Legea SHIELD din New York: ce înseamnă pentru afaceri

Shield Act din New York este cea mai recentă lege privind confidențialitatea datelor de care trebuie să ia în considerare întreprinderile din întreaga țară, în special pentru companiile cu clienți actuali sau potențiali care locuiesc în stat. Ce efect va avea asupra organizațiilor și cum se pot pregăti pentru viitoarele reglementări și standarde de conformitate?

Ce este New York SHIELD Act?

Legea SHIELD din New York a intrat în vigoare oficial pe 21 ^martie și este concepută pentru a extinde reglementările existente prin protejarea mai multor informații despre consumatori și redefinirea a ceea ce constituie o încălcare a datelor.

• Acoperire: Legea SHIELD extinde cine intră sub jurisdicția legii. Anterior, afacerile care trebuiau să respecte legea erau companii care lucrau în interiorul statului. Noul act extinde acest lucru pentru a include orice client care locuiește în New York, indiferent dacă afacerea are sediul acolo sau nu.
• Definiție: definiția a ceea ce face o încălcare a securității a fost redefinită în cadrul actului. Înainte, datele și informațiile cu caracter personal trebuiau să fi fost achiziționate de o parte neautorizată, care vizează hackeri și criminalii cibernetici. Acum, consumatorii trebuie să fie anunțați când o parte neautorizată a accesat informații, indiferent dacă acestea au fost sau nu furate.
• Tipuri de date: Anterior, tipul de informații protejate era orice date utilizate împreună cu numărul de securitate socială al unei persoane, numărul permisului de conducere sau alte numere de cont care puteau fi utilizate cu parole sau coduri de acces care permit accesul la un cont. Acesta a fost extins pentru a include următoarele:
  • Numere de cont financiar care pot fi folosite pentru a accesa un cont, cum ar fi un număr de card de credit
  • Nume de utilizator de cont, parole, e-mailuri și întrebări de securitate
  • Informații biometrice utilizate pentru identificarea persoanelor

Întreprinderile trebuie să respecte acum aceste noi reglementări.

„Este esențial ca legile noastre să țină pasul cu lumea în schimbare rapidă a tehnologiei. Legea SHIELD ridică standardele de securitate, astfel încât să nu mai fie victimizați inutil de încălcări ale datelor și atacuri cibernetice.” – Senatorul Kevin Thomas, președintele Comisiei pentru protecția consumatorilor

De ce ar trebui să le pese afacerilor?

Amenzi

Desigur, cea mai evidentă considerație de luat sunt implicațiile financiare ale încălcării noilor reglementări de conformitate.

Statutul avea anterior un plafon de 150.000 de dolari în amenzi pentru o singură companie, dar acesta a fost ridicat la 250.000 de dolari.

Pentru încălcări conștiente și imprudente - organizații care nu au stabilit proceduri corecte de conformitate - o instanță poate solicita penalități mai mari de 5.000 USD sau până la 20 USD per instanță, până la plafonul de 250.000 USD.

Până în august 2019, biroul Procurorului General a perceput deja amenzi de peste 600 de milioane de dolari de la întreprinderile care nu îndeplineau standardele corecte de conformitate conform legii anterioare.

600 de milioane de dolari reprezintă o mulțime de bani, iar asta – împreună cu semnarea acestui nou act în lege – este un indiciu al cât de serios ia New York-ul protecția confidențialității datelor pentru consumatori.

Odată cu SHIELD Act extinzând drastic ceea ce întreprinderile trebuie să respecte și ce practici au în vigoare, este probabil ca această cifră să crească dramatic în următorii ani.

„Realitatea crudă este că încălcările de securitate devin din ce în ce mai frecvente și, odată cu această legislație, New York ia măsuri pentru a spori protecția consumatorilor și trage aceste companii la răspundere atunci când manipulează greșit datele sensibile.” – Guvernatorul Cuomo

Pe scurt, există mult mai multe aspecte ale reglementării privind protecția datelor de care companiile pot cădea de partea greșită, așa că evitarea amenzilor și asigurarea faptului că acest lucru nu se întâmplă ar trebui să fie o prioritate de vârf.

Păstrarea afacerii dvs

Noile legislații precum SHIELD, împreună cu CCPA existente în California și GDPR în Uniunea Europeană, sunt indicii clare că politicienii recunosc nemulțumirea consumatorilor cu privire la modul în care organizațiile își gestionează datele.

Oamenii sunt mai conștienți de drepturile lor de date și de confidențialitate decât au fost vreodată, iar 84% dintre oameni spun că le pasă de confidențialitate, de propriile lor date, de datele altor membri ai societății și doresc mai mult control asupra cum sunt folosite datele lor.

Dar cum afectează acest lucru succesul unei afaceri?

Ei bine, sincer, asigurarea protecției datelor este atât de mult un efort de autoconservare pentru organizații, cât menține interesele clienților lor în centrul atenției.

79% dintre oameni spun că sunt foarte sau oarecum îngrijorați de modul în care companiile folosesc datele pe care le colectează despre ei

Din când în când, companiile care manipulează greșit datele sau suferă încălcări ale datelor din cauza standardelor slabe de protecție a informațiilor se împușcă în picioare, deoarece consumatorii pur și simplu își vor duce afacerea către altcineva dacă simt că nu sunt protejați.

De fapt, 48% dintre respondenții la un sondaj au spus că și-au schimbat deja companiile sau furnizorii pentru că erau îngrijorați de politicile lor de date și de practicile de partajare.

