7 nejdůležitějších zákonů o šifrování dat pro podniky
Šifrování dat již není volitelné. Vzhledem k předpokládaným škodám způsobeným kyberkriminalitou $10,5 bilionu do roku 2025 a pokuty za nedodržení předpisů dosahují miliony dolarů, pochopení zákonů o šifrování je pro podniky zásadní. Tato příručka se zabývá sedmi klíčovými předpisy, které ovlivňují globální ochranu dat:
- GDPR (EU)Podporuje šifrování osobních údajů s pokutami až do výše 20 milionů EUR neboli 41 TP3T ročních tržeb.
- CPRA (Kalifornie, USA)Vyžaduje šifrování; narušení nešifrovaných dat umožňuje soudní spory.
- LGPD (Brazílie)Požaduje ochranná opatření, jako je šifrování; sankce až 2% tržeb.
- PIPEDA (Kanada)Doporučuje šifrování pro ochranu osobních údajů.
- DPDPA (Indie)Nařizuje „přiměřené bezpečnostní postupy“, včetně šifrování.
- PIPL (Čína)Vyžaduje vládou schválené šifrování pro data v rámci svých hranic.
- DORA (Finanční sektor EU)Přísné šifrovací standardy pro finanční subjekty, které se vztahují na data v klidu, při přenosu i při používání.
Rychlé srovnání:
| Zákon | Jurisdikce | Šifrovací mandát | Maximální trest |
|---|---|---|---|
| GDPR | EU | Důrazně doporučeno | tržby ve výši 20 milionů EUR nebo 41 TP3T |
| CPRA | Kalifornie, USA | Vyžadováno pro ochranu před narušením | $7 500/porušení |
| LGPD | Brazílie | Požadovaná technická ochranná opatření | 2% tržeb |
| PIPEDA | Kanada | Doporučeno, nikoli povinné | CAD $100 000/porušení |
| DPDPA | Indie | „Přiměřené záruky“ | Obrat ₹250 Cr nebo 4% |
| PIPL | Čína | Povinné schválené šifrování | Příjmy 50 milionů jenů neboli 51 TP3T |
| DORA | EU (finanční sektor) | Povinné pro finanční údaje | 2% ročního obratu |
Šifrování chrání firmy před narušením bezpečnosti, pokutami a poškozením pověsti. Čtěte dále a dozvíte se podrobný přehled těchto zákonů a o tom, jak je dodržovat.
9 předpisů o ochraně osobních údajů, které byste měli znát
1. Obecné nařízení o ochraně osobních údajů (GDPR) – Evropská unie
GDPR, které vstoupilo v platnost v květnu 2018, změnilo způsob, jakým se s osobními údaji nakládá po celém světě.
Jurisdikce a zeměpisný rozsah
GDPR se neomezuje pouze na Evropu – má globální dosah. Každá organizace, bez ohledu na to, kde sídlí, musí splňovat požadavky, pokud zpracovává osobní údaje obyvatel EU. Například společnosti se sídlem v USA, které slouží zákazníkům z EU, podléhají těmto pravidlům. Nařízení rozděluje odpovědnosti mezi správci údajů (kdo rozhoduje o tom, jak a proč jsou data zpracovávána) a zpracovatelé údajů (kteří zpracovávají údaje jménem správců). Toto rozlišení je obzvláště důležité pro poskytovatele hostingu a firmy využívající kolokační služby.
Požadavky na šifrování (povinné nebo doporučené)
Ačkoliv šifrování není výslovně nařízeno GDPR, důrazně se doporučuje jako klíčové technické opatření. Článek 32 požaduje vhodná technická a organizační opatření k ochraně osobních údajů a šifrování je často doporučováno jako jedna z nejúčinnějších metod. To platí jak pro data v klidu a data v přenosuÚřady, jako je Úřad komisaře pro informace ve Spojeném království, doporučují používat šifrovací řešení které splňují normy jako FIPS 140-2 a FIPS 197.
Jednou z hlavních výhod šifrování je jeho dopad na hlášení narušení bezpečnosti. Organizace musí podle GDPR nahlásit narušení bezpečnosti dat do 72 hodin. Pokud jsou však šifrovaná data ohrožena a pro útočníky se stanou nečitelnými, lze od tohoto požadavku upustit.
Použitelnost pro podnikové úložiště
Pro podniky spravující data v různých úložných prostředích může být dodržování GDPR výzvou. Nařízení se vztahuje na osobní údaje uložené na dedikované servery, cloudové platformynebo hybridní infrastrukturySpolečnosti musí klasifikovat data na základě jejich citlivosti, aby určily správná šifrovací opatření. Zvláštní pozornost je nutná při přeshraničních přenosech dat, protože GDPR stanoví přísná pravidla pro přesun osobních údajů mimo EU/EHP bez řádných záruk. Šifrování je zásadní pro zajištění bezpečného mezinárodního přenosu dat. Poskytovatelé hostingu, včetně těch jako Serverion, musí sladit své šifrovací postupy se standardy GDPR, aby podpořily úsilí svých klientů o dodržování předpisů.
Sankce za nedodržení
GDPR zavádí stupňovitý systém sankcí, který činí nedodržování předpisů finančně problematickým. Drobná porušení mohou vést k pokutám až do výše 11,8 milionu rupií (14 000 rupií) nebo 21,3 milionu rupií (14 000 rupií) celosvětových ročních tržeb, podle toho, která částka je vyšší. Závažná porušení mohou vést k pokutám až do výše 23,6 milionu rupií (14 000 rupií) nebo 41,3 milionu rupií celosvětových tržeb. Nedávné případy ilustrují přísnost nařízení. V roce 2023 byla společnosti Meta uložena irskou komisí pro ochranu osobních údajů pokuta ve výši 1,2 miliardy rupií (14 000 rupií) za nedostatečnou ochranu přenosů dat. Podobně společnost H&M v roce 2020 čelila pokutě ve výši 41,8 milionu rupií (14 000 rupií) za nezákonné sledování zaměstnanců.
