Les 7 principals lleis de xifratge de dades per a empreses
El xifratge de dades ja no és opcional. Amb els danys per ciberdelinqüència previstos que afectaran $10,5 bilions per al 2025 i multes per incompliment que arriben milions de dòlars, comprendre les lleis de xifratge és fonamental per a les empreses. Aquesta guia cobreix set regulacions clau que configuren la protecció de dades global:
- RGPD (UE): Fomenta el xifratge de les dades personals amb multes de fins a 20 milions d'euros o 41 trilions de lliures (3 trilions de lliures) d'ingressos anuals.
- CPRA (Califòrnia, EUA)Requereix xifratge; les filtracions de dades no xifrades permeten demandes judicials.
- LGPD (Brasil)Exigeix garanties com el xifratge; sancions de fins a 2% d'ingressos.
- PIPEDA (Canadà)Recomana el xifratge per protegir les dades personals.
- DPDPA (Índia): Exigeix "pràctiques de seguretat raonables", inclòs el xifratge.
- PIPL (Xina)Requereix xifratge aprovat pel govern per a les dades dins dels seus límits.
- DORA (Sector Financer de la UE)Estàndards estrictes de xifratge per a entitats financeres, que cobreixen les dades en repòs, en trànsit i en ús.
Comparació ràpida:
| Dret | Jurisdicció | Mandat de xifratge | Pena màxima |
|---|---|---|---|
| GDPR | UE | Molt recomanable | 20 milions d'euros o 41 trilions de lliures per 3 milions d'euros d'ingressos |
| CPRA | Califòrnia, EUA | Necessari per a la protecció contra infraccions | $7.500/infracció |
| LGPD | Brasil | Garanties tècniques requerides | 2% d'ingressos |
| PIPEDA | Canadà | Animat, no obligatori | CAD $100.000/infracció |
| DPDPA | Índia | "Mesures de seguretat raonables" | ₹250 Cr o 4% de facturació |
| PIPL | Xina | Xifratge obligatori aprovat | Ingressos de 50 milions de ¥ o 51 trilions de ¥ |
| DORA | UE (Sector Financer) | Obligatori per a dades financeres | 2% de facturació anual |
El xifratge protegeix les empreses d'infraccions, multes i danys a la reputació. Continueu llegint per obtenir informació detallada sobre aquestes lleis i com complir-les.
9 regulacions de privadesa de dades que cal conèixer
1. Reglament general de protecció de dades (RGPD) – Unió Europea
En vigor des del maig de 2018, el RGPD ha remodelat la manera com es gestionen les dades personals a nivell mundial.
Jurisdicció i abast geogràfic
El RGPD no es limita a Europa: té un abast global. Qualsevol organització, independentment d'on tingui la seu, ha de complir-lo si processa dades personals de residents de la UE. Per exemple, les empreses amb seu als Estats Units que donen servei a clients de la UE estan subjectes a aquestes normes. El reglament separa les responsabilitats entre controladors de dades (qui decideix com i per què es processen les dades) i processadors de dades (que gestionen les dades en nom dels responsables del tractament). Aquesta distinció és especialment rellevant per als proveïdors d'allotjament i les empreses que utilitzen serveis de colocation.
Requisits de xifratge (obligatoris o recomanats)
Tot i que el xifratge no és explícitament obligatori pel RGPD, es recomana fermament com a salvaguarda tècnica clau. L'article 32 exigeix mesures tècniques i organitzatives adequades per protegir les dades personals, i el xifratge es suggereix sovint com un dels mètodes més eficaços. Això s'aplica a tots dos. dades en repòs i dades en trànsitAutoritats com l'Oficina del Comissionat d'Informació del Regne Unit aconsellen utilitzar solucions d'encriptació que compleixen estàndards com ara FIPS 140-2 i FIPS 197.
Un dels principals avantatges del xifratge és el seu impacte en les notificacions de violacions de dades. Les organitzacions han d'informar de les violacions de dades en un termini de 72 hores segons el RGPD. Tanmateix, si les dades xifrades es veuen compromeses i es tornen il·legibles per als atacants, es pot renunciar a aquest requisit.
Aplicabilitat a l'emmagatzematge empresarial
Per a les empreses que gestionen dades en diversos entorns d'emmagatzematge, el compliment del RGPD pot ser un repte. El reglament s'aplica a les dades personals emmagatzemades a servidors dedicats, plataformes al núvol, o infraestructures híbridesLes empreses han de classificar les dades en funció de la seva sensibilitat per determinar les mesures de xifratge adequades. Cal una cura especial per a les transferències transfrontereres de dades, ja que el RGPD imposa normes estrictes sobre el trasllat de dades personals fora de la UE/EEE sense les garanties adequades. El xifratge és fonamental per garantir transferències internacionals de dades segures. Els proveïdors d'allotjament, inclosos aquells com Servidor, han d'alinear les seves pràctiques de xifratge amb els estàndards del RGPD per donar suport als esforços de compliment dels seus clients.
Penalitzacions per incompliment
El RGPD imposa un sistema de sancions per nivells que fa que l'incompliment sigui financerament dolorós. Les infraccions menors poden comportar multes de fins a $11,8 milions o 2% d'ingressos anuals globals, el que sigui més alt. Les infraccions greus poden comportar multes de fins a $23,6 milions o 4% d'ingressos mundials. Casos recents il·lustren el rigor de la regulació. El 2023, Meta va ser multada amb $1.200 milions per la Comissió Irlandesa de Protecció de Dades per no protegir les transferències de dades. De la mateixa manera, H&M es va enfrontar a una multa de $41,8 milions el 2020 per supervisar il·legalment els empleats.
L'incompliment pot comportar més que simples multes. Les organitzacions poden afrontar restriccions operatives, com ara ordres per aturar el processament de dades, i també poden ser responsables dels danys reclamats per les persones afectades.
