New York'un SHIELD Yasası: İşletmeler için Ne Anlama Geliyor?

Yayınlanan: 2020-07-22

New York'un Kalkan Yasası, özellikle eyalette ikamet eden mevcut veya potansiyel müşterileri olan işletmeler için, ülke genelindeki işletmelerin dikkate alması gereken en son veri gizliliği yasasıdır. Kuruluşlar üzerinde ne gibi bir etkisi olacak ve gelecekteki düzenleme ve uyum standartlarına nasıl hazırlanabilirler?

New York SHIELD Yasası Nedir?

New York'un SHIELD Yasası 21 Mart'ta resmen yürürlüğe girdi ve daha fazla tüketici bilgisini koruyarak ve neyin veri ihlali oluşturduğunu yeniden tanımlayarak mevcut düzenlemeleri genişletmek için tasarlandı.

  • Kapsam: SHIELD Yasası, yasanın yargı yetkisine girenleri genişletir. Daha önce yasalara uymak zorunda olan işletmeler eyalet içinde iş yapan şirketlerdi. Yeni yasa, bunu, işin merkezi orada olsun ya da olmasın, New York'ta ikamet eden herhangi bir müşteriyi kapsayacak şekilde genişletiyor.
  • Tanım: Bir güvenlik ihlalini oluşturan şeyin tanımı kanun kapsamında yeniden tanımlanmıştır. Daha önce, kişisel veriler ve bilgiler, bilgisayar korsanlarını ve siber suçluları hedefleyen yetkisiz bir tarafça elde edilmiş olmalıydı. Artık, yetkisiz bir taraf bilgilere eriştiğinde , çalınmış olup olmadığına bakılmaksızın tüketicilere bildirilmelidir.
  • Veri türleri: Daha önce, korunan bilgi türü, bir kişinin sosyal güvenlik numarası, ehliyet numarası veya bir hesaba erişime izin veren şifreler veya erişim kodları ile kullanılabilecek diğer hesap numaraları ile bağlantılı olarak kullanılan herhangi bir veriydi. Bu, aşağıdakileri içerecek şekilde genişletildi:
    • Kredi kartı numarası gibi bir hesaba erişmek için kullanılabilen finansal hesap numaraları
    • Hesap kullanıcı adları, şifreler, e-postalar ve güvenlik soruları
    • Bireyleri tanımlamak için kullanılan biyometrik bilgiler

İşletmelerin artık bu yeni düzenlemelere uyması gerekiyor.

“Yasalarımızın hızla değişen teknoloji dünyasına ayak uydurması çok önemli. SHIELD Yasası, daha fazla New Yorklunun veri ihlalleri ve siber saldırılar tarafından gereksiz yere mağdur edilmemesi için güvenlik standartlarını yükseltiyor.” - Senatör Kevin Thomas, Tüketiciyi Koruma Komitesi Başkanı

İşletmeler Neden Bakım Yapmalıdır?

para cezaları

Tabii ki dikkate alınması gereken en bariz husus, yeni uyum düzenlemelerinin ihlal edilmesinin mali sonuçlarıdır.

Tüzük, daha önce tek bir şirket için 150.000 ABD Doları tutarında bir ceza üst sınırına sahipti, ancak bu, 250.000 ABD Dolarına yükseltildi.

Bilinen ve pervasız ihlaller (doğru uyum prosedürleri oluşturmayan kuruluşlar) için bir mahkeme 5.000 ABD Dolarından fazla veya örnek başına 20 ABD Dolarına kadar, üst sınır 250.000 ABD Dolarına kadar olan cezalar talep edebilir.

Ağustos 2019'a kadar, Başsavcılık, önceki yasa kapsamında doğru uyumluluk standartlarını karşılamayan işletmelerden 600 milyon dolardan fazla para cezası kesmişti.

600 milyon dolar çok para ve bu yeni yasanın imzalanmasıyla birlikte New York'un tüketiciler için veri gizliliği korumasını ne kadar ciddiye aldığının bir göstergesi.

SHIELD Yasası, işletmelerin uyması gerekenleri ve hangi uygulamalara sahip olduklarını büyük ölçüde genişletirken, bu rakamın önümüzdeki yıllarda önemli ölçüde artması muhtemeldir.