Nedodržení předpisů může vést k více než jen pokutám. Organizace mohou čelit provozním omezením, jako jsou příkazy k zastavení zpracování údajů, a mohou být také odpovědné za škody, které si dotčené osoby nárokují.
„Obecné nařízení o ochraně osobních údajů (GDPR) je nejpřísnějším zákonem na ochranu soukromí a bezpečnosti na světě.“ – GDPR.EU
Pro poskytovatele hostingu a infrastruktury tyto sankce zdůrazňují potřebu robustních šifrovacích strategií k ochraně jejich provozu a zajištění toho, aby jejich klienti splňovali požadavky na dodržování předpisů.
Dále se podíváme na kalifornský zákon o právech na ochranu osobních údajů (Privacy Rights Act) a na to, jak se liší v přístupu k ochraně osobních údajů pro podniky.
2. Kalifornský zákon o právech na ochranu soukromí (CPRA) – Spojené státy americké
Od 1. ledna 2023 CPRA posiluje kalifornský zákon o ochraně soukromí spotřebitelů (CCPA) a zavádí přísnější pravidla pro firmy, které nakládají s osobními údaji patřícími obyvatelům Kalifornie.
Jurisdikce a zeměpisný rozsah
CPRA se konkrétně zaměřuje ziskové podniky které shromažďují osobní údaje od obyvatel Kalifornie a splňují určitá kritéria. Patří mezi ně:
- Společnosti s ročním hrubým obratem přesahujícím $25 milionů.
- Firmy, které nakupují, prodávají nebo sdílejí osobní údaje 100 000 nebo více Obyvatelé, domácnosti nebo zařízení v Kalifornii.
- Subjekty vydělávající 50% nebo více jejich ročních příjmů z prodeje nebo sdílení osobních údajů kalifornských spotřebitelů.
Na rozdíl od GDPR, které má globální dosah, se CPRA zaměřuje výhradně na společnosti sloužící obyvatelům Kalifornie bez ohledu na jejich fyzické umístění. Klíčovým rysem CPRA je jeho princip minimalizace dat, který omezuje shromažďování a uchovávání dat na to, co je nezbytně nutné pro obchodní operace.
Požadavky na šifrování (povinné nebo doporučené)
Paragraf 1798.150 zákona CPRA vyžaduje, aby podniky zavedly přísná bezpečnostní opatření na ochranu osobních údajů. Pokud dojde k narušení nešifrovaných dat, mají spotřebitelé právo podat občanskoprávní žalobu. Nařízení uvádí:
„Každý spotřebitel, jehož nešifrované a neredigované osobní údaje… jsou vystaveny neoprávněnému přístupu a úniku, krádeži nebo zveřejnění v důsledku porušení povinnosti podniku zavést a dodržovat přiměřené bezpečnostní postupy a praktiky… může podat občanskoprávní žalobu.“
Kalifornské zákony 128bitové šifrování jako minimální standard pro určité systémy, přičemž kryptografické moduly vyžadují certifikaci podle FIPS 140-2 standardy. CPRA nařizuje šifrování dat při přenosu i v klidu a podniky jsou vyzývány k ukládání šifrovacích klíčů odděleně od šifrovaných dat. Tato opatření jsou zásadní pro zajištění souladu s předpisy a ochranu podnikových úložných systémů.
Použitelnost pro podnikové úložiště
Podnikové úložné systémy musí splňovat přísné požadavky CPRA. Od podniků se očekává, že budou plnit posouzení ochrany osobních údajů identifikovat rizika pro soukromí a zavést nezbytná ochranná opatření ve všech úložných prostředích.
Zákon také vyžaduje, aby společnosti anonymizovaly nebo agregovaly osobní údaje, což ovlivňuje způsob ukládání a správy dat. Organizace využívající hostingové služby musí zajistit, aby jejich poskytovatelé byli v souladu s CPRA, a vytvořit tak řetězec odpovědnosti v celém životním cyklu zpracování dat. Například firmy, které se spoléhají na služby Serverionu, musí zajistit dodržování šifrovacích standardů ve všech konfiguracích.
Mezi klíčové prvky dodržování předpisů patří provádění pravidelných bezpečnostních auditů a vynucování přísných kontrol přístupu. CPRA navíc uděluje obyvatelům Kalifornie právo odhlásit se z automatizovaného rozhodování a vyžaduje systémy, které dokáží identifikovat a oddělit data používaná pro tyto účely.
Sankce za nedodržení
Nedodržování zákona CPRA může vést k regulačním pokutám a soukromoprávním žalobám. Spotřebitelé postižení úniky dat způsobenými nedostatečnými bezpečnostními opatřeními mohou požadovat náhradu škody v rozmezí od $107 až $799 za incident.
Jak vysvětluje Alfred Brunetti, ředitel společnosti Porzio, Bromberg and Newman PC:
„Podnik, poskytovatel služeb nebo jiná osoba, u níž bude shledáno, že poruší CCPA ve znění pozdějších předpisů CPRA, podléhá soudnímu zákazu a občanskoprávní pokutě nepřesahující 2 500 dolarů za každé porušení a nepřesahující 7 500 dolarů za každé úmyslné porušení.“
Nedávná opatření v oblasti vymáhání práva zdůrazňují důležitost dodržování těchto předpisů. Například v roce 2022 společnost Sephora zaplatila 1,2 milionu švédských dolarů na urovnání nároků na porušení CCPA a v roce 2024 čelila společnost DoorDash pokutě ve výši 375 000 švédských dolarů za sdílení údajů o zákaznících bez jejich výslovného souhlasu. Je pozoruhodné, že CPRA zrušila 30denní lhůtu pro nápravu, která byla dříve povolena podle CCPA, což znamená, že společnosti mohou čelit okamžitým sankcím, pokud nebudou porušení urychleně vyřešena.
Dále prozkoumáme brazilského Lei Geral de Proteção de Dados, abychom prozkoumali, jak se v Latinské Americe přistupuje k šifrování.
3. Lei Geral de Proteção de Dados (LGPD) – Brazílie
Brazilský Lei Geral de Proteção de Dados (LGPD) stanoví přísná pravidla, silně inspirovaná EU GDPR, pro ochranu osobních údajů.
