest ustawa New York SHIELD?

Nowojorska ustawa SHIELD weszła oficjalnie w życie 21 marca i ma na celu rozszerzenie istniejących przepisów poprzez ochronę większej ilości informacji konsumenckich i przedefiniowanie tego, co stanowi naruszenie danych.

  • Zakres: Ustawa SHIELD rozszerza, kto podlega jurysdykcji prawa. Wcześniej przedsiębiorstwa, które musiały przestrzegać prawa, to firmy, które działały na terenie państwa. Nowa ustawa rozszerza to, aby objąć każdego klienta mieszkającego w Nowym Jorku, niezależnie od tego, czy firma ma tam siedzibę, czy nie.
  • Definicja: Definicja tego, co powoduje naruszenie bezpieczeństwa, została przedefiniowana w ustawie. Wcześniej dane osobowe i informacje musiały zostać pozyskane przez nieuprawnioną stronę, której celem byli hakerzy i cyberprzestępcy. Teraz konsumenci muszą być powiadamiani, gdy nieupoważniona strona uzyskała dostęp do informacji, niezależnie od tego, czy zostały skradzione.
  • Typy danych: Poprzednio rodzajem chronionych informacji były wszelkie dane używane w połączeniu z numerem ubezpieczenia społecznego danej osoby, numerem prawa jazdy lub innymi numerami kont, których można było używać wraz z hasłami lub kodami dostępu umożliwiającymi dostęp do konta. Został on rozszerzony o następujące elementy:
    • Numery kont finansowych, za pomocą których można uzyskać dostęp do konta, np. numer karty kredytowej
    • Nazwy użytkownika, hasła, e-maile i pytania zabezpieczające
    • Informacje biometryczne wykorzystywane do identyfikacji osób

Firmy muszą już teraz przestrzegać tych nowych przepisów.

„Niezwykle ważne jest, aby nasze prawa nadążały za szybko zmieniającym się światem technologii. Ustawa SHIELD podnosi standardy bezpieczeństwa, aby nigdy więcej nowojorczyków nie padło niepotrzebnie ofiarą naruszeń danych i cyberataków”. – Senator Kevin Thomas, przewodniczący Komisji Ochrony Konsumentów

Dlaczego firmy powinny się tym zajmować?

Grzywny

Oczywiście najbardziej oczywistą kwestią, jaką należy wziąć pod uwagę, są konsekwencje finansowe działania niezgodnego z nowymi przepisami dotyczącymi zgodności.

Statut wcześniej przewidywał górną granicę grzywny w wysokości 150 000 USD dla jednej firmy, ale został on podniesiony do 250 000 USD.

Za świadome i lekkomyślne naruszenia — organizacje, które nie ustanowiły prawidłowych procedur zgodności — sąd może żądać kary w wysokości większej niż 5000 USD lub do 20 USD na instancję, do limitu 250 000 USD.

Do sierpnia 2019 r. biuro Prokuratora Generalnego nałożyło już ponad 600 milionów dolarów grzywien od firm, które nie spełniały odpowiednich standardów zgodności zgodnie z poprzednim prawem.

600 milionów dolarów to dużo pieniędzy, a to – wraz z podpisaniem nowej ustawy – pokazuje, jak poważnie Nowy Jork traktuje ochronę prywatności danych konsumentów.

Ponieważ ustawa SHIELD drastycznie rozszerza zakres, z jakimi firmy muszą być zgodne i jakie praktyki stosują, prawdopodobnie liczba ta dramatycznie wzrośnie w nadchodzących latach.

„Prawda jest taka, że ​​naruszenia bezpieczeństwa stają się coraz częstsze, a dzięki tym przepisom Nowy Jork podejmuje kroki w celu zwiększenia ochrony konsumentów i pociągnięcia tych firm do odpowiedzialności za niewłaściwe przetwarzanie poufnych danych”. – gubernator Kuomo

Krótko mówiąc, istnieje znacznie więcej aspektów regulacji ochrony danych, na które firmy mogą popaść, więc unikanie kar i upewnianie się, że tak się nie dzieje, powinno być najwyższym priorytetem.

Prowadzenie firmy

Nowe przepisy, takie jak SHIELD, wraz z istniejącym CCPA w Kalifornii i RODO w Unii Europejskiej, wyraźnie wskazują, że politycy dostrzegają niezadowolenie konsumentów ze sposobu, w jaki organizacje przetwarzają ich dane.

Ludzie są bardziej niż kiedykolwiek świadomi swoich praw do danych i prywatności, a 84% osób twierdzi, że dba o prywatność, dba o własne dane, zależy mu na danych innych członków społeczeństwa i chce mieć większą kontrolę nad w jaki sposób wykorzystywane są ich dane.

Ale jak to wpływa na sukces firmy?

Cóż, szczerze mówiąc, zapewnienie ochrony danych jest dla organizacji takim samym wysiłkiem samozachowawczym, jak i dbaniem o dobro ich klientów.

79% osób twierdzi, że jest bardzo lub nieco zaniepokojona tym, w jaki sposób firmy wykorzystują gromadzone na ich temat dane

Raz po raz firmy, które niewłaściwie obchodzą się z danymi lub cierpią z powodu ich naruszenia z powodu niskich standardów ochrony informacji, strzelają sobie w nogę, ponieważ konsumenci po prostu przekazują swoją firmę komuś innemu, jeśli czują, że nie są chronieni.

W rzeczywistości 48% respondentów w ankiecie stwierdziło, że zmienili już firmę lub dostawcę, ponieważ obawiali się o ich politykę dotyczącą danych i praktyki udostępniania.

Przesłanie jest głośne i jasne dla konsumentów: traktuj ich dane poważnie lub przekażą swoje zwyczaje firmom, które to robią.

