Закон Нью-Йорка SHIELD: что это значит для бизнеса
Опубликовано: 2020-07-22Закон Нью-Йорка о защите данных — это последний закон о конфиденциальности данных, который должны принимать во внимание предприятия по всей стране, особенно для предприятий с любыми текущими или потенциальными клиентами, проживающими в штате. Какое влияние это окажет на организации и как они могут подготовиться к будущим стандартам регулирования и соответствия?
Что такое Закон Нью-Йорка SHIELD?
Закон Нью-Йорка SHIELD официально вступил в силу 21 марта и призван расширить существующие правила, защищая больше информации о потребителях и переопределяя, что представляет собой утечку данных.
- Охват: Закон SHIELD расширяет круг лиц, подпадающих под его юрисдикцию. Раньше предприятия, которые должны были соблюдать закон, были компаниями, которые вели дела в штате. Новый закон расширяет это, чтобы включить любого клиента, который проживает в Нью-Йорке, независимо от того, находится ли там бизнес или нет.
- Определение: определение того, что является нарушением безопасности, было пересмотрено в соответствии с законом. Раньше личные данные и информация должны были быть получены неавторизованной стороной, нацеленной на хакеров и киберпреступников. Теперь потребители должны быть уведомлены, когда неавторизованная сторона получает доступ к информации, независимо от того, украдена она или нет.
- Типы данных: ранее типом защищаемой информации были любые данные, используемые в сочетании с номером социального страхования человека, номером водительского удостоверения или другими номерами учетных записей, которые можно использовать с паролями или кодами доступа, позволяющими получить доступ к учетной записи. Это было расширено, чтобы включить следующее:
- Номера финансовых счетов, которые можно использовать для доступа к учетной записи, например номер кредитной карты.
- Имена пользователей, пароли, адреса электронной почты и контрольные вопросы
- Биометрическая информация, используемая для идентификации личности
Теперь предприятия должны соблюдать эти новые правила.
«Очень важно, чтобы наши законы шли в ногу с быстро меняющимся миром технологий. Закон SHIELD повышает стандарты безопасности, чтобы жители Нью-Йорка больше не становились жертвами утечки данных и кибератак». – Сенатор Кевин Томас, председатель Комитета по защите прав потребителей
Почему бизнес должен заботиться?
Штрафы
Конечно, наиболее очевидным соображением, которое следует учитывать, являются финансовые последствия нарушения новых правил соответствия.
Ранее в законе был установлен потолок штрафов в размере 150 000 долларов США для одной компании, но он был увеличен до 250 000 долларов США.
За умышленные и неосторожные нарушения — организации, которые не установили правильных процедур соблюдения — суд может взыскать штраф в размере более 5000 долларов США или до 20 долларов США в каждом случае до максимальной суммы в 250 000 долларов США.
К августу 2019 года Генеральная прокуратура уже наложила штрафы на сумму более 600 миллионов долларов с предприятий, которые не соответствовали надлежащим стандартам соблюдения в соответствии с предыдущим законом.
600 миллионов долларов — это большие деньги, и это — наряду с подписанием этого нового закона — свидетельствует о том, насколько серьезно Нью-Йорк относится к защите конфиденциальности данных для потребителей.
С учетом того, что Закон SHIELD резко расширяет перечень требований, которым должны соответствовать предприятия, и методов, которые они применяют, вполне вероятно, что в ближайшие годы эта цифра резко возрастет.
«Суровая реальность такова, что нарушения безопасности становятся все более частыми, и с помощью этого законодательства Нью-Йорк предпринимает шаги по усилению защиты потребителей и привлечению этих компаний к ответственности, когда они неправильно обращаются с конфиденциальными данными». – Губернатор Куомо
Короче говоря, существует гораздо больше аспектов регулирования защиты данных, в которых компании могут ошибаться, поэтому избегание штрафов и обеспечение того, чтобы этого не произошло, должно быть главным приоритетом.
Сохранение вашего бизнеса
Новое законодательство, такое как SHIELD, наряду с существующим CCPA в Калифорнии и GDPR в Европейском союзе, ясно указывает на то, что политики признают неудовлетворенность потребителей тем, как организации обрабатывают их данные.
Люди больше знают о своих правах на данные и конфиденциальность, чем когда-либо, и 84% людей говорят, что они заботятся о конфиденциальности, заботятся о своих собственных данных, заботятся о данных других членов общества и хотят большего контроля над как используются их данные.
Но как это влияет на успех бизнеса?
Ну, откровенно говоря, обеспечение защиты данных — это не только стремление организаций к самосохранению, но и забота о наилучших интересах своих клиентов.
79% людей говорят, что они очень или в некоторой степени обеспокоены тем, как компании используют данные, которые они о них собирают.
Снова и снова компании, которые неправильно обращаются с данными или терпят утечку данных из-за плохих стандартов защиты информации, стреляют себе в ногу, поскольку потребители просто передают свой бизнес кому-то другому, если они чувствуют, что они не защищены.