Jurisdikce a zeměpisný rozsah
LGPD má široký dosah, které se vztahují na organizace kdekoli na světě, pokud nakládají s osobními údaji jednotlivců v Brazílii. To zahrnuje zpracování údajů jednotlivci nebo subjekty – ať už veřejnými nebo soukromými. Pokud má vaše firma zákazníky, zaměstnance, dodavatele nebo partnery v Brazílii, je dodržování LGPD nezbytné.
Zákon se vztahuje na:
- Činnosti zpracování dat prováděné v Brazílii.
- Data shromážděná v Brazílii.
- Osobní údaje fyzických osob v Brazílii bez ohledu na to, kde se nachází zpracovatel údajů.
Požadavky na šifrování (povinné nebo doporučené)
Ačkoli LGPD výslovně nevyžaduje šifrování, zdůrazňuje jeho potřebu. přiměřená bezpečnostní opatření chránit osobní údaje. Článek 46 stanoví, že organizace musí přijmout technická, bezpečnostní a administrativní ochranná opatření, aby zabránily neoprávněnému přístupu. Data, která jsou plně anonymizována nebo zašifrována tak, aby je bylo možné obnovit, se těmto předpisům nevztahují.
Aby organizace splňovaly požadavky, měly by zavést kombinaci strategií, jako například:
- Bezpečnostní zásady a plány reakce na incidenty.
- Školení pro zaměstnance v oblasti povědomí.
- Kontroly přístupu a další technická opatření.
Pro společnosti využívající hostingová řešení, jako jsou ta od Serverionu, je udržování silných šifrovacích protokolů zásadní pro splnění standardů LGPD. Tato opatření jsou nezbytná pro ochranu dat napříč různými úložnými platformami.
Použitelnost pro podnikové úložiště
Podnikové úložné systémy musí být v souladu s bezpečnostními pokyny LGPD. To znamená, že firmy musí dokumentovat, jak jsou data shromažďována, používána, ukládána a sdílena. Musí také vyhodnocovat mezinárodní přenosy dat, aby zajistily soulad se zákonem.
Mezi klíčové kroky patří:
- Zavedení rámců pro ochranu osobních údajů.
- Provádění pravidelných posouzení vlivu na ochranu osobních údajů (DPIA).
- Jmenování pověřence pro ochranu osobních údajů (DPO) pro dohled nad dodržováním předpisů.
- Příprava plánů reakce na únik dat.
- Školení zaměstnanců v oblasti osvědčených postupů ochrany osobních údajů.
Poskytovatelé služeb musí také splňovat bezpečnostní standardy v souladu s LGPD v celém řetězci zpracování dat.
Sankce za nedodržení
Nedodržení LGPD může vést k vysokým pokutám – až do výše 21 TP3T čistého příjmu společnosti v Brazílii, s maximálním limitem 1 TP4T50 milionů R za porušení. Mezi další sankce patří:
- Denní pokuty za nevyřešené problémy.
- Veřejné zveřejnění porušení.
- Blokování nebo smazání osobních údajů.
- Pozastavení nebo zákaz činností spojených se zpracováním údajů.
Nedávné případy vymáhání práva zdůrazňují účinnost zákona. Například 6. července 2023 byla společnosti Telekall Infoservice uložena pokuta ve výši 14 400 brazilských realů (zhruba 2 938 rupií) za několik porušení, včetně nejmenování pověřence pro ochranu osobních údajů a absence řádného právního základu pro zpracování údajů. Podobně v říjnu 2023 čelil ministerstvu zdravotnictví státu Santa Catarina pokuty za problémy, jako jsou nedostatečná bezpečnostní opatření a opožděné hlášení incidentů.
Kromě finančních sankcí může nedodržování předpisů vést k žalobám ze strany dotčených osob, poškození pověsti společnosti a dokonce i ke ztrátě oprávnění ke zpracování údajů. Pro firmy působící v Brazílii není splnění požadavků LGPD jen o vyhnutí se pokutám – je nezbytné pro udržení důvěry a provozní kontinuity.
Dále se podíváme na to, jak kanadská agentura PIPEDA řeší podobné problémy v oblasti ochrany osobních údajů.
4. Zákon o ochraně osobních údajů a elektronických dokumentů (PIPEDA) – Kanada
Kanadský Zákon o ochraně osobních údajů a elektronických dokumentů (PIPEDA) stanoví pravidla pro nakládání s osobními údaji organizacemi soukromého sektoru. Jejím cílem je chránit soukromí jednotlivců a zároveň podporovat efektivní obchodní operace, a proto je založena na principech spravedlivého přístupu k informacím.
Jurisdikce a zeměpisný rozsah
Zákon PIPEDA se vztahuje na podniky působící v Kanadě, které spravují osobní údaje v rámci meziprovinčních nebo mezinárodních transakcí. Vztahuje se na organizace soukromého sektoru v celé zemi a zahrnuje osobní údaje zaměstnanců ve federálně regulovaných odvětvích. Pokud vaše firma zpracovává data, která překračují provinční nebo mezinárodní hranice, je dodržování zákona PIPEDA nezbytné.
Požadavky na šifrování (povinné nebo doporučené)
PIPEDA nepředepisuje konkrétní bezpečnostní technologie, ale důrazně organizace vybízí k zavedení záruk na ochranu osobních údajů. Zásada 7 (Záruky), firmy jsou povinny zabezpečit osobní údaje před riziky, jako je ztráta, krádež nebo neoprávněný přístup. Šifrování je jedním z doporučených opatření k ochraně citlivých informací během ukládání a přenosu. Je to však jen jeden dílek skládačky. Komplexní bezpečnostní strategie by měla zahrnovat i nástroje, jako jsou silná hesla, firewally a pravidelné aktualizace, v kombinaci s fyzickými a organizačními kontrolami.
Volba ochranných opatření závisí na faktorech, jako je citlivost dat, jejich objem, způsob distribuce, formát úložiště a potenciální rizika. Pro společnosti využívající hostingová řešení, jako je Serverion, může implementace robustního šifrování v rámci všech činností zpracování dat pomoci splnit flexibilní bezpečnostní očekávání společnosti PIPEDA.