"Açık gerçek şu ki, güvenlik ihlalleri daha sık hale geliyor ve bu yasayla New York, tüketiciler için korumayı artırmak için adımlar atıyor ve hassas verileri yanlış kullandıklarında bu şirketleri sorumlu tutuyor." – Vali Cuomo

Kısacası, veri koruma düzenlemesinin şirketlerin yanlış tarafa düşebilecekleri çok daha fazla yönü vardır, bu nedenle para cezalarından kaçınmak ve bunun olmamasını sağlamak en büyük öncelik olmalıdır.

işinizi sürdürmek

Kaliforniya'daki mevcut CCPA ve Avrupa Birliği'ndeki GDPR ile birlikte SHIELD gibi yeni yasalar, politikacıların kuruluşların verilerini nasıl kullandıklarına ilişkin tüketici memnuniyetsizliğini kabul ettiklerinin açık göstergeleridir.

İnsanlar veri haklarının ve mahremiyetlerinin hiç olmadığı kadar farkındalar ve insanların %84'ü mahremiyeti önemsediklerini, kendi verilerini önemsediklerini, toplumun diğer üyelerinin verilerini önemsediklerini ve üzerinde daha fazla kontrol sahibi olmak istediklerini söylüyor. verilerinin nasıl kullanıldığını.

Ancak bu bir işletmenin başarısını nasıl etkiler?

Açıkçası, veri korumasını sağlamak, müşterilerinin çıkarlarını en üst düzeyde tutmak kadar kuruluşlar için kendini koruma çabasıdır.

İnsanların %79'u, şirketlerin kendileri hakkında topladıkları verileri nasıl kullandıkları konusunda çok veya biraz endişeli olduklarını söylüyor.

Tüketiciler korunmadıklarını hissettiklerinde işlerini başka birine devredeceklerinden, verileri yanlış kullanan veya zayıf bilgi koruma standartları nedeniyle veri ihlallerine maruz kalan işletmeler defalarca kendi ayaklarına kurşun sıkmaktadır.

Aslında, bir ankete katılanların %48'i, veri politikaları ve paylaşım uygulamalarıyla ilgili endişeleri nedeniyle şirketleri veya sağlayıcıları zaten değiştirdiklerini söyledi.

Tüketicilerden gelen mesaj yüksek ve net: Verilerini ciddiye alın yoksa geleneklerini ciddiye alan işletmelere götürürler.

Gelmek için daha fazla

Kısaca bahsettiğimiz gibi, SHIELD Yasası, CCPA ve GDPR gibi mevcut veri koruma yasalarına pek çok benzerlik taşımaktadır.

SHIELD ilk değil ve kesinlikle son da olmayacak.

Bunun gibi yasalar, tüketicilerin ne kadar korunduğuna ilişkin konuşmayı şekillendiriyor.

Üst düzey iş adamları ve kuruluşlar, GDPR ve CCPA'dan ilham alan bir federal veri gizliliği yasası çağrısında bulunuyor ve iki taraflı bir federal yasa tasarısı şu anda yakın olmasa da, tüm bu düzenlemeler tek bir yöne gidiyor gibi görünüyor.

Bu, özellikle CCPA ve SHIELD'in tek başına sahip olduğu etkiyi düşündüğünüzde geçerlidir - California ve New York'ta 60 milyon insan şu anda bunun kapsamındadır.

Bu, işletmelerin uyması gereken tüm ABD nüfusunun yaklaşık %20'si.

Bir federal yasa olmasa bile, zamanla diğer eyaletlerin de davayı takip etmesi muhtemeldir - Florida (ABD'nin en büyük nüfus merkezlerinden ve pazarlarından biri) dahil olmak üzere eyaletler senato katlarına faturalar getiriyor.

Eğrinin ilerisinde olan işletmeler, CCPA ve SHIELD gibi yasaların sadece bir başlangıç ​​olduğunun farkına varacak ve gelecek için gerekli olacak veri düzenleme uyumluluğu için kuruluşlarını kapsamlı standartlar ve uygulamalarla hazırlayacaktır.

İşletmeler Hazırlanmak İçin Ne Yapabilir?