"El Reglament general de protecció de dades (RGPD) és la llei de privadesa i seguretat més estricta del món." – GDPR.EU
Per als proveïdors d'allotjament i infraestructura, aquestes penalitzacions emfatitzen la necessitat d'estratègies de xifratge robustes per protegir les seves operacions i garantir que els seus clients compleixin els requisits de compliment.
A continuació, explorarem la Llei de drets de privadesa de Califòrnia i com difereix en el seu enfocament de la privadesa de dades per a les empreses.
2. Llei de drets de privadesa de Califòrnia (CPRA) – Estats Units
A partir de l'1 de gener de 2023, la CPRA reforça la Llei de privadesa del consumidor de Califòrnia (CCPA), introduint normes més estrictes per a les empreses que gestionen informació personal pertanyent a residents de Califòrnia.
Jurisdicció i abast geogràfic
La CPRA s'adreça específicament a empreses amb ànim de lucre que recopilen informació personal dels residents de Califòrnia i compleixen certs criteris. Aquests inclouen:
- Empreses amb ingressos bruts anuals superiors a $25 milions.
- Empreses que compren, venen o comparteixen la informació personal de 100.000 o més Residents, llars o dispositius de Califòrnia.
- Entitats que guanyen 50% o més dels seus ingressos anuals procedents de la venda o l'intercanvi d'informació personal dels consumidors de Califòrnia.
A diferència del RGPD, que té un abast global, la CPRA se centra únicament en empreses que donen servei a residents de Califòrnia, independentment de la seva ubicació física. Una característica clau de la CPRA és la seva principi de minimització de dades, que limita la recopilació i la retenció de dades al que és estrictament necessari per a les operacions comercials.
Requisits de xifratge (obligatoris o recomanats)
La secció 1798.150 de la CPRA exigeix que les empreses implementin mesures de seguretat estrictes per protegir la informació personal. Si es viola la seguretat de dades no xifrades, els consumidors tenen dret a presentar demandes civils. El reglament estableix:
"Qualsevol consumidor la informació personal no xifrada ni redactada del qual... sigui objecte d'accés no autoritzat i exfiltració, robatori o divulgació com a resultat de la violació per part de l'empresa del deure d'implementar i mantenir procediments i pràctiques de seguretat raonables... pot iniciar una acció civil."
Conjunts de lleis de Califòrnia Xifratge de 128 bits com a estàndard mínim per a certs sistemes, amb mòduls criptogràfics que necessiten certificació segons FIPS 140-2 estàndards. La CPRA exigeix el xifratge tant per a les dades en trànsit com per a les que estan en repòs, i s'anima les empreses a emmagatzemar les claus de xifratge per separat de les dades xifrades. Aquestes mesures són fonamentals per garantir el compliment de la normativa i protegir els sistemes d'emmagatzematge empresarials.
Aplicabilitat a l'emmagatzematge empresarial
Els sistemes d'emmagatzematge empresarials s'han d'ajustar als estrictes requisits de la CPRA. S'espera que les empreses compleixin avaluacions de protecció de dades per identificar els riscos de privadesa i implementar les salvaguardes necessàries en tots els entorns d'emmagatzematge.
La llei també exigeix que les empreses anonimitzin o agreguin informació personal, cosa que afecta la manera com s'emmagatzemen i gestionen les dades. Les organitzacions que utilitzen serveis d'allotjament han d'assegurar-se que els seus proveïdors compleixin amb la CPRA, creant una cadena de responsabilitat durant tot el cicle de vida del processament de dades. Per exemple, les empreses que confien en els serveis de Serverion han d'assegurar-se que es compleixin els estàndards de xifratge en totes les configuracions.
Els elements clau del compliment normatiu inclouen la realització d'auditories de seguretat periòdiques i l'aplicació de controls d'accés estrictes. A més, la CPRA atorga als residents de Califòrnia el dret d'optar per no participar en la presa de decisions automatitzada, cosa que exigeix sistemes que puguin identificar i segregar les dades utilitzades per a aquests propòsits.
Penalitzacions per incompliment
L'incompliment de la CPRA pot comportar multes reglamentàries i demandes privades. Els consumidors afectats per filtracions de dades causades per mesures de seguretat inadequades poden reclamar danys i perjudicis que van des de $107 a $799 per incident.
Com explica Alfred Brunetti, director de Porzio, Bromberg and Newman PC:
"Una empresa, proveïdor de serveis o altra persona que infringeixi la CCPA, tal com la modifica la CPRA, està subjecta a una ordre judicial i una sanció civil de no més de $2.500 per infracció i no més de $7.500 per infracció intencionada."
Les accions coercitives recents destaquen la importància de complir aquestes regulacions. Per exemple, el 2022, Sephora va pagar 1,2 milions de lliures esterlines per resoldre les reclamacions per infracció de la CCPA, i el 2024, DoorDash es va enfrontar a una multa de 375.000 lliures esterlines per compartir dades de clients sense consentiment explícit. Cal destacar que la CPRA va eliminar el període de subsanació de 30 dies que anteriorment permetia la CCPA, cosa que significa que les empreses poden afrontar sancions immediates si les infraccions no s'aborden ràpidament.
A continuació, examinarem la Lei Geral de Proteção de Dados del Brasil per explorar com s'aborda l'encriptació a Amèrica Llatina.
3. Lei Geral de Proteção de Dados (LGPD) – Brasil
La Lei Geral de Proteção de Dados (LGPD) del Brasil estableix normes estrictes, molt inspirades en el GDPR de la UE, per salvaguardar les dades personals.
Jurisdicció i abast geogràfic
L'LGPD té una ampli abast, aplicant-se a organitzacions de qualsevol lloc del món si gestionen dades personals de persones al Brasil. Això inclou el processament de dades per part de particulars o entitats, ja siguin públiques o privades. Si la vostra empresa té clients, empleats, contractistes o socis al Brasil, el compliment de la LGPD és imprescindible.