Pravidelné kontroly bezpečnostních protokolů jsou nezbytné pro udržení účinné ochrany. Tato opatření by se měla bezproblémově integrovat do širšího rámce správy soukromí, aby se zajistilo, že podnikové úložné systémy splňují standardy dodržování předpisů.
Použitelnost pro podnikové úložiště
Pro podniky je sladění úložných systémů s principy ochrany osobních údajů PIPEDA nedílnou součástí. To zahrnuje vytvoření programu pro správu ochrany osobních údajů, jasnou dokumentaci účelů zpracování dat a vynucování přísných kontrol přístupu. Posouzení dopadu na soukromí (PIA) je klíčovým krokem k vyhodnocení, jak obchodní operace ovlivňují soukromí jednotlivců. Mezi další klíčová opatření patří stanovení jasných dob uchovávání osobních údajů a školení zaměstnanců v oblasti osvědčených postupů ochrany osobních údajů.
„Organizace musí jednotlivcům snadno zpřístupnit konkrétní informace o svých zásadách a postupech týkajících se správy osobních údajů.“ – PIPEDA, oddíl 4.8.1
Organizace musí také zavést přísné postupy pro monitorování vzorců přístupu a provádění pravidelných auditů za účelem odhalování neoprávněných aktivit. Efektivní řešení stížností na porušení soukromí a zajištění přesnosti osobních údajů jsou stejně důležité jako dodržování předpisů.
Sankce za nedodržení
Nedodržení zákona PIPEDA může mít vážné důsledky, a to jak finanční, tak i poškozující reputaci. Finanční pokuty mohou dosáhnout až $100 000 CAD za porušenía případy mohou být dokonce postoupeny generálnímu prokurátorovi Kanady k dalšímu právnímu řízení. Kromě pokut může nesprávné nakládání s osobními údaji vážně poškodit pověst společnosti, zejména proto, že 92% veřejnosti vyjádřil obavy ohledně toho, jak jsou jejich informace spravovány.
PIPEDA rovněž vyžaduje, aby organizace hlásily úniky dat, které představují skutečné riziko značné újmy. Takové incidenty musí být nahlášeny Kanadský komisař pro ochranu osobních údajůa dotčené osoby musí být v případě potřeby informovány. Vedení podrobných záznamů o všech narušeních je zásadní pro efektivní plánování reakce na incidenty.
Tyto požadavky zdůrazňují důležitost přísných opatření k dodržování předpisů pro podniky působící na kanadském trhu nebo na kanadském trhu působící. Šifrování, spolu s dalšími ochrannými opatřeními, hraje klíčovou roli v zajištění toho, aby podnikové úložné systémy splňovaly standardy PIPEDA.
5. Zákon o ochraně digitálních osobních údajů (DPDPA) – Indie
Indie Zákon o ochraně digitálních osobních údajů (DPDPA) stanoví jasné pokyny pro správu osobních údajů a zároveň klade důraz na přísné záruky soukromí.
Jurisdikce a zeměpisný rozsah
Zákon o ochranu osobních údajů (DPDPA) se vztahuje na všechny subjekty nakládající s osobními údaji v Indii, ať už se jedná o domácí nebo mezinárodní subjekty. Upravuje zpracování osobních údajů patřících indickým obyvatelům a dokonce i zahraničním obyvatelům, pokud jsou jejich údaje zpracovávány v Indii na základě smluv se zahraničními subjekty. V podstatě pokud vaše firma působí v Indii nebo zpracovává údaje indických obyvatel, je dodržování tohoto zákona povinné.
Zákon zaujímá teritoriální přístup, což znamená, že společnosti se sídlem mimo Indii musí dodržovat předpisy i v případě, že zpracovávají osobní údaje osob v rámci indických hranic. Tento extrateritoriální dosah činí dodržování předpisů pro globální firmy, které slouží indickým zákazníkům nebo udržují partnerství v regionu, zásadním. Šifrování a další bezpečnostní opatření, jak je popsáno níže, hrají klíčovou roli při plnění těchto požadavků.
Požadavky na šifrování
Mandáty DPDPA „přiměřené bezpečnostní záruky“ k ochraně osobních údajů. Patří mezi ně šifrování, zamlžování, maskování nebo používání virtuálních tokenů jako základních opatření. Organizace musí implementovat tato technická a organizační ochranná opatření, aby zajistily více vrstev zabezpečení citlivých dat.
Vyžaduje se také podrobná kontrola přístupu s pravidelnými kontrolami protokolů. Firmy musí navíc udržovat zálohy dat, aby byla zajištěna kontinuita v případě ztráty dat nebo narušení systému. Pro společnosti používající řešení pro podnikový hostingRobustní šifrování je v souladu s přísnými požadavky DPDPA. Organizace jsou povinny uchovávat data a protokoly přístupu po dobu alespoň jednoho roku, aby se napomohlo odhalování, vyšetřování a prevenci narušení bezpečnosti.
Použitelnost pro podnikové úložiště
Podnikové úložné systémy musí splňovat rámec DPDPA klasifikací osobních údajů a definováním požadavků na jejich zpracování. Tato klasifikace je nezbytná pro vytváření účinných strategií pro dodržování předpisů.
Firmy musí také uzavřít jasné smlouvy se zpracovateli údajů, které zajistí dodržování bezpečnostních opatření a povinností v celém řetězci zpracování. Tyto dohody by měly zahrnovat konkrétní odpovědnosti a záruky, které odrážejí odpovědnosti a záruky primárního správce údajů. Formální dohody o zpracování údajů jsou podle zákona DPDPA zákonným požadavkem.
„Firmy by měly začít s proaktivními strategiemi dodržování předpisů investováním do technologií na posílení soukromí, prováděním hodnocení regulačních rizik a implementací modelů správy dat zaměřených na uživatele.“ – pan Gaurav Bhalla, partner, Ahlawat & Associates
Procesy reakce na incidenty jsou dalším kritickým prvkem. Organizace musí být připraveny informovat Indická rada pro ochranu osobních údajů (DPBI) a dotčené osoby v případě narušení bezpečnosti. Narušení bezpečnosti, jak je definováno v zákoně DPDPA, zahrnuje jakýkoli neoprávněný přístup, náhodné zveřejnění, zneužití, změnu, zničení nebo ztrátu osobních údajů, které ohrožuje jejich důvěrnost, integritu nebo dostupnost. Tyto požadavky jsou v souladu s širšími strategiemi dodržování předpisů pro podniky.