İşletmeler, müşterilerinin verilerini korumaya yardımcı olacak işlerinin bazı önemli yönlerine yatırım yaparak başlamalıdır. Bunlar:

Veri koruma önlemleri

Müşteri verileriniz nasıl saklanır?

KOBİ'ler arasında bulutun benimsenmesinin bu kadar önemli ölçüde artmasının nedenlerinden biri, veri koruma söz konusu olduğunda göreceli kullanım kolaylıkları ve yüksek standartlarıdır.

Önceki yıllarda, işletme sahipleri gizli verileri bulutta saklamakta tereddüt ederken, şimdi bulut güvenliğindeki gelişmelerin bir sonucu olarak çok sayıda yapıyorlar.

Microsoft'un Azure'u gibi bulut hizmetleri, maksimum güvenlik ve yılda 26 dakika kadar kısa bir kesinti süresi sağlayan Tier IV veri merkezlerini kullanır.

Birçok işletme, verileri için genel çalışma bilgilerini genel bulut veri merkezlerinde depolayan bir hibrit sistem işletir; daha hassas bilgileri için özel bir veri merkezi kullanırken, onlara daha fazla kontrol ve özelleştirme seçeneği sunar.

Bu, özellikle verilerine nasıl baktıklarının bilincinde olan kuruluşlara daha fazla esneklik sağlar.

İlgili Yazı: Neden Kademe IV Veri Merkezine İhtiyacınız Var?

Koordinasyon ve risk değerlendirmesinden doğrudan sorumlu personel

Genel olarak konuşursak, uyumluluk politikanızı yönlendiren bir personel üyesine (veya bir satıcıya) sahip olmak iyidir.

Verileri verimli ve standart bir şekilde işlemek, yalnızca yeni uygulamalar yüklemekten ibaret değildir. Temel olarak iş gücünüzün verileri nasıl kullandığına ve paylaştığına ve bunu yapmak için kullandıkları çözümlere bağlıdır.

Yeni yasaları veya mevcut uygulamaları ihlal ediyorsa, bu endişeleri giderebilecek ve doğru standartları uygulayabilecek bilgi ve beceriye sahip birine ihtiyacınız vardır.

Bu kişi, donanım veya yazılımla ilgili olsun, veri işlemeyle ilgili olası riskleri rutin olarak değerlendirmenin yanı sıra meydana gelen herhangi bir veri ihlalini bildirmekten de sorumlu olmalıdır.

Bu, şirketlerin uzak bir işgücü içinde ve arasında veri paylaşırken yaşadıkları zorluklar göz önüne alındığında daha da uygun olacaktır.

Bazı işletmeler bunu kendi bünyesinde yapacak birini seçecektir, ancak birçoğu uygun maliyetli olduklarından ve kendi özel sektörleriyle ilgili oldukları için veri koruma konusunda işletmelerin tam olarak ne yapmaları gerektiği konusunda uzmanlığa sahip oldukları için bir MSSP'yi seçecektir. durum.

paket servisler

  • New York SHIELD Yasası, işletmelerin şu anda uyması gereken mevcut veri gizliliği yasalarının önemli bir uzantısıdır.
  • Tüketici talepleri ve veri koruma yasalarına artan kamu ilgisi, işletmelerin müşterilerini memnun etmek için veri işleme uygulamalarını son derece ciddiye almaları gerektiği anlamına geliyor.
  • SHIELD, bir dizi veri gizliliği yasalarının en yenisidir ve önümüzdeki yıllarda başka yasalar, kuruluşların uyumluluklarını hızlandırma ihtiyacını daha da hızlandıracaktır.

İşletmeniz Uyumlu mu?

GDPR, CCPA ve SHIELD gibi yeni yasalar, işletmelerin dikkate alması gereken veri koruma uyumluluk standartları için yalnızca bir başlangıçtır. Herhangi bir modern kuruluş için birincil hedef, veri ihlallerini durdurmak olmalıdır. Ama nasıl?

Ücretsiz e-Kitabımıza bir göz atın,Modern bir KOBİ için İyi Bir Siber Güvenlik Savunmasını Ne Yapar?” ve şirketlerin verilerini güvende tutmak için hangi önlemleri alması gerektiğini görün.