La llei s'aplica a:
- Activitats de processament de dades realitzades dins del Brasil.
- Dades recollides al Brasil.
- Dades personals de persones al Brasil, independentment d'on es trobi el processador de dades.
Requisits de xifratge (obligatoris o recomanats)
Tot i que la LGPD no requereix explícitament el xifratge, emfatitza la necessitat de mesures de seguretat raonables per protegir les dades personals. L'article 46 especifica que les organitzacions han d'adoptar mesures de seguretat tècniques, de seguretat i administratives per evitar l'accés no autoritzat. Les dades que estan completament anonimitzades o xifrades sense possibilitat de recuperació no estan subjectes a aquestes regulacions.
Per complir-ho, les organitzacions han d'implementar una combinació d'estratègies, com ara:
- Polítiques de seguretat i plans de resposta a incidents.
- Formació de sensibilització per als empleats.
- Controls d'accés i altres mesures tècniques.
Per a les empreses que utilitzen solucions d'allotjament, com les de Serverion, mantenir protocols de xifratge forts és fonamental per complir amb els estàndards LGPD. Aquestes mesures són essencials per protegir les dades a través de diverses plataformes d'emmagatzematge.
Aplicabilitat a l'emmagatzematge empresarial
Els sistemes d'emmagatzematge empresarials han d'estar en línia amb les directrius de seguretat de la LGPD. Això significa que les empreses han de documentar com es recopilen, s'utilitzen, s'emmagatzemen i es comparteixen les dades. També han d'avaluar les transferències internacionals de dades per garantir el compliment de la llei.
Els passos clau inclouen:
- Establiment de marcs de protecció de dades.
- Realització periòdica d'Avaluacions d'Impacte sobre la Protecció de Dades (DPIA).
- Nomenament d'un Delegat de Protecció de Dades (DPO) per supervisar els esforços de compliment normatiu.
- Preparació de plans de resposta a filtracions de dades.
- Formació dels empleats sobre les millors pràctiques de protecció de dades.
Els proveïdors de serveis també han de complir els estàndards de seguretat compatibles amb la LGPD al llarg de la cadena de processament de dades.
Penalitzacions per incompliment
L'incompliment de la LGPD pot comportar multes considerables, de fins a 21 TP3 trilions dels ingressos nets d'una empresa al Brasil, amb un límit de $rilions i 50 milions de rands per infracció. Les sancions addicionals inclouen:
- Multes diàries per problemes no resolts.
- Divulgació pública d'infraccions.
- Bloqueig o supressió de dades personals.
- Suspensió o prohibició de les activitats de tractament de dades.
Casos recents d'aplicació de la llei posen de manifest la força de la llei. Per exemple, el 6 de juliol de 2023, Telekall Infoservice va ser multada amb 14.400 reals brasilers (aproximadament 14.2938 pesos filipins) per múltiples infraccions, com ara no nomenar un delegat de protecció de dades i no tenir una base jurídica adequada per al processament de dades. De la mateixa manera, a l'octubre de 2023, el Departament de Salut de l'estat de Santa Catarina va ser sancionat per problemes com ara mesures de seguretat deficients i retards en la notificació d'incidents.
Més enllà de les sancions econòmiques, l'incompliment pot comportar demandes per part de les persones afectades, danys a la reputació d'una empresa i fins i tot la pèrdua de privilegis de processament de dades. Per a les empreses que operen al Brasil, complir els requisits de la LGPD no només consisteix a evitar multes, sinó que és essencial per mantenir la confiança i la continuïtat operativa.
A continuació, analitzarem com la PIPEDA del Canadà aborda reptes similars en matèria de protecció de dades.
4. Llei de protecció d'informació personal i documents electrònics (PIPEDA) – Canadà
Canadà Llei de protecció d'informació personal i documents electrònics (PIPEDA) estableix normes sobre com les organitzacions del sector privat gestionen la informació personal. Basada en principis d'informació justa, té com a objectiu protegir la privadesa individual alhora que dóna suport a operacions comercials efectives.
Jurisdicció i abast geogràfic
La PIPEDA s'aplica a les empreses que operen al Canadà i gestionen informació personal en transaccions interprovincials o internacionals. Regula les organitzacions del sector privat a tot el país i inclou la informació personal dels empleats de les indústries regulades federalment. Si la vostra empresa processa dades que creuen les fronteres provincials o internacionals, el compliment de la PIPEDA és imprescindible.
Requisits de xifratge (obligatoris o recomanats)
La PIPEDA no prescriu tecnologies de seguretat específiques, però anima fermament les organitzacions a implementar mesures de seguretat per protegir la informació personal. Segons Principi 7 (Salvaguardes), les empreses han de protegir les dades personals contra riscos com la pèrdua, el robatori o l'accés no autoritzat. El xifratge és una de les mesures recomanades per protegir la informació sensible durant l'emmagatzematge i la transmissió. Tanmateix, només és una peça del trencaclosques. Una estratègia de seguretat integral també hauria d'incloure eines com ara contrasenyes fortes, tallafocs i actualitzacions periòdiques, combinades amb controls físics i organitzatius.
L'elecció de les mesures de seguretat depèn de factors com la sensibilitat de les dades, el seu volum, com es distribueixen, el format d'emmagatzematge i els possibles riscos que implica. Per a les empreses que utilitzen solucions d'allotjament com Serverion, la implementació d'un xifratge robust en totes les activitats de processament de dades pot ajudar a complir les expectatives de seguretat flexibles de PIPEDA.
Les revisions periòdiques dels protocols de seguretat són essencials per mantenir una protecció eficaç. Aquestes mesures s'han d'integrar perfectament en un marc de gestió de la privadesa més ampli per garantir que els sistemes d'emmagatzematge empresarial compleixin els estàndards de compliment.