Sankce za nedodržení
Finanční sankce za nedodržení jsou vysoké a pokuty dosahují až ₹250 milionů rupií (přibližně 1430 milionů rupií) nebo 4130 milionů rupií z celosvětového obratuTyto sankce zdůrazňují důležitost dodržování zákona a zavádění důrazných bezpečnostních opatření.
Kromě pokut může nedodržování předpisů vést k poškození pověsti a ztrátě důvěry zákazníků na indickém trhu. Aby se tato rizika zmírnila, měly by společnosti zaujmout komplexní přístup, včetně jmenování Pověřenec pro ochranu osobních údajů (DPO) se sídlem v Indii, která bude působit jako styčná osoba pro regulační záležitosti. Automatizované systémy pro detekci hrozeb a šablony pro oznámení o narušení bezpečnosti mohou také pomoci zajistit rychlou reakci na incidenty.
Pravidelné hodnocení zranitelností a technická a organizační opatření založená na riziku jsou nezbytná. Firmy musí také vyhodnotit potenciální omezení přeshraničních přenosů dat a zvážit možnosti, jako je lokální zrcadlení nebo ukládání dat, aby zůstaly plně v souladu s předpisy. Pochopení a řešení těchto požadavků je klíčové pro sladění podnikových úložných systémů s místními i globálními standardy ochrany dat.
sbb-itb-59e1987
6. Zákon o ochraně osobních údajů (PIPL) – Čína
Čínský zákon o ochraně osobních údajů (PIPL) vynucuje přísná pravidla pro ochranu a šifrování dat a nastavuje tak vysokou laťku pro dodržování předpisů na celém světě.
Jurisdikce a zeměpisný rozsah
Zákon PIPL se vztahuje na jakoukoli organizaci, která nakládá s osobními údaji jednotlivců v Číně. Jeho dosah přesahuje hranice Číny a ovlivňuje jak domácí, tak mezinárodní podniky. Pokud společnost shromažďuje, ukládá, používá nebo zpracovává data patřící jednotlivcům v Číně – a to i bez fyzické přítomnosti v zemi – musí jej dodržovat. To zahrnuje i podniky, které poskytují produkty nebo služby čínským uživatelům nebo analyzují jejich chování.
Pokud jde o přeshraniční přenosy dat, zákon ukládá přísná omezení. Společnosti musí zajistit, aby každý zahraniční příjemce dat dodržoval ochranné standardy rovnocenné těm, které jsou uvedeny v zákoně PIPL. Firmy jsou navíc povinny jmenovat domácího zástupce v Číně, který bude dohlížet na dodržování předpisů a řešit veškeré právní povinnosti.
Požadavky na šifrování
Šifrování je základním kamenem technických bezpečnostních opatření PIPL. Organizace musí dodržovat Předpisy pro komerční šifrování, které nařizují používání vládou schválených šifrovacích algoritmů. Běžné šifrovací standardy, jako je AES, nejsou povoleny, pokud nejsou výslovně certifikovány čínskými úřady. Navíc všechna šifrovaná citlivá data a šifrovací klíče musí být uloženy v rámci hranic Číny. Pro nadnárodní společnosti to vytváří značné překážky, protože se musí přizpůsobit lokalizovaným šifrovacím algoritmům a systémům správy klíčů.
Použitelnost pro podnikové úložiště
Zákon PIPL rovněž stanoví jasná pravidla pro ukládání podnikových dat v Číně. Osobní údaje musí obecně zůstat v zemi, pokud nejsou splněny přísné podmínky pro přeshraniční přenosy. Z důvodu opatrnosti firmy často klasifikují nejistá data jako „důležitá data“, což aktivuje další bezpečnostní protokoly, včetně pokročilých požadavků na šifrování.
Aby společnosti splňovaly požadavky, musí zavést opatření, jako je šifrování a anonymizace, aby ochránily osobní údaje před narušením bezpečnosti, krádeží nebo náhodným smazáním. Pravidelné kontroly souladu jsou nezbytné, včetně auditů šifrovacích postupů, ověřování schválených algoritmů a zajištění toho, aby šifrovací klíče zůstaly v čínské jurisdikci. Vzhledem ke složitosti těchto požadavků je pro zvládání problémů s dodržováním předpisů zásadní spolupráce s místními právními a bezpečnostními experty.
Sankce za nedodržení
Tresty za porušení zákona PIPL jsou vysoké. Správa kyberprostoru Číny (CAC) vymáhá dodržování zákona a může ukládat značné pokuty nebo jiné sankce. Za drobná porušení mohou být uloženy pokuty až do výše 1 milionu juanů (zhruba 150 000 rupií), přičemž odpovědné osoby čelí pokutám ve výši 10 000 až 100 000 juanů (1 500 až 15 000 rupií). Závažná porušení mohou vést k pokutám až do výše 50 milionů juanů (přibližně 7,7 milionu rupií) nebo 51,3 milionu rupií z tržeb společnosti za předchozí rok, podle toho, která částka je vyšší. Osobám zapojeným do závažného porušení hrozí až 7 let vězení.
Nedávné medializované případy ukázaly, jak přísné mohou být tyto sankce, s pokutami v řádu milionů juanů a tresty odnětí svobody. Aby se těmto důsledkům vyhnuly, musí společnosti zavést robustní rámce pro dodržování předpisů, včetně pravidelného monitorování, auditů a postupů pro oznamování narušení bezpečnosti dat. Tato opatření jsou nezbytná pro to, aby se v této přísné regulační krajině udržely na správné straně.
7. Zákon o digitální operační odolnosti (DORA) – Evropská unie (finanční sektor)
Zákon o digitální operační odolnosti (DORA) stanoví přísné standardy kybernetické bezpečnosti a operační odolnosti pro finanční subjekty působící v Evropské unii (EU). Jeho cílem je zajistit, aby finanční sektor dokázal účinně odolávat kybernetickým hrozbám a narušením.
