Закон Нью-Йорка SHIELD: что это значит для бизнеса

Опубликовано: 2020-07-22

Закон Нью-Йорка о защите данных — это последний закон о конфиденциальности данных, который должны принимать во внимание предприятия по всей стране, особенно для предприятий с любыми текущими или потенциальными клиентами, проживающими в штате. Какое влияние это окажет на организации и как они могут подготовиться к будущим стандартам регулирования и соответствия?

Что такое Закон Нью-Йорка SHIELD?

Закон Нью-Йорка SHIELD официально вступил в силу 21 марта и призван расширить существующие правила, защищая больше информации о потребителях и переопределяя, что представляет собой утечку данных.

  • Охват: Закон SHIELD расширяет круг лиц, подпадающих под его юрисдикцию. Раньше предприятия, которые должны были соблюдать закон, были компаниями, которые вели дела в штате. Новый закон расширяет это, чтобы включить любого клиента, который проживает в Нью-Йорке, независимо от того, находится ли там бизнес или нет.
  • Определение: определение того, что является нарушением безопасности, было пересмотрено в соответствии с законом. Раньше личные данные и информация должны были быть получены неавторизованной стороной, нацеленной на хакеров и киберпреступников. Теперь потребители должны быть уведомлены, когда неавторизованная сторона получает доступ к информации, независимо от того, украдена она или нет.
  • Типы данных: ранее типом защищаемой информации были любые данные, используемые в сочетании с номером социального страхования человека, номером водительского удостоверения или другими номерами учетных записей, которые можно использовать с паролями или кодами доступа, позволяющими получить доступ к учетной записи. Это было расширено, чтобы включить следующее:
    • Номера финансовых счетов, которые можно использовать для доступа к учетной записи, например номер кредитной карты.
    • Имена пользователей, пароли, адреса электронной почты и контрольные вопросы
    • Биометрическая информация, используемая для идентификации личности

Теперь предприятия должны соблюдать эти новые правила.

«Очень важно, чтобы наши законы шли в ногу с быстро меняющимся миром технологий. Закон SHIELD повышает стандарты безопасности, чтобы жители Нью-Йорка больше не становились жертвами утечки данных и кибератак». – Сенатор Кевин Томас, председатель Комитета по защите прав потребителей

Почему бизнес должен заботиться?

Штрафы

Конечно, наиболее очевидным соображением, которое следует учитывать, являются финансовые последствия нарушения новых правил соответствия.

Ранее в законе был установлен потолок штрафов в размере 150 000 долларов США для одной компании, но он был увеличен до 250 000 долларов США.

За умышленные и неосторожные нарушения — организации, которые не установили правильных процедур соблюдения — суд может взыскать штраф в размере более 5000 долларов США или до 20 долларов США в каждом случае до максимальной суммы в 250 000 долларов США.

К августу 2019 года Генеральная прокуратура уже наложила штрафы на сумму более 600 миллионов долларов с предприятий, которые не соответствовали надлежащим стандартам соблюдения в соответствии с предыдущим законом.

600 миллионов долларов — это большие деньги, и это — наряду с подписанием этого нового закона — свидетельствует о том, насколько серьезно Нью-Йорк относится к защите конфиденциальности данных для потребителей.

С учетом того, что Закон SHIELD резко расширяет перечень требований, которым должны соответствовать предприятия, и методов, которые они применяют, вполне вероятно, что в ближайшие годы эта цифра резко возрастет.

«Суровая реальность такова, что нарушения безопасности становятся все более частыми, и с помощью этого законодательства Нью-Йорк предпринимает шаги по усилению защиты потребителей и привлечению этих компаний к ответственности, когда они неправильно обращаются с конфиденциальными данными». – Губернатор Куомо

Короче говоря, существует гораздо больше аспектов регулирования защиты данных, в которых компании могут ошибаться, поэтому избегание штрафов и обеспечение того, чтобы этого не произошло, должно быть главным приоритетом.

Сохранение вашего бизнеса

Новое законодательство, такое как SHIELD, наряду с существующим CCPA в Калифорнии и GDPR в Европейском союзе, ясно указывает на то, что политики признают неудовлетворенность потребителей тем, как организации обрабатывают их данные.

Люди больше знают о своих правах на данные и конфиденциальность, чем когда-либо, и 84% людей говорят, что они заботятся о конфиденциальности, заботятся о своих собственных данных, заботятся о данных других членов общества и хотят большего контроля над как используются их данные.

Но как это влияет на успех бизнеса?

Ну, откровенно говоря, обеспечение защиты данных — это не только стремление организаций к самосохранению, но и забота о наилучших интересах своих клиентов.

79% людей говорят, что они очень или в некоторой степени обеспокоены тем, как компании используют данные, которые они о них собирают.

Снова и снова компании, которые неправильно обращаются с данными или терпят утечку данных из-за плохих стандартов защиты информации, стреляют себе в ногу, поскольку потребители просто передают свой бизнес кому-то другому, если они чувствуют, что они не защищены.