Aplicabilitat a l'emmagatzematge empresarial
Per a les empreses, l'alineació dels sistemes d'emmagatzematge amb els principis de privadesa de la PIPEDA no és negociable. Això inclou el desenvolupament d'un programa de gestió de la privadesa, la documentació clara dels propòsits del processament de dades i l'aplicació de controls d'accés estrictes. Realització de Avaluacions d'Impacte sobre la Privacitat (PIA) és un pas crític per avaluar com les operacions empresarials afecten la privadesa individual. Altres mesures clau inclouen establir períodes de retenció clars per a la informació personal i formar els empleats sobre les millors pràctiques de privadesa.
«Una organització ha de posar fàcilment a disposició de les persones informació específica sobre les seves polítiques i pràctiques relacionades amb la gestió d'informació personal.» – Secció 4.8.1 de la PIPEDA
Les organitzacions també han d'establir procediments estrictes per supervisar els patrons d'accés i dur a terme auditories periòdiques per detectar activitats no autoritzades. Atendre les queixes sobre privadesa de manera eficient i garantir l'exactitud de la informació personal són igualment importants per mantenir el compliment normatiu.
Penalitzacions per incompliment
L'incompliment de la PIPEDA pot tenir greus conseqüències, tant financeres com de reputació. Les sancions econòmiques poden arribar fins a $100.000 CAD per infracció, i els casos poden fins i tot ser remesos al Fiscal General del Canadà per a futures accions legals. Més enllà de les multes, la mala gestió de dades personals pot danyar greument la reputació d'una empresa, sobretot perquè 92% del públic ha expressat preocupació sobre com es gestiona la seva informació.
La PIPEDA també exigeix que les organitzacions informin de les filtracions de dades que representin un risc real de danys importants. Aquests incidents s'han de notificar a Comissari de privadesa del Canadài cal notificar les persones afectades quan sigui necessari. Mantenir registres detallats de totes les infraccions és crucial per a una planificació eficaç de la resposta a incidents.
Aquests requisits destaquen la importància de mesures de compliment estrictes per a les empreses que operen o donen servei al mercat canadenc. El xifratge, juntament amb altres mesures de seguretat, juga un paper fonamental per garantir que els sistemes d'emmagatzematge empresarial compleixin els estàndards de la PIPEDA.
5. Llei de protecció de dades personals digitals (DPDPA) – Índia
de l'Índia Llei de protecció de dades personals digitals (DPDPA) estableix directrius clares per a la gestió de dades personals, tot posant èmfasi en unes fortes salvaguardes de la privadesa.
Jurisdicció i abast geogràfic
La DPDPA s'aplica a totes les entitats que gestionen dades personals dins de l'Índia, ja siguin nacionals o internacionals. Regula el tractament de dades personals pertanyents a residents indis i fins i tot a residents estrangers quan les seves dades es processen a l'Índia en virtut de contractes amb entitats estrangeres. Essencialment, si la vostra empresa opera a l'Índia o processa dades de residents indis, el compliment és obligatori.
La llei adopta un enfocament territorial, és a dir, que les empreses amb seu fora de l'Índia també han de complir-la si processen dades personals de persones dins de les fronteres índies. Aquest abast extraterritorial fa que sigui fonamental que les empreses globals que donen servei a clients indis o mantenen associacions a la regió prioritzin el compliment. El xifratge i altres mesures de seguretat, tal com es descriu a continuació, tenen un paper clau per complir aquests requisits.
Requisits de xifratge
Els mandats de la DPDPA "garanties de seguretat raonables" per protegir les dades personals. Aquestes inclouen el xifratge, l'ofuscació, l'emmascarament o l'ús de tokens virtuals com a mesures de referència. Les organitzacions han d'implementar aquestes salvaguardes tècniques i organitzatives per garantir múltiples capes de seguretat per a les dades sensibles.
També es requereixen controls d'accés detallats amb revisions periòdiques del registre. A més, les empreses han de mantenir còpies de seguretat de dades per garantir la continuïtat en cas de pèrdua de dades o interrupcions del sistema. Per a les empreses que utilitzen solucions d'allotjament empresarial, el xifratge robust s'alinea amb els estrictes requisits de la DPDPA. Les organitzacions han de conservar les dades i els registres d'accés durant almenys un any per ajudar en la detecció, investigació i prevenció de les bretxes.
Aplicabilitat a l'emmagatzematge empresarial
Els sistemes d'emmagatzematge empresarials han de complir amb el marc de la DPDPA classificant les dades personals i definint els seus requisits de processament. Aquesta classificació és essencial per construir estratègies de compliment efectives.
Les empreses també han d'establir contractes clars amb els encarregats del processament de dades, garantint que es compleixin les mesures i obligacions de seguretat al llarg de la cadena de processament. Aquests acords han d'incloure responsabilitats i salvaguardes específiques que reflecteixin les del fiduciari principal de les dades. Els acords formals de processament de dades són un requisit legal segons la DPDPA.
"Les empreses haurien de començar a adoptar estratègies de compliment proactives invertint en tecnologies que millorin la privadesa, realitzant avaluacions de riscos normatius i implementant models de governança de dades centrats en l'usuari." – Sr. Gaurav Bhalla, soci d'Ahlawat & Associates
Els processos de resposta a incidents són un altre element crític. Les organitzacions han d'estar preparades per notificar Consell de Protecció de Dades de l'Índia (DPBI) i les persones afectades en cas d'infracció. Una infracció, tal com es defineix a la DPDPA, inclou qualsevol accés no autoritzat, divulgació accidental, mal ús, alteració, destrucció o pèrdua de dades personals que comprometi la seva confidencialitat, integritat o disponibilitat. Aquests requisits s'alineen amb estratègies de compliment empresarial més àmplies.