Jurisdikce a zeměpisný rozsah
Zákon DORA se vztahuje na širokou škálu finančních subjektů v EU, včetně bank, investičních firem, úvěrových institucí, poskytovatelů služeb v oblasti kryptoaktiv a crowdfundingových platforem. Vztahuje se také na externí poskytovatele IKT, a to i na ty se sídlem mimo EU, pokud slouží finančním institucím EU. To zahrnuje i poskytovatele základních služeb, jako jsou ratingové agentury a firmy zabývající se analýzou dat. Počínaje rokem 2025 budou evropské orgány dohledu – ESMA, EBA a EIOPA – identifikovat klíčové externí poskytovatele IKT služeb pro posílený dohled. Zatímco menší subjekty mohou těžit ze zjednodušených požadavků na dodržování předpisů, většina organizací musí dodržovat plný rozsah nařízení.
Požadavky na šifrování
DORA uplatňuje komplexní přístup k šifrování dat a vyžaduje, aby finanční subjekty zabezpečily data ve třech státech: v klidu, při přepravě a při používáníTento poslední požadavek, šifrování dat při používání, je obzvláště pozoruhodný, protože není celosvětově široce implementován.
Nařízení nařizuje finančním subjektům, aby zavedly zásady bezpečnosti IKT, které upřednostňují dostupnost, autenticitu, integritu a důvěrnost dat. To zahrnuje navrhování strategií šifrování založených na riziku a provádění pravidelných hodnocení s cílem řešit vyvíjející se kybernetické hrozby.
„Finanční subjekty musí navrhovat, pořizovat a implementovat zásady, postupy, protokoly a nástroje v oblasti bezpečnosti informačních a komunikačních technologií (ICT), jejichž cílem je zajistit odolnost, kontinuitu a dostupnost systémů IKT, zejména těch, které podporují kritické nebo důležité funkce, a udržovat vysoké standardy dostupnosti, autenticity, integrity a důvěrnosti dat, ať už v klidu, při používání nebo v přenosu.“ – DORA, čl. 9.2
DORA rovněž vybízí finanční subjekty ke sdílení informací o kybernetických hrozbách a zranitelnostech v rámci důvěryhodných sítí s cílem posílit odolnost v celém sektoru.
Použitelnost pro podnikové úložiště
Nařízení klade velký důraz na podnikové úložné systémy, zejména pro instituce spravující kritická finanční data. Organizace musí zajistit, aby jejich úložná řešení zahrnovala robustní zálohovací funkce, mechanismy obnovy a průběžné monitorování externích poskytovatelů.
Například společnosti využívající hostingová řešení Serverionu – jako jsou dedikované servery, VPS nebo kolokační služby – musí zajistit, aby tyto systémy splňovaly přísné požadavky společnosti DORA na bezpečnost a odolnost. Pravidelné audity a automatizované kontroly souladu s předpisy jsou klíčové pro dodržování předpisů. Tato opatření zdůrazňují důležitost strategií bezpečného ukládání a obnovy v celém finančním sektoru.
Sankce za nedodržení
Nedodržení zákona DORA může vést k vysokým pokutám. Finančním institucím mohou být uloženy sankce až do výše 2% jejich celkového ročního globálního obratu nebo 1% jejich průměrného denního obratuPro velké organizace by to mohlo znamenat pokuty v řádu desítek milionů dolarů. Mezi další specifické sankce patří:
- Pokuty až do výše $1,09 milionu pro manažery a firmy.
- Kritičtí poskytovatelé ICT služeb třetích stran mohou čelit pokutám až do výše $5,45 milionu pro firmy nebo $545,000 pro jednotlivce.
- Selhání v kybernetické bezpečnosti může vést k pokutám až do výše $2,18 milionu nebo 2% ročního obratu.
- Opožděné hlášení incidentu může mít za následek sankce počínaje $272,000.
„Ačkoli kybernetická bezpečnost zůstává prioritou, finanční instituce musí povýšit odpovědnost za tato rizika na vyšší úroveň. Mnoho finančních institucí (FI) stále plně nechápe model sdílené odpovědnosti a mylně se domnívá, že odolnost SaaS služeb leží výhradně na dodavateli.“ – Wayne Scott, vedoucí oddělení Regulatory Compliance Solutions ve společnosti Escode
Analytici odhadují, že k 17. lednu 2025 nebylo 99% příslušných finančních subjektů připraveno na dodržování předpisů DORA. Aby se organizace těmto přísným sankcím vyhnuly, musí upřednostňovat šifrování, provádět pravidelné audity kybernetické bezpečnosti, zřídit specializované týmy pro dodržování předpisů, školit vedoucí pracovníky v jejich právních povinnostech a spolupracovat se zkušenými poskytovateli kybernetické bezpečnosti, aby byla zajištěna odolnost systému a přesné hlášení incidentů.
Srovnávací tabulka zákonů o šifrování dat
Zákony o šifrování dat se v jednotlivých jurisdikcích značně liší. Každý předpis přistupuje k požadavkům na šifrování, sankcím a technikám vymáhání po svém. Níže uvedená tabulka zdůrazňuje klíčové detaily těchto zákonů a poskytuje užitečný základ pro strategie dodržování předpisů, které budou popsány v dalších částech.
| Zákon | Jurisdikce | Požadavky na šifrování | Pokryté stavy dat | Maximální tresty | Primární průmyslová odvětví |
|---|---|---|---|---|---|
| GDPR | Evropská unie | „Vhodná technická opatření“ včetně šifrování | V klidu, na cestě | 20 milionů EUR neboli 4% celosvětového obratu | Všechny sektory |
| CPRA | Kalifornie, USA | "Přiměřené bezpečnostní postupy" | V klidu, na cestě | $7 500 za úmyslné porušení | Všechny sektory |
| LGPD | Brazílie | „Technická ochranná opatření“ včetně šifrování | V klidu, na cestě | 2% tržeb, max. ~$9,3 milionu | Všechny sektory |
| PIPEDA | Kanada | „Vhodné záruky“ | V klidu, na cestě | N/A | Všechny sektory |
| DPDPA | Indie | „Přiměřené bezpečnostní postupy“ | V klidu, na cestě | N/A | Všechny sektory |
| PIPL | Čína | „Technická opatření“ včetně šifrování | V klidu, na cestě | N/A | Všechny sektory |
| DORA | EU (finanční) | Povinné šifrování | V klidu, na cestě | N/A | Pouze finanční služby |
Klíčové rozdíly v přístupu
Požadavky na šifrování se liší v tom, jak jasně jsou definovány. Například GDPR požaduje „vhodná technická opatření“ a nabízí flexibilitu v implementaci. Na druhou stranu DORA výslovně nařizuje šifrování, zejména pro finanční služby. Toto rozlišení odráží různé úrovně specifičnosti poskytované různými předpisy.