Фактически, 48% респондентов в опросе заявили, что они уже сменили компанию или поставщика, потому что они были обеспокоены их политикой в ​​отношении данных и практикой обмена.

Сообщение от потребителей звучит громко и ясно: относитесь серьезно к своим данным, иначе они перенесут свои обычаи на предприятия, которые это делают.

Еще не все

Как мы кратко упомянули, Закон SHIELD во многом похож на существующие законы о защите данных, такие как CCPA и GDPR.

SHIELD не первая и точно не последняя.

Подобные законы формируют разговор о том, насколько защищены потребители.

Высокопоставленные представители бизнеса и организации призывают к принятию федерального закона о конфиденциальности данных, вдохновленного GDPR и CCPA, и, хотя двухпартийный федеральный законопроект еще не готов, все эти правила, похоже, движутся в одном направлении.

Это особенно верно, если учесть влияние, которое оказывают только CCPA и SHIELD — в настоящее время ими охвачено 60 миллионов человек в Калифорнии и Нью-Йорке.

Это почти 20% всего населения США, которым предприятия должны соответствовать.

Вполне вероятно, что со временем другие штаты последуют их примеру, даже если не будет федерального закона — штаты, включая Флориду (один из крупнейших населенных пунктов и рынков США), вносят законопроекты в свои сенаты.

Предприятия, опережающие время, признают, что такие законы, как CCPA и SHIELD, — это только начало, и подготовят свою организацию к комплексным стандартам и практикам для соответствия нормативным требованиям к данным, которые потребуются в будущем.

Что бизнес может сделать, чтобы подготовиться?

Компании должны начать с инвестиций в некоторые ключевые аспекты своего бизнеса, которые помогут защитить данные своих клиентов. А именно:

Меры защиты данных

Как хранятся данные ваших клиентов?

Одной из причин столь значительного роста внедрения облачных технологий среди малого и среднего бизнеса является их относительная простота использования и высокие стандарты защиты данных.

Если в предыдущие годы владельцы бизнеса не решались хранить конфиденциальные данные в облаке, то теперь они делают это в больших количествах благодаря достижениям в области облачной безопасности.

Облачные службы, такие как Microsoft Azure, используют центры обработки данных уровня IV, которые обеспечивают максимальную безопасность и всего 26 минут простоя в год.

Многие предприятия используют гибридную систему для своих данных, сохраняя общую рабочую информацию в общедоступных облачных центрах обработки данных; при использовании частного центра обработки данных для их более конфиденциальной информации, что дает им больше возможностей контроля и настройки.

Это дает больше гибкости организациям, которые могут быть особенно осведомлены о том, как они хранят свои данные.

Связанный пост: Зачем вам нужен дата-центр Tier IV

Персонал, непосредственно отвечающий за координацию и оценку рисков

Вообще говоря, хорошо иметь сотрудника (или поставщика), управляющего вашей политикой соответствия.

Эффективная и стандартная обработка данных — это не просто установка новых приложений. В основном это сводится к тому, как ваши сотрудники используют и обмениваются данными, а также решениями, которые они используют для этого.

Если они нарушают новые законы или существующие практики, вам нужен кто-то, кто обладает ноу-хау и способностями, чтобы решить эти проблемы и внедрить правильные стандарты.

Этот человек также должен нести ответственность за сообщение о любых нарушениях данных, которые происходят, в дополнение к регулярной оценке любых потенциальных рисков в отношении обработки данных, будь то аппаратное или программное обеспечение.

Это будет еще более уместно, учитывая трудности, с которыми сталкиваются компании при обмене данными внутри и между удаленными сотрудниками.

Некоторые компании предпочтут нанять для этого кого-то из своих сотрудников, но многие выберут MSSP, потому что они экономически эффективны и обладают опытом в отношении того, что компании должны делать в отношении защиты данных, поскольку они относятся к их конкретным задачам. ситуация.

Выводы

  • Нью-Йоркский закон SHIELD является существенным расширением существующих законов о конфиденциальности данных, которые предприятия должны соблюдать сейчас.
  • Требования потребителей и растущий общественный интерес к законам о защите данных означают, что предприятия должны очень серьезно относиться к своим методам обработки данных, чтобы их клиенты были довольны.
  • SHIELD — это лишь последний из серии законов о конфиденциальности данных, и новые законы в ближайшие годы еще больше ускорят необходимость для организаций ускорить их соблюдение.

Соответствует ли ваш бизнес требованиям?

Новые законы, такие как GDPR, CCPA и SHIELD, — это только начало стандартов соответствия требованиям защиты данных, которые предприятия должны учитывать. Основной задачей любой современной организации должно быть предотвращение утечек данных. Но как?

Взгляните на нашу бесплатную электронную книгу « Что такое хорошая защита от кибербезопасности для современного малого и среднего бизнеса?» и узнайте, какие меры должны принимать компании для обеспечения безопасности своих данных.