紐約的 SHIELD 法案:對企業意味著什麼

已發表: 2020-07-22

紐約的《盾牌法》是全國企業必須考慮的最新數據隱私法,特別是對於在該州擁有任何現有或潛在客戶的企業。 它將對組織產生什麼影響,他們如何為未來的監管和合規標準做準備?

什麼是紐約盾牌法案?

紐約的 SHIELD 法案於 3 月 21正式生效,旨在通過保護更多消費者信息和重新定義數據洩露的構成來擴展現有法規。

  • 覆蓋範圍: SHIELD 法案擴大了受法律管轄的範圍。 以前,必須遵守法律的企業是在州內交易的公司。 新法案將其擴大到包括居住在紐約的任何客戶,無論企業是否位於紐約。
  • 定義:該法案對構成安全漏洞的原因進行了重新定義。 以前,個人數據和信息必須由未經授權的一方獲取——針對黑客和網絡犯罪分子。 現在,當未經授權的一方訪問了信息時,無論信息是否被盜,都必須通知消費者。
  • 數據類型:以前,受保護的信息類型是與個人的社會安全號碼、駕駛執照號碼或其他帳號一起使用的任何數據,這些帳號可能與密碼或允許訪問帳戶的訪問代碼一起使用。 這已擴展為包括以下內容:
    • 可用於訪問帳戶的財務帳號,例如信用卡號
    • 帳戶用戶名、密碼、電子郵件和安全問題
    • 用於識別個人的生物特徵信息

企業現在必須遵守這些新規定。

“我們的法律必須跟上瞬息萬變的科技世界,這一點至關重要。 SHIELD 法案提高了安全標準,這樣紐約人就不會不必要地成為數據洩露和網絡攻擊的受害者。” ——參議員凱文·托馬斯,消費者保護委員會主席

企業為什麼要關心?

罰款

當然,最明顯的考慮是違反新的合規法規所帶來的財務影響。

該法規以前對單個公司的罰款上限為 150,000 美元,但現在已提高到 250,000 美元。

對於明知和魯莽的違規行為(未建立正確合規程序的組織),法院可以要求每宗案件處以超過 5,000 美元或最高 20 美元的罰款,最高可達 250,000 美元。

到 2019 年 8 月,總檢察長辦公室已經對不符合先前法律規定的正確合規標準的企業處以超過 6 億美元的罰款。

6 億美元是一筆不小的數目,隨著這項新法案的簽署成為法律,這表明紐約對消費者數據隱私保護的重視程度。

隨著 SHIELD 法案大幅擴大了企業必須遵守的內容以及他們採取的做法,這個數字很可能在未來幾年內急劇增加。

“嚴峻的現實是安全漏洞正變得越來越頻繁,通過這項立法,紐約正在採取措施加強對消費者的保護,並在這些公司錯誤處理敏感數據時追究他們的責任。” – 州長庫莫

簡而言之,在數據保護法規方面,公司可能會陷入錯誤的一方,因此避免罰款並確保不會發生這種情況應該是重中之重。

保持您的業務

像 SHIELD 這樣的新立法,以及加州現有的 CCPA 和歐盟的 GDPR,清楚地表明政界人士正在認識到消費者對組織處理數據的方式的不滿。

人們比以往任何時候都更加了解自己的數據權利和隱私,84% 的人表示他們關心隱私,關心自己的數據,關心社會其他成員的數據,並希望獲得更多控制權他們的數據是如何被使用的。

但這對企業的成功有何影響?