Фактически, 48% респондентов в опросе заявили, что они уже сменили компанию или поставщика, потому что они были обеспокоены их политикой в отношении данных и практикой обмена.
Сообщение от потребителей звучит громко и ясно: относитесь серьезно к своим данным, иначе они перенесут свои обычаи на предприятия, которые это делают.
Еще не все
Как мы кратко упомянули, Закон SHIELD во многом похож на существующие законы о защите данных, такие как CCPA и GDPR.
SHIELD не первая и точно не последняя.
Подобные законы формируют разговор о том, насколько защищены потребители.
Высокопоставленные представители бизнеса и организации призывают к принятию федерального закона о конфиденциальности данных, вдохновленного GDPR и CCPA, и, хотя двухпартийный федеральный законопроект еще не готов, все эти правила, похоже, движутся в одном направлении.
Это особенно верно, если учесть влияние, которое оказывают только CCPA и SHIELD — в настоящее время ими охвачено 60 миллионов человек в Калифорнии и Нью-Йорке.
Это почти 20% всего населения США, которым предприятия должны соответствовать.
Вполне вероятно, что со временем другие штаты последуют их примеру, даже если не будет федерального закона — штаты, включая Флориду (один из крупнейших населенных пунктов и рынков США), вносят законопроекты в свои сенаты.
Предприятия, опережающие время, признают, что такие законы, как CCPA и SHIELD, — это только начало, и подготовят свою организацию к комплексным стандартам и практикам для соответствия нормативным требованиям к данным, которые потребуются в будущем.
Что бизнес может сделать, чтобы подготовиться?
Компании должны начать с инвестиций в некоторые ключевые аспекты своего бизнеса, которые помогут защитить данные своих клиентов. А именно:
Меры защиты данных
Как хранятся данные ваших клиентов?
Одной из причин столь значительного роста внедрения облачных технологий среди малого и среднего бизнеса является их относительная простота использования и высокие стандарты защиты данных.
Если в предыдущие годы владельцы бизнеса не решались хранить конфиденциальные данные в облаке, то теперь они делают это в больших количествах благодаря достижениям в области облачной безопасности.
Облачные службы, такие как Microsoft Azure, используют центры обработки данных уровня IV, которые обеспечивают максимальную безопасность и всего 26 минут простоя в год.
Многие предприятия используют гибридную систему для своих данных, сохраняя общую рабочую информацию в общедоступных облачных центрах обработки данных; при использовании частного центра обработки данных для их более конфиденциальной информации, что дает им больше возможностей контроля и настройки.
Это дает больше гибкости организациям, которые могут быть особенно осведомлены о том, как они хранят свои данные.
Связанный пост: Зачем вам нужен дата-центр Tier IV
Персонал, непосредственно отвечающий за координацию и оценку рисков
Вообще говоря, хорошо иметь сотрудника (или поставщика), управляющего вашей политикой соответствия.
Эффективная и стандартная обработка данных — это не просто установка новых приложений. В основном это сводится к тому, как ваши сотрудники используют и обмениваются данными, а также решениями, которые они используют для этого.
Если они нарушают новые законы или существующие практики, вам нужен кто-то, кто обладает ноу-хау и способностями, чтобы решить эти проблемы и внедрить правильные стандарты.
Этот человек также должен нести ответственность за сообщение о любых нарушениях данных, которые происходят, в дополнение к регулярной оценке любых потенциальных рисков в отношении обработки данных, будь то аппаратное или программное обеспечение.
Это будет еще более уместно, учитывая трудности, с которыми сталкиваются компании при обмене данными внутри и между удаленными сотрудниками.
Некоторые компании предпочтут нанять для этого кого-то из своих сотрудников, но многие выберут MSSP, потому что они экономически эффективны и обладают опытом в отношении того, что компании должны делать в отношении защиты данных, поскольку они относятся к их конкретным задачам. ситуация.
Выводы
- Нью-Йоркский закон SHIELD является существенным расширением существующих законов о конфиденциальности данных, которые предприятия должны соблюдать сейчас.
- Требования потребителей и растущий общественный интерес к законам о защите данных означают, что предприятия должны очень серьезно относиться к своим методам обработки данных, чтобы их клиенты были довольны.
- SHIELD — это лишь последний из серии законов о конфиденциальности данных, и новые законы в ближайшие годы еще больше ускорят необходимость для организаций ускорить их соблюдение.
Соответствует ли ваш бизнес требованиям?
Новые законы, такие как GDPR, CCPA и SHIELD, — это только начало стандартов соответствия требованиям защиты данных, которые предприятия должны учитывать. Основной задачей любой современной организации должно быть предотвращение утечек данных. Но как?
Взгляните на нашу бесплатную электронную книгу « Что такое хорошая защита от кибербезопасности для современного малого и среднего бизнеса?» и узнайте, какие меры должны принимать компании для обеспечения безопасности своих данных.