Penalitzacions per incompliment
Les sancions econòmiques per incompliment són elevades, amb multes que arriben fins a ₹250 crores (al voltant de $30 milions) o 4% de facturació globalAquestes sancions subratllen la importància de complir la llei i implementar mesures de seguretat sòlides.
Més enllà de les multes, l'incompliment pot comportar danys a la reputació i pèrdua de confiança dels clients al mercat indi. Per mitigar aquests riscos, les empreses haurien d'adoptar un enfocament integral, inclòs el nomenament d'un Delegat de protecció de dades (DPO) amb seu a l'Índia per actuar com a enllaç regulador. Els sistemes automatitzats de detecció d'amenaces i les plantilles de notificació d'infraccions també poden ajudar a garantir respostes ràpides als incidents.
Les avaluacions periòdiques de vulnerabilitats i les mesures tècniques i organitzatives basades en el risc són essencials. Les empreses també han d'avaluar les possibles restriccions sobre les transferències transfrontereres de dades i considerar opcions com la creació de rèplica o l'emmagatzematge de dades locals per mantenir el compliment total de les normes. Comprendre i abordar aquests requisits és clau per alinear els sistemes d'emmagatzematge empresarial amb els estàndards de protecció de dades locals i globals.
sbb-itb-59e1987
6. Llei de protecció d'informació personal (PIPL) – Xina
La Llei de protecció d'informació personal (PIPL) de la Xina aplica normes estrictes per a la protecció de dades i el xifratge, establint un alt nivell de compliment a nivell mundial.
Jurisdicció i abast geogràfic
La PIPL s'aplica a qualsevol organització que gestioni informació personal d'individus dins de la Xina. El seu abast va més enllà de les fronteres de la Xina i afecta tant les empreses nacionals com les internacionals. Si una empresa recopila, emmagatzema, utilitza o processa dades pertanyents a individus a la Xina, fins i tot sense presència física al país, ha de complir-la. Això inclou les empreses que proporcionen productes o serveis a usuaris xinesos o que analitzen els seus comportaments.
Pel que fa a les transferències transfrontereres de dades, la llei imposa restriccions estrictes. Les empreses han de garantir que qualsevol destinatari estranger de les dades compleixi els estàndards de protecció equivalents als de la PIPL. A més, les empreses han de nomenar un representant nacional a la Xina per supervisar el compliment i abordar qualsevol responsabilitat legal.
Requisits de xifratge
El xifratge és una pedra angular de les mesures de seguretat tècnica de la PIPL. Les organitzacions han de seguir les Reglament de xifratge comercial, que exigeixen l'ús d'algoritmes de xifratge aprovats pel govern. Els estàndards de xifratge comuns com AES no estan permesos, tret que estiguin certificats específicament per les autoritats xineses. A més, totes les dades sensibles xifrades i les claus de xifratge s'han d'emmagatzemar dins de les fronteres de la Xina. Per a les empreses multinacionals, això crea obstacles importants, ja que s'han d'adaptar als algoritmes de xifratge localitzats i als sistemes de gestió de claus.
Aplicabilitat a l'emmagatzematge empresarial
La PIPL també estableix normes clares per a l'emmagatzematge de dades empresarials a la Xina. Generalment, la informació personal ha de romandre dins del país, tret que es compleixin condicions estrictes per a les transferències transfrontereres. Per anar amb compte, les empreses sovint classifiquen les dades incertes com a "dades importants", cosa que activa protocols de seguretat addicionals, inclosos requisits de xifratge avançats.
Per complir amb la normativa, les empreses han d'implementar mesures com el xifratge i la desidentificació per protegir la informació personal contra filtracions, robatoris o supressió accidental. Les comprovacions rutinàries de compliment són essencials, incloent-hi auditories de les pràctiques de xifratge, la verificació dels algoritmes aprovats i la garantia que les claus de xifratge romanguin dins de la jurisdicció xinesa. Donada la complexitat d'aquests requisits, treballar amb experts legals i de seguretat locals és fonamental per afrontar els reptes de compliment.
Penalitzacions per incompliment
Les sancions per violar la PIPL són elevades. Administració del Ciberespai de la Xina (CAC) aplica la llei i pot imposar multes importants o altres sancions. Les infraccions menors poden comportar multes de fins a 1 milió de iuans (aproximadament $150.000), i les persones responsables s'enfronten a multes d'entre 10.000 i 100.000 iuans ($1.500-$15.000). Les infraccions greus poden comportar multes de fins a 50 milions de iuans (aproximadament $7,7 milions) o 5% dels ingressos de l'any anterior de l'empresa, el que sigui més gran. Les persones implicades en infraccions greus poden afrontar fins a 7 anys de presó.
Casos recents de gran repercussió han demostrat la severitat d'aquestes sancions, amb multes multimilionàries i condemnes de presó imposades. Per evitar aquestes conseqüències, les empreses han d'establir marcs de compliment sòlids, com ara un seguiment regular, auditories i procediments de notificació de violacions de dades. Aquestes mesures són essencials per mantenir-se al costat correcte d'aquest rigorós panorama regulador.
7. Llei de resiliència operativa digital (DORA) – Unió Europea (sector financer)
La Llei de resiliència operativa digital (DORA) estableix estàndards estrictes de ciberseguretat i resiliència operativa per a les entitats financeres que operen dins de la Unió Europea (UE). El seu objectiu és garantir que el sector financer pugui resistir les amenaces i les interrupcions cibernètiques de manera eficaç.