坦率地說,確保數據保護對於組織來說既是一種自我保護的努力,也是為了將客戶的最大利益放在心上。

79% 的人表示他們非常或有些擔心公司如何使用他們收集的有關他們的數據

一次又一次地,由於信息保護標準不佳而處理數據不當或遭受數據洩露的企業正在自取其辱,因為如果消費者覺得自己沒有受到保護,他們只會將自己的業務交給其他人。

事實上,在一項調查中,48% 的受訪者表示他們已經更換了公司或提供商,因為他們擔心自己的數據政策和共享做法。

消費者發出的信息響亮而清晰:認真對待他們的數據,否則他們會將自己的習慣帶給那些這樣做的企業。

更多即將到來

正如我們簡要提到的,SHIELD 法案與 CCPA 和 GDPR 等現有數據保護法有許多相似之處。

SHIELD 不是第一個,當然也不會是最後一個。

像這樣的法律正在塑造關於消費者受到多少保護的對話。

高級商業人士和組織正在呼籲制定一項受 GDPR 和 CCPA 啟發的聯邦數據隱私法,雖然目前還沒有完成一項兩黨聯邦法案,但所有這些法規似乎都朝著一個方向發展。

僅考慮 CCPA 和 SHIELD 所產生的影響就尤其如此——加利福尼亞和紐約的 6000 萬人現在都受到了影響。

這幾乎是企業必須遵守的整個美國人口的 20%。

即使沒有聯邦法律,其他州也很可能會效仿——包括佛羅里達州(美國最大的人口中心和市場之一)在內的州正在向其參議院提出法案。

處於領先地位的企業將認識到像 CCPA 和 SHIELD 這樣的法律只是一個開始,並為他們的組織準備好數據監管合規的全面標準和實踐,這對於未來的事情是必要的。

企業可以做些什麼準備?

企業應首先投資於有助於保護客戶數據的業務的一些關鍵方面。 它們是:

數據保護措施

您的客戶數據是如何存儲的?

中小型企業中云採用率如此顯著上升的原因之一是它們在數據保護方面的相對易用性和高標準。

前幾年,企業主對將機密數據存儲在雲上猶豫不決,而現在,由於雲安全性的進步,他們正在大量這樣做。

微軟 Azure 等雲服務使用 Tier IV 數據中心,可提供最大的安全性,每年的停機時間僅為 26 分鐘。

許多企業為其數據運行混合系統,將一般工作信息存儲在公共雲數據中心; 同時使用私有數據中心來存儲更敏感的信息,從而為他們提供更多控制和自定義選項。

這為可能特別注意如何管理數據的組織提供了更大的靈活性。

相關文章:為什麼需要 Tier IV 數據中心

直接負責協調和風險評估的工作人員

一般來說,最好有一名員工(或供應商)來推動您的合規政策。

高效和標準地處理數據不僅僅是安裝新應用程序的情況。 它從根本上歸結為您的員工如何使用和共享數據以及他們使用的解決方案。

如果他們違反了新法律或現有做法,那麼您需要具有專業知識和能力的人來解決這些問題並實施正確的標準。

除了定期評估與數據處理有關的任何潛在風險(無論是硬件還是軟件相關)之外,此人還應負責報告確實發生的任何數據洩露。

考慮到公司在遠程員工內部和之間共享數據時遇到的困難,這將更加相關。

一些企業會選擇讓內部人員來執行此操作,但許多企業會選擇 MSSP,因為它們具有成本效益,並且具有企業在數據保護方面需要做什麼的專業知識,因為它們與其特定情況。

外賣

  • New York SHIELD Act 是對現有數據隱私法的實質性擴展,企業現在必須遵守這些法律。
  • 消費者的需求和公眾對數據保護法的興趣日益增加,意味著企業應該非常認真地對待他們的數據處理實踐,以讓他們的客戶滿意。
  • SHIELD 只是一系列數據隱私法中的最新一部,未來幾年的進一步法律將進一步加速組織加快合規性的需求。

您的業務合規嗎?

GDPR、CCPA 和 SHIELD 等新法律只是企業應考慮的數據保護合規標準的開始。 任何現代組織的主要目標都應該是阻止數據洩露。 但是怎麼做?

看看我們的免費電子書,現代 SMB 的良好網絡安全防禦是什麼?” 並了解公司應採取哪些措施來保護其數據安全。