Więcej w przyszłości

Jak pokrótce wspomnieliśmy, ustawa SHIELD ma wiele podobieństw do istniejących przepisów o ochronie danych, takich jak CCPA i RODO.

SHIELD nie jest pierwszym i na pewno nie ostatnim.

Takie przepisy kształtują dyskusję na temat tego, jak bardzo konsumenci są chronieni.

Starsi przedstawiciele biznesu i organizacje domagają się federalnego prawa o ochronie danych osobowych inspirowanego RODO i CCPA, i chociaż dwustronna ustawa federalna nie jest obecnie zamknięta, wszystkie te przepisy wydają się zmierzać w jednym kierunku.

Jest to szczególnie prawdziwe, gdy weźmie się pod uwagę wpływ, jaki mają same CCPA i SHIELD – 60 milionów ludzi w Kalifornii i Nowym Jorku jest teraz objętych tym.

To prawie 20% całej populacji USA, której firmy muszą przestrzegać.

Jest prawdopodobne, że z czasem inne stany pójdą w ich ślady, nawet jeśli nie ma prawa federalnego – stany, w tym Floryda (jeden z największych skupisk ludności i rynków w USA) wprowadzają projekty ustaw do swoich senatów.

Firmy, które wyprzedzają konkurencję, zdadzą sobie sprawę, że przepisy, takie jak CCPA i SHIELD, to dopiero początek, i przygotują swoją organizację z kompleksowymi standardami i praktykami w zakresie zgodności z przepisami dotyczącymi danych, które będą niezbędne do tego, co ma nadejść.

Co firmy mogą zrobić, aby się przygotować?

Firmy powinny zacząć od inwestowania w niektóre kluczowe aspekty swojej działalności, które pomogą chronić dane klientów. Są to a mianowicie:

Środki ochrony danych

Jak przechowywane są Twoje dane klientów?

Jednym z powodów, dla których tak znacząco rośnie popularność chmury wśród małych i średnich firm, jest ich względna łatwość użytkowania i wysokie standardy ochrony danych.

Podczas gdy w poprzednich latach właściciele firm byli niechętni przechowywaniu poufnych danych w chmurze, teraz robią to masowo w wyniku postępu w zakresie bezpieczeństwa chmury.

Usługi w chmurze, takie jak Microsoft Azure, korzystają z centrów danych Tier IV, które zapewniają maksymalne bezpieczeństwo i zaledwie 26 minut przestojów rocznie.

Wiele firm korzysta z systemu hybrydowego dla swoich danych, przechowując ogólne informacje dotyczące pracy w centrach danych w chmurze publicznej; podczas korzystania z prywatnego centrum danych w celu uzyskania bardziej poufnych informacji, co daje im większą kontrolę i opcje dostosowywania.

Pozwala to na większą elastyczność organizacjom, które mogą być szczególnie świadome tego, jak dbają o swoje dane.

Powiązany post: Dlaczego potrzebujesz centrum danych Tier IV

Personel bezpośrednio odpowiedzialny za koordynację i ocenę ryzyka

Ogólnie rzecz biorąc, dobrze jest mieć członka personelu (lub dostawcę) kierującego Twoją polityką zgodności.

Wydajna i standardowa obsługa danych to nie tylko kwestia instalowania nowych aplikacji. Zasadniczo sprowadza się to do tego, w jaki sposób Twoi pracownicy wykorzystują i udostępniają dane oraz jakie rozwiązania wykorzystują w tym celu.

Jeśli naruszają nowe przepisy lub istniejące praktyki, potrzebujesz kogoś z wiedzą i umiejętnościami, aby móc rozwiązać te problemy i wdrożyć odpowiednie standardy.

Osoba ta powinna być również odpowiedzialna za zgłaszanie wszelkich naruszeń bezpieczeństwa danych, które mają miejsce, oprócz rutynowej oceny wszelkich potencjalnych zagrożeń związanych z obsługą danych, niezależnie od tego, czy jest to związane ze sprzętem, czy oprogramowaniem.

Będzie to jeszcze bardziej istotne, biorąc pod uwagę trudności, jakie napotykają firmy podczas udostępniania danych w ramach i między zdalną siłą roboczą.

Niektóre firmy zdecydują się mieć kogoś, kto to zrobi, ale wiele z nich wybierze MSSP, ponieważ są one opłacalne i mają wiedzę dokładnie na temat tego, co firmy muszą zrobić w odniesieniu do ochrony danych, ponieważ odnoszą się one do ich specyfiki sytuacja.

Na wynos

  • New York SHIELD Act stanowi znaczne rozszerzenie istniejących przepisów dotyczących prywatności danych, których firmy muszą teraz przestrzegać.
  • Wymagania konsumentów i rosnące zainteresowanie prawami dotyczącymi ochrony danych oznaczają, że firmy powinny bardzo poważnie traktować swoje praktyki przetwarzania danych, aby zadowolić swoich klientów.
  • SHIELD to tylko najnowsze z serii przepisów dotyczących prywatności danych, a kolejne przepisy w nadchodzących latach jeszcze bardziej przyspieszą potrzebę dostosowania się organizacji do ich przestrzegania.

Czy Twoja firma jest zgodna?

Nowe przepisy, takie jak RODO, CCPA i SHIELD, to dopiero początek standardów dotyczących ochrony danych, które firmy powinny brać pod uwagę. Podstawowym celem każdej nowoczesnej organizacji powinno być powstrzymanie naruszeń danych. Ale jak?

Zapoznaj się z naszym bezpłatnym e-bookiemCo sprawia, że ​​nowoczesna ochrona przed cyberbezpieczeństwem jest dobra?” i zobacz, jakie środki powinny wprowadzić firmy, aby zapewnić bezpieczeństwo swoich danych.