Jurisdicció i abast geogràfic
El DORA s'aplica a una àmplia gamma d'entitats financeres dins de la UE, incloent-hi bancs, empreses d'inversió, entitats de crèdit, proveïdors de serveis de criptoactius i plataformes de micromecenatge. També s'estén a proveïdors de TIC externs, fins i tot aquells amb seu fora de la UE, sempre que serveixin a institucions financeres de la UE. Això inclou proveïdors de serveis essencials com ara agències de qualificació creditícia i empreses d'anàlisi de dades. A partir del 2025, les autoritats supervisores europees (l'ESMA, l'EBA i l'EIOPA) identificaran proveïdors de serveis TIC externs crítics per a una supervisió millorada. Si bé les entitats més petites poden beneficiar-se de requisits de compliment simplificats, la majoria de les organitzacions han de complir tot l'abast del reglament.
Requisits de xifratge
DORA adopta un enfocament integral per al xifratge de dades, que exigeix a les entitats financeres que assegurin les dades en tres estats: en repòs, en trànsit i en úsAquest darrer requisit, el xifratge de dades en ús, és particularment notable, ja que no s'implementa àmpliament a nivell mundial.
La normativa exigeix que les entitats financeres estableixin polítiques de seguretat de les TIC que prioritzin la disponibilitat, l'autenticitat, la integritat i la confidencialitat de les dades. Això inclou el disseny d'estratègies de xifratge basades en el risc i la realització d'avaluacions periòdiques per abordar les amenaces de ciberseguretat en evolució.
"Les entitats financeres han de dissenyar, adquirir i implementar polítiques, procediments, protocols i eines de seguretat de les TIC que tinguin com a objectiu garantir la resiliència, la continuïtat i la disponibilitat dels sistemes TIC, en particular per a aquells que donen suport a funcions crítiques o importants, i mantenir alts estàndards de disponibilitat, autenticitat, integritat i confidencialitat de les dades, tant si estan en repòs, en ús o en trànsit." – DORA, Art. 9.2
DORA també anima les entitats financeres a compartir informació sobre amenaces i vulnerabilitats cibernètiques dins de xarxes de confiança per enfortir la resiliència en tot el sector.
Aplicabilitat a l'emmagatzematge empresarial
La normativa posa un fort èmfasi en els sistemes d'emmagatzematge empresarials, especialment per a les institucions que gestionen dades financeres crítiques. Les organitzacions han d'assegurar-se que les seves solucions d'emmagatzematge incloguin capacitats de còpia de seguretat robustes, mecanismes de recuperació i supervisió contínua de proveïdors externs.
Per exemple, les empreses que utilitzen les solucions d'allotjament de Serverion, com ara servidors dedicats, VPS o serveis de colocation, han d'assegurar-se que aquests sistemes s'ajustin als estrictes requisits de seguretat i resiliència de DORA. Les auditories periòdiques i les comprovacions de compliment automatitzades són crucials per mantenir el compliment de la normativa. Aquestes mesures subratllen la importància de les estratègies d'emmagatzematge i recuperació segures en tot el sector financer.
Penalitzacions per incompliment
L'incompliment de la DORA pot comportar multes considerables. Les entitats financeres poden afrontar sancions de fins a 2% de la seva facturació global anual total o 1% de la seva facturació diària mitjanaPer a les grans organitzacions, això podria significar desenes de milions de dòlars en multes. A més, les sancions específiques inclouen:
- Multes fins a $1,09 milions per a executius i empreses.
- Els proveïdors de TIC de tercers crítics poden afrontar multes de fins a $5,45 milions per a empreses o $545,000 per a particulars.
- Les fallades de ciberseguretat poden comportar multes de fins a $2,18 milions o 2% de facturació anual.
- El retard en la notificació d'incidents pot comportar sancions a partir de $272,000.
"Tot i que la ciberseguretat continua sent una prioritat, cal que les institucions financeres elevin la responsabilitat d'aquests riscos a un nivell superior. Moltes institucions financeres (IF) encara no comprenen completament el model de responsabilitat compartida, creient erròniament que la resiliència dels serveis SaaS recau únicament en el proveïdor." – Wayne Scott, responsable de solucions de compliment normatiu a Escode
A 17 de gener de 2025, els analistes estimen que 99% de les entitats financeres aplicables no estaven preparades per al compliment de DORA. Per evitar aquestes greus sancions, les organitzacions han de prioritzar el xifratge, dur a terme auditories de ciberseguretat periòdiques, establir equips de compliment dedicats, formar els executius sobre les seves responsabilitats legals i col·laborar amb proveïdors de ciberseguretat experimentats per garantir la resiliència del sistema i la precisió dels informes d'incidents.
Taula comparativa de les lleis de xifratge de dades
Les lleis de xifratge de dades varien molt segons la jurisdicció. Cada regulació aborda els requisits de xifratge, les sancions i les tècniques d'aplicació de la normativa a la seva manera. La taula següent destaca els detalls clau d'aquestes lleis, i proporciona una base útil per a les estratègies de compliment que es tracten en seccions posteriors.
| Dret | Jurisdicció | Requisits de xifratge | Estats de dades coberts | Penalitzacions màximes | Indústries primàries |
|---|---|---|---|---|---|
| GDPR | Unió Europea | "Mesures tècniques adequades", inclòs el xifratge | En repòs, en trànsit | 20 milions d'euros o 41 trilions de dòlars de facturació global | Tots els sectors |
| CPRA | Califòrnia, EUA | "Procediments de seguretat raonables" | En repòs, en trànsit | $7.500 per infracció intencionada | Tots els sectors |
| LGPD | Brasil | "Mesures de seguretat tècniques", inclòs el xifratge | En repòs, en trànsit | 2% d'ingressos, màxim ~$9.3 milions | Tots els sectors |
| PIPEDA | Canadà | "Mesures de seguretat adequades" | En repòs, en trànsit | N/A | Tots els sectors |
| DPDPA | Índia | "Pràctiques de seguretat raonables" | En repòs, en trànsit | N/A | Tots els sectors |
| PIPL | Xina | "Mesures tècniques", inclòs el xifratge | En repòs, en trànsit | N/A | Tots els sectors |
| DORA | UE (Financer) | Xifratge obligatori | En repòs, en trànsit | N/A | Només serveis financers |
Diferències clau en l'enfocament
Els requisits de xifratge varien en la claredat amb què es defineixen. Per exemple, el RGPD exigeix "mesures tècniques apropiades", oferint flexibilitat en la implementació. D'altra banda, DORA exigeix explícitament el xifratge, especialment per als serveis financers. Aquesta distinció reflecteix els diferents nivells d'especificitat que proporcionen les diferents regulacions.