Evropský bankovní orgán nabízí podrobné pokyny pro dodržování předpisů a uvádí:
„Poskytovatelé platebních služeb by měli zajistit, aby při výměně citlivých dat přes internet bylo mezi komunikujícími stranami v průběhu příslušné komunikační relace používáno bezpečné šifrování typu end-to-end, aby byla chráněna důvěrnost a integrita dat, a to pomocí silných a široce uznávaných šifrovacích technik.“
Struktury trestů
Finanční důsledky nedodržování předpisů se výrazně liší. GDPR ukládá jedny z nejvyšších sankcí, přičemž pokuty dosahují až 20 milionů eur nebo 41 TP3T celosvětového obratu. CPRA mezitím používá model sankcí za každé porušení, což může vést ke zvyšování pokut za opakovaná porušení. U jiných předpisů jsou podrobnosti o sankcích méně jasně definovány, což zdůrazňuje potřebu porozumět místním postupům vymáhání práva.
Geografický a odvětvový rozsah
Zatímco většina předpisů platí ve všech odvětvích v rámci jejich jurisdikcí, DORA je výjimkou a zaměřuje se výhradně na finanční služby. Tento cílený přístup odráží zásadní význam zabezpečení dat ve finančních operacích. Zajímavé je, že studie společnosti Sectigo zjistila, že 25% evropských bank stále postrádá rozšířené ověření. SSL certifikáty, což zdůrazňuje přetrvávající problémy s plněním bezpečnostních standardů.
Varianty vynucování
Filozofie vymáhání se také liší. Některé zákony umožňují flexibilitu přizpůsobit se vyvíjejícím se technologiím, zatímco jiné, jako například DORA, stanoví přísná pravidla, například požadavek na bezpečné end-to-end šifrování pro internetovou výměnu dat. Tyto rozdíly podtrhují důležitost přizpůsobení šifrovacích strategií specifickým regulačním požadavkům.
Pro firmy působící ve více jurisdikcích je pochopení těchto nuancí zásadní. Ať už používají dedikované servery, VPS nebo kolokační služby od poskytovatelů, jako je Serverion, sladění šifrovacích postupů s místními zákony je klíčovým krokem k dodržování předpisů.
Jak mohou podniky splňovat požadavky na dodržování předpisů
Aby podniky dodržely požadavky na šifrování, potřebují více než jen pokročilé bezpečnostní nástroje – potřebují strukturovaný rámec pro dodržování předpisů. To zahrnuje průběžné monitorování, pravidelné audity, důkladnou dokumentaci a důsledné vymáhání zásad. Zde je návod, jak mohou organizace tyto požadavky efektivně splnit.
Zavedení pravidelných auditních postupů
Audity jsou páteří každé strategie dodržování předpisů. Důležitou roli hrají interní i externí audity. Interní audity využívají hluboké znalosti organizace k identifikaci potenciálních mezer, zatímco externí audity přinášejí nový a nezaujatý pohled, který může odhalit přehlížené zranitelnosti. Tyto audity společně zajišťují, že bezpečnostní opatření jsou nejen implementována, ale také zůstávají účinná v průběhu času.
Budování silných dokumentačních systémů
Jasná a podrobná dokumentace je pro dodržování předpisů zásadní. Jak uvádí Peter Schawacker, obchodní inovátor a stratég v oblasti kybernetického personálního a náborového managementu a bývalý ředitel CISO:
„Politika je explicitní prohlášení o záměru managementu. Je to Polečka organizace. Bez ní je dosažení souladu obtížné až nemožné. A odpovědnost se stává velmi ošemetnou záležitostí, pokud vůbec dokážete lidi volat k odpovědnosti.“
Organizace musí dokumentovat správu šifrovacích klíčů, protokoly pro zpracování dat a plány reakce na incidenty. Správně udržované plány reakce na incidenty mohou například výrazně zkrátit prostoje a zmírnit dopad narušení bezpečnosti. To je obzvláště důležité, protože se předpokládá, že globální náklady na kyberkriminalitu do roku 2025 dosáhnou 10,5 bilionu rupií ročně.
Důsledné vymáhání politik
Konzistentnost ve vymáhání politik je klíčem k zamezení mezer v dodržování předpisů. Zapojení zaměstnanců z různých oddělení do tvorby politik zajišťuje, že pokyny jsou praktické a relevantní. Pravidelné aktualizace těchto politik pomáhají organizacím udržovat krok s vyvíjejícími se hrozbami a změnami v regulaci, čímž se dodržování předpisů stává nepřetržitým procesem, nikoli jednorázovým úsilím.
Výběr správné infrastruktury
Správná infrastruktura může usnadnit dodržování předpisů. Poskytovatelé hostingu s vestavěnými bezpečnostními funkcemi, jako je ochrana proti DDoS útokům, SSL certifikáty a zabezpečený provoz datových center, nabízejí silný základ. Například globální infrastruktura společnosti Serverion podporuje dodržování jejích robustních bezpečnostních postupů a možností uložení dat, což podnikům usnadňuje splnění regulačních standardů.