Mesajul este tare și clar din partea consumatorilor: luați-le datele în serios sau își vor lua obiceiul către companiile care o fac.

Urmeaza

După cum am menționat pe scurt, Legea SHIELD are multe asemănări cu legile existente privind protecția datelor, cum ar fi CCPA și GDPR.

SHIELD nu este primul și cu siguranță nu va fi ultimul.

Legi ca acestea modelează conversația cu privire la cât de mult sunt protejați consumatorii.

Personalități și organizații de rang înalt cer o lege federală privind confidențialitatea datelor inspirată de GDPR și CCPA și, deși un proiect de lege federal bipartizan nu este aproape în acest moment, toate aceste reglementări par să se îndrepte într-o singură direcție.

Acest lucru este valabil mai ales dacă luați în considerare impactul pe care CCPA și SHIELD îl au numai - 60 de milioane de oameni din California și New York sunt acum acoperiți de acest lucru.

Aceasta reprezintă aproape 20% din întreaga populație din SUA pe care trebuie să o respecte întreprinderile.

Este probabil ca, în timp, alte state să urmeze exemplul, chiar dacă nu există o lege federală – state inclusiv Florida (unul dintre cele mai mari centre de populație și piețe ale SUA) introduc proiecte de lege în senatele lor.

Companiile care sunt în fața curbei vor recunoaște că legile precum CCPA și SHIELD sunt doar începutul și își vor pregăti organizația cu standarde și practici cuprinzătoare pentru conformitatea cu reglementările privind datele care vor fi necesare pentru ceea ce urmează.

Ce pot face afacerile pentru a se pregăti?

Afacerile ar trebui să înceapă prin a investi în unele aspecte cheie ale afacerii lor, care vor ajuta la protejarea datelor clienților lor. Acestea sunt si anume:

Măsuri de protecție a datelor

Cum sunt stocate datele clienților dvs.?

Unul dintre motivele pentru care adoptarea cloud-ului crește atât de semnificativ în rândul IMM-urilor este datorită ușurinței lor relative de utilizare și standardelor înalte atunci când vine vorba de protecția datelor.

În timp ce în anii precedenți, proprietarii de afaceri ezitau să stocheze date confidențiale în cloud, acum o fac în număr mare, ca urmare a progreselor în securitatea în cloud.

Serviciile cloud, cum ar fi Azure de la Microsoft, folosesc centre de date Tier IV, care oferă securitate maximă și timp de nefuncționare de 26 de minute anual.

Multe companii operează un sistem hibrid pentru datele lor, păstrând informațiile generale de lucru stocate în centrele de date cloud publice; folosind un centru de date privat pentru informațiile lor mai sensibile, oferindu-le mai mult control și opțiuni de personalizare.

Acest lucru permite mai multă flexibilitate organizațiilor care pot fi deosebit de conștiente de modul în care își îngrijesc datele.

Postare conexă: De ce aveți nevoie de un centru de date de nivel IV

Personalul direct responsabil de coordonare și evaluarea riscurilor

În general, este bine să ai un membru al personalului (sau un furnizor) care să conducă politica ta de conformitate.

Manipularea datelor în mod eficient și la standard nu este doar un caz de instalare de noi aplicații. În principal, se rezumă la modul în care forța de muncă folosește și partajează datele și la soluțiile pe care le folosesc pentru a face acest lucru.

Dacă încalcă noile legi sau practicile existente, atunci aveți nevoie de cineva cu know-how și capacitatea de a putea aborda aceste preocupări și de a implementa standardele corecte.

Această persoană ar trebui, de asemenea, să fie responsabilă pentru raportarea oricăror încălcări ale datelor care apar, pe lângă evaluarea de rutină a oricăror riscuri potențiale în ceea ce privește manipularea datelor, indiferent dacă este vorba despre hardware sau software.

Acest lucru va fi și mai pertinent, având în vedere dificultățile pe care companiile le-au întâmpinat atunci când fac schimb de date în cadrul și între o forță de muncă de la distanță.

Unele companii vor alege să aibă pe cineva intern care să facă acest lucru, dar multe vor opta pentru un MSSP, deoarece sunt rentabile și au experiența exactă a ceea ce trebuie să facă întreprinderile în ceea ce privește protecția datelor, în funcție de specificul lor. situatie.

Concluzii

• New York SHIELD Act este o extensie substanțială a legilor existente privind confidențialitatea datelor, pe care companiile trebuie să le respecte acum.
• Cererile consumatorilor și interesul în creștere a publicului față de legile privind protecția datelor înseamnă că întreprinderile ar trebui să-și ia extrem de în serios practicile de prelucrare a datelor pentru a-și menține clienții mulțumiți.
• SHIELD este doar cea mai recentă serie de legi privind confidențialitatea datelor, iar alte legi în anii următori vor accelera și mai mult nevoia organizațiilor de a se ridica la curent cu respectarea lor.

Compania dvs. este conformă?

Noile legi precum GDPR, CCPA și SHIELD sunt doar începutul pentru standardele de conformitate cu protecția datelor pe care companiile ar trebui să le țină seama. Un obiectiv principal pentru orice organizație modernă ar trebui să fie stoparea încălcării datelor. Dar cum?

Aruncă o privire la cartea noastră electronică gratuită, „ Ce face o bună apărare a securității cibernetice pentru un IMM modern?” și vedeți ce măsuri ar trebui să ia companiile pentru a-și păstra datele în siguranță.