L'Autoritat Bancària Europea ofereix una guia detallada per al compliment normatiu, que indica:
"Els proveïdors de serveis de serveis públics (PSP) han de garantir que, quan s'intercanvien dades sensibles a través d'Internet, s'apliqui un xifratge segur d'extrem a extrem entre les parts comunicants durant tota la sessió de comunicació respectiva, per tal de salvaguardar la confidencialitat i la integritat de les dades, utilitzant tècniques de xifratge fortes i àmpliament reconegudes."
Estructures de penalització
Les conseqüències financeres de l'incompliment difereixen significativament. El RGPD imposa algunes de les sancions més altes, amb multes que arriben fins als 20 milions d'euros o 41 trilions de dòlars de facturació global. Mentrestant, la CPRA utilitza un model de sanció per infracció, que pot resultar en multes creixents per infraccions repetides. Per a altres regulacions, els detalls de les sancions estan menys clarament definits, cosa que emfatitza la necessitat d'entendre les pràctiques locals d'aplicació de la llei.
Àmbit geogràfic i industrial
Tot i que la majoria de regulacions s'apliquen a totes les indústries dins de les seves jurisdiccions, DORA és una excepció, centrada exclusivament en els serveis financers. Aquest enfocament específic reflecteix la importància crítica de la seguretat de les dades en les operacions financeres. Curiosament, un estudi de Sectigo va descobrir que 25% dels bancs europeus encara no tenen Validació Estesa. Certificats SSL, destacant els reptes continus per complir els estàndards de seguretat.
Variacions d'aplicació
Les filosofies d'aplicació també difereixen. Algunes lleis permeten flexibilitat per adaptar-se a les tecnologies en evolució, mentre que d'altres, com ara DORA, proporcionen directrius estrictes, com ara exigir un xifratge segur d'extrem a extrem per als intercanvis de dades d'Internet. Aquestes diferències subratllen la importància d'adaptar les estratègies de xifratge per tal que s'alineïn amb els requisits reglamentaris específics.
Per a les empreses que operen en múltiples jurisdiccions, és essencial comprendre aquests matisos. Tant si s'utilitzen servidors dedicats, VPS o serveis de colocation de proveïdors com Serverion, l'alineació de les pràctiques de xifratge amb les lleis locals és un pas crític cap al compliment normatiu.
Com poden les empreses complir els requisits de compliment
Per complir els requisits de compliment del xifratge, les empreses necessiten més que eines de seguretat avançades: requereixen un marc de compliment estructurat. Això implica un seguiment continu, auditories periòdiques, documentació exhaustiva i aplicació coherent de les polítiques. A continuació s'explica com les organitzacions poden satisfer aquestes demandes de manera eficaç.
Establiment de pràctiques d'auditoria regulars
Les auditories són l'eix vertebrador de qualsevol estratègia de compliment normatiu. Tant les auditories internes com les externes tenen un paper vital. Les auditories internes aprofiten el coneixement profund de l'organització per identificar possibles llacunes, mentre que les auditories externes aporten una perspectiva fresca i imparcial que pot descobrir vulnerabilitats passades per alt. Juntes, aquestes auditories garanteixen que les mesures de seguretat no només s'implementin, sinó que continuïn sent efectives al llarg del temps.
Construint sistemes de documentació sòlids
Una documentació clara i detallada és fonamental per al compliment normatiu. Com diu Peter Schawacker, innovador i estratega empresarial de personal i contractació cibernètica, i exCISO:
"Una política és la declaració explícita de la intenció de la direcció. És l'estrella polar de l'organització. Sense ella, l'alineació és difícil o impossible d'aconseguir. I la rendició de comptes esdevé un assumpte molt complicat si és que es pot demanar comptes a la gent."
Les organitzacions han de documentar la gestió de claus de xifratge, els protocols de maneig de dades i els plans de resposta a incidents. Uns plans de resposta a incidents ben mantinguts, per exemple, poden reduir significativament el temps d'inactivitat i mitigar l'impacte de les infraccions. Això és especialment crucial, ja que es preveu que els costos globals de la ciberdelinqüència arribin als 10,5 bilions de trilions anuals el 2025.
Aplicació coherent de les polítiques
La coherència en l'aplicació de les polítiques és clau per evitar les llacunes de compliment. La participació dels empleats de diversos departaments en el desenvolupament de polítiques garanteix que les directrius siguin pràctiques i rellevants. Les actualitzacions periòdiques d'aquestes polítiques ajuden les organitzacions a mantenir-se alineades amb les amenaces en evolució i els canvis normatius, fent que el compliment sigui un procés continu en lloc d'un esforç puntual.
Triar la infraestructura adequada
La infraestructura adequada pot fer que el compliment normatiu sigui més manejable. Els proveïdors d'allotjament amb funcions de seguretat integrades, com ara la protecció DDoS, els certificats SSL i les operacions segures del centre de dades, ofereixen una base sòlida. Per exemple, la infraestructura global de Serverion admet el compliment normatiu amb les seves robustes pràctiques de seguretat i opcions de residència de dades, cosa que facilita a les empreses el compliment dels estàndards normatius.