Školení a začleňování bezpečnosti do kultury
Pravidelné školicí programy zajišťují, aby zaměstnanci chápali svou roli v dodržování šifrovacích standardů a dodržování předpisů. Podporou kultury, kde je bezpečnost sdílenou odpovědností, mohou organizace vytvořit prostředí, kde se dodržování předpisů stane druhou přirozeností.
Neustálé monitorování a zlepšování
Průběžné monitorování je nezbytné, protože se vyvíjejí jak systémy, tak kybernetické hrozby. To zahrnuje kontrolu řízení přístupu, správu rotací šifrovacích klíčů a obnovu bezpečnostních certifikátů. Automatizované nástroje mohou v reálném čase signalizovat potenciální problémy s dodržováním předpisů, což týmům umožňuje rychle přijímat nápravná opatření a neustále posilovat jejich bezpečnostní opatření.
Závěr
Orientace v globálních zákonech o šifrování dat není jen o odškrtávání právních políček – je to klíčový krok k ochraně vaší firmy před masivními finančními ztrátami a poškozením pověsti. Čísla mluví sama za sebe: firmy mohou ztratit až 25% jejich podílu na trhu po kybernetickém útoku a náklady na nedodržování předpisů jsou ohromující 2,71krát vyšší než výdaje potřebné k dodržování předpisů. Pokud to nezdůrazní naléhavost, nic ji nezdůrazní.
Regulační orgány zdvojnásobují úsilí o vymáhání práva a důsledky za jeho nedodržení jsou tvrdší než kdy dříve. Nedávné případy zdůrazňují vysokou cenu zanedbávání. Vezměte si například společnost Solara Medical Supplies – poté, co zveřejnila citlivé zdravotní údaje více než 114 000 osob, čelila… Pokuta $3 milionů v lednu 2025. Tento případ je střízlivou připomínkou toho, že obcházení předpisů peníze neušetří; z dlouhodobého hlediska to stojí mnohem více.
Právnička Joan Wrabetz to vystihla dokonale: soukromí se z pouhého zákonného požadavku posunulo k… centrální obchodní strategie, přičemž šifrování nyní slouží jako klíčový rozlišovací znak pro lídry na trhu.
Aby se tato rizika zmírnila, musí firmy jednat nyní a investovat do bezpečné infrastruktury. To znamená partnerství s poskytovateli hostingu které poskytují vestavěné bezpečnostní funkce, jako například DDoS ochrana, SSL certifikátya zabezpečená datová centra s globálním pokrytím. Serverion například nabízí robustní bezpečnostní opatření a flexibilní možnosti uložení dat, což pomáhá společnostem splňovat složité regulační požadavky bez obětování provozní efektivity.
Vzhledem k tomu, že vlády prosazují přísnější pravidla ochrany osobních údajů, organizace, které upřednostňují šifrování a bezpečná úložná řešení, se v dnešní digitální ekonomice stanou lídry.
Nejčastější dotazy
Jak se liší požadavky na šifrování dat podle GDPR a CPRA?
The Obecné nařízení o ochraně osobních údajů (GDPR) a Kalifornský zákon o právech na soukromí (CPRA) používají různé přístupy, pokud jde o šifrování dat a jejich celkové zaměření. GDPR ukládá přísnější požadavky a nařizuje organizacím přijmout technická a organizační opatření, jako je šifrování, k ochraně osobních údajů a prevenci narušení bezpečnosti. Jeho působnost je široká, zahrnuje všechny osobní údaje obyvatel EU a klade důraz na proaktivní přístup k bezpečnosti dat.
Naproti tomu CPRA se více přiklání k práva spotřebitelů a transparentnost pro obyvatele Kalifornie. I když podporuje šifrování jako osvědčený postup, nestanovuje z něj striktní požadavek. CPRA se místo toho silně zaměřuje na oznamování narušení bezpečnosti a řízení rizik po incidentu, spíše než na vynucování přísných preventivních opatření. Tyto rozdíly zdůrazňují klíčové priority každého nařízení – GDPR se zaměřuje na robustní ochranu údajů, zatímco CPRA upřednostňuje kontrolu a odpovědnost spotřebitelů po narušení bezpečnosti.
Jaké kroky by měly podniky podniknout, aby zajistily, že jejich šifrovací metody splňují mezinárodní zákony na ochranu osobních údajů?
Aby firmy dodržovaly mezinárodní zákony na ochranu osobních údajů, musí implementovat silné šifrovací standardyPro symetrické šifrování je spolehlivou volbou AES-256, zatímco RSA s 2048bitovými nebo většími klíči funguje dobře pro asymetrické šifrování. Stejně důležité je... správa šifrovacích klíčů, což zahrnuje bezpečné generování, ukládání, distribuci a rušení klíčů, aby se zabránilo neoprávněnému přístupu.
Je také zásadní sledovat aktuální informace o konkrétních právních rámeccích, jako je GDPR, které zdůrazňuje bezpečné zpracování dat a uznává šifrování jako zásadní technickou ochranu. Pravidelná kontrola a aktualizace šifrovacích protokolů v souladu s současné postupy v oboru zajišťuje, že firmy zůstanou v souladu s předpisy v různých regionech. Zaměření na bezpečnost a flexibilitu je klíčem k udržení kroku s neustále se měnící krajinou předpisů na ochranu osobních údajů.
Jaká jsou rizika pro firmy, které nedodržují zákony o šifrování dat, jako jsou DORA a PIPL?
Nedodržování zákonů o šifrování dat, jako například DORA a PIPL může vést k vážným důsledkům pro podniky. Například podle zákona DORA by společnosti mohly čelit pokutám dosahujícím až 21 TP3T jejich globálního ročního obratu. Podobně porušení zákona PIPL může vést k pokutám až do výše 50 milionů jenů (přibližně 1 TP4T7,2 milionu) nebo 51 TP3T ročního příjmu.
Důsledky se však neomezují pouze na finanční sankce. Společnosti se mohou potýkat i s právní kroky, pozastavení licencí a provozní narušení, což vše může ohrozit finanční zdraví a poškodit jejich reputaci. Dodržování předpisů neznamená jen vyhýbání se těmto rizikům – je to také způsob, jak posílit důvěru se zákazníky a partnery tím, že projevíte silný závazek chránit data.