Formació i integració de la seguretat en la cultura
Els programes de formació regulars garanteixen que els empleats comprenguin el seu paper en el manteniment dels estàndards de xifratge i el compliment. En fomentar una cultura on la seguretat és una responsabilitat compartida, les organitzacions poden crear un entorn on el compliment esdevé una segona naturalesa.
Monitorització i millora contínues
El seguiment continu és essencial a mesura que evolucionen tant els sistemes com les amenaces cibernètiques. Això inclou la revisió dels controls d'accés, la gestió de les rotacions de claus de xifratge i la renovació dels certificats de seguretat. Les eines automatitzades poden detectar possibles problemes de compliment normatiu en temps real, cosa que permet als equips prendre mesures correctives ràpides i reforçar contínuament la seva postura de seguretat.
Conclusió
Navegar per les lleis globals de xifratge de dades no es tracta només de marcar caselles legals, sinó que és un pas fonamental per protegir el vostre negoci de cops financers massius i danys a la reputació. Les xifres són molt dignes d'evidència: les empreses poden perdre fins a 25% de la seva quota de mercat després d'un ciberatac, i els costos d'incompliment són impressionants 2,71 vegades més alt que les despeses necessàries per complir amb la normativa. Si això no subratlla la urgència, res ho farà.
Els reguladors estan redoblant l'aplicació de la llei, i les conseqüències per incomplir-la són més dures que mai. Casos recents posen de manifest l'elevat preu de la negligència. Prenguem Solara Medical Supplies, per exemple: després d'exposar dades sanitàries sensibles de més de 114.000 persones, es van enfrontar a... Multa d'$3 milions el gener de 2025. Aquest cas és un recordatori que ometre el compliment normatiu no estalvia diners; costa molt més a la llarga.
L'advocada Joan Wrabetz ho expressa perfectament: la privadesa ha passat de ser un mer requisit legal a convertir-se en una estratègia empresarial central, amb el xifratge que ara serveix com a diferenciador clau per als líders del mercat.
Per mitigar aquests riscos, les empreses han d'actuar ara invertint en infraestructures segures. Això significa associació amb proveïdors d'allotjament que ofereixen funcions de seguretat integrades com ara Protecció DDoS, Certificats SSLi centres de dades segurs amb cobertura global. Per exemple, Serverion ofereix mesures de seguretat robustes i opcions flexibles de residència de dades, cosa que ajuda les empreses a satisfer demandes reguladores complexes sense sacrificar l'eficiència operativa.
A mesura que els governs apliquen normes de protecció de dades més estrictes, les organitzacions que prioritzen el xifratge i les solucions d'emmagatzematge segur es posicionaran com a líders en l'economia digital actual.
Preguntes freqüents
En què difereixen els requisits de xifratge de dades del RGPD i els de la CPRA?
El Reglament general de protecció de dades (RGPD) i el Llei de drets de privadesa de Califòrnia (CPRA) adopten enfocaments diferents pel que fa al xifratge de dades i el seu enfocament general. El RGPD imposa requisits més estrictes, obligant les organitzacions a adoptar mesures tècniques i organitzatives, com el xifratge, per protegir les dades personals i prevenir les infraccions. El seu abast és ampli, abastant totes les dades personals dels residents de la UE, i emfatitza una postura proactiva sobre la seguretat de les dades.
En canvi, la CPRA s'inclina més cap a drets dels consumidors i transparència per als residents de Califòrnia. Tot i que fomenta el xifratge com una bona pràctica, no el converteix en un requisit estricte. En canvi, la CPRA se centra principalment en la notificació de les infraccions i la gestió de riscos després que s'hagi produït un incident, en lloc d'aplicar mesures preventives rigoroses. Aquestes diferències destaquen les prioritats bàsiques de cada regulació: el RGPD té com a objectiu una protecció de dades robusta, mentre que la CPRA prioritza el control i la responsabilitat del consumidor després de les infraccions.
Quines mesures haurien de prendre les empreses per garantir que els seus mètodes de xifratge compleixin amb les lleis internacionals de protecció de dades?
Per complir amb les lleis internacionals de protecció de dades, les empreses han d'implementar estàndards de xifratge fortsPer al xifratge simètric, AES-256 és una opció fiable, mentre que RSA amb claus de 2048 bits o més funciona bé per al xifratge asimètric. Igualment important és gestió de claus de xifratge, que implica la generació, l'emmagatzematge, la distribució i la revocació de claus de manera segura per evitar l'accés no autoritzat.
També és crucial mantenir-se al dia sobre marcs legals específics, com ara el RGPD, que destaca el processament segur de dades i reconeix el xifratge com una salvaguarda tècnica vital. Revisar i actualitzar regularment els protocols de xifratge d'acord amb pràctiques actuals de la indústria garanteix que les empreses compleixin les normatives a les diferents regions. Centrar-se en la seguretat i la flexibilitat és clau per mantenir-se al dia amb el panorama en constant canvi de les regulacions de protecció de dades.
Quins són els riscos per a les empreses que no compleixen amb les lleis de xifratge de dades com DORA i PIPL?
Incompliment de les lleis de xifratge de dades com ara DORA i PIPL pot tenir greus repercussions per a les empreses. Per exemple, segons la DORA, les empreses podrien afrontar multes de fins a 2% de la seva facturació anual global. De la mateixa manera, les infraccions de la PIPL poden comportar sancions de fins a 50 milions de iens (al voltant de $7,2 milions) o 5% d'ingressos anuals.
Però les conseqüències no s'aturen a les sancions econòmiques. Les empreses també podrien haver de fer front a accions legals, suspensions de llicències i interrupcions operatives, tot això pot minar la salut financera i entelar la seva reputació. Complir amb la normativa no només consisteix a evitar aquests riscos, sinó que també és una manera d'enfortir la confiança amb els clients i els socis mostrant un fort compromís amb la protecció de les dades.
