7 najvažnijih zakona o šifriranju podataka za poduzeća
Šifriranje podataka više nije opcionalno. Predviđa se da će šteta od kibernetičkog kriminala $10,5 bilijuna do 2025. i kazne za nepoštivanje propisa koje dosežu milijuna dolara, razumijevanje zakona o šifriranju ključno je za poduzeća. Ovaj vodič obuhvaća sedam ključnih propisa koji oblikuju globalnu zaštitu podataka:
- GDPR (EU)Potiče šifriranje osobnih podataka s kaznama do 20 milijuna eura ili 41 TP3 bilijuna godišnjeg prihoda.
- CPRA (Kalifornija, SAD)Zahtijeva enkripciju; kršenja nešifriranih podataka omogućuju tužbe.
- LGPD (Brazil)Zahtijeva zaštitne mjere poput šifriranja; kazne do 2% prihoda.
- PIPEDA (Kanada)Preporučuje šifriranje za zaštitu osobnih podataka.
- DPDPA (Indija)Nalaže "razumne sigurnosne prakse", uključujući šifriranje.
- PIPL (Kina)Zahtijeva šifriranje koje je odobrila vlada za podatke unutar svojih granica.
- DORA (Financijski sektor EU)Strogi standardi šifriranja za financijske subjekte, koji pokrivaju podatke u mirovanju, u prijenosu i u upotrebi.
Brza usporedba:
| Zakon | Nadležnost | Nalog za šifriranje | Maksimalna kazna |
|---|---|---|---|
| GDPR | EU | Toplo preporučujem | Prihod od 20 milijuna eura ili 41 TP3T |
| CPRA | Kalifornija, SAD | Potrebno za zaštitu od kršenja | $7.500/kršenje |
| LGPD | Brazil | Potrebne tehničke zaštitne mjere | 2% prihoda |
| PIPEDA | Kanada | Poželjno, nije obavezno | CAD $100.000/kršenje |
| DPDPA | Indija | "Razumne zaštitne mjere" | Promet od 250 Cr ili 4% |
| PIPL | Kina | Obavezno odobreno šifriranje | Prihod od 50 milijuna jena ili 5% |
| DORA | EU (Financijski sektor) | Obavezno za financijske podatke | 2% godišnjeg prometa |
Šifriranje štiti tvrtke od kršenja sigurnosti, kazni i štete ugledu. Čitajte dalje za detaljan uvid u ove zakone i kako ostati u skladu s njima.
9 propisa o privatnosti podataka koje morate znati
1. Opća uredba o zaštiti podataka (GDPR) – Europska unija
GDPR, koji je stupio na snagu u svibnju 2018., promijenio je način na koji se globalno obrađuju osobni podaci.
Nadležnost i geografski opseg
GDPR nije ograničen na Europu – ima globalni doseg. Svaka organizacija, bez obzira gdje se nalazi, mora se pridržavati pravila ako obrađuje osobne podatke stanovnika EU. Na primjer, tvrtke sa sjedištem u SAD-u koje pružaju usluge klijentima iz EU podliježu tim pravilima. Uredba razdvaja odgovornosti između kontrolori podataka (tko odlučuje kako i zašto se podaci obrađuju) i obrađivači podataka (koji obrađuju podatke u ime kontrolora). Ova razlika je posebno važna za pružatelje usluga hostinga i tvrtke koje koriste usluge kolokacije.
Zahtjevi za šifriranje (obavezni ili poželjni)
Iako enkripcija nije izričito propisana GDPR-om, snažno se preporučuje kao ključna tehnička zaštitna mjera. Članak 32. poziva na odgovarajuće tehničke i organizacijske mjere za zaštitu osobnih podataka, a enkripcija se često predlaže kao jedna od najučinkovitijih metoda. To se odnosi i na podaci u mirovanju i podaci u tranzituVlasti poput Ureda povjerenika za informiranje Ujedinjenog Kraljevstva savjetuju korištenje rješenja za šifriranje koji zadovoljavaju standarde kao što su FIPS 140-2 i FIPS 197.
Jedna od glavnih prednosti enkripcije je njezin utjecaj na obavještavanje o povredama podataka. Organizacije moraju prijaviti povrede podataka u roku od 72 sata prema GDPR-u. Međutim, ako su šifrirani podaci kompromitirani i postanu nečitljivi napadačima, ovaj zahtjev se može ukinuti.
Primjenjivost na pohranu podataka u poduzeću
Za poduzeća koja upravljaju podacima u različitim okruženjima za pohranu, usklađenost s GDPR-om može biti izazov. Uredba se odnosi na osobne podatke pohranjene na namjenski poslužitelji, platforme u oblaku, ili hibridne infrastruktureTvrtke moraju klasificirati podatke na temelju njihove osjetljivosti kako bi odredile ispravne mjere šifriranja. Posebna je pažnja potrebna za prekogranični prijenos podataka, jer GDPR provodi stroga pravila o premještanju osobnih podataka izvan EU/EGP-a bez odgovarajućih zaštitnih mjera. Šifriranje je ključno za osiguravanje sigurnog međunarodnog prijenosa podataka. Pružatelji hostinga, uključujući one poput Serverion, moraju uskladiti svoje prakse šifriranja sa standardima GDPR-a kako bi podržali napore svojih klijenata u usklađivanju s propisima.
Kazne za nepoštivanje propisa
GDPR nameće višeslojni sustav kazni koji nepoštivanje propisa čini financijski bolnim. Manja kršenja mogu rezultirati kaznama do 11,8 milijuna tona švicarskih trava ili 21 tonu švicarskih trava globalnog godišnjeg prihoda, ovisno o tome što je veće. Ozbiljna kršenja mogu dovesti do kazni i do 23,6 milijuna tona švicarskih trava ili 41 tonu švicarskih trava globalnog prihoda. Nedavni slučajevi ilustriraju strogoću propisa. Godine 2023., Meta je od strane Irske komisije za zaštitu podataka kažnjena s 1,2 milijarde tona švicarskih trava zbog nezaštićenog prijenosa podataka. Slično tome, H&M se 2020. suočio s kaznom od 41,8 milijuna tona švicarskih trava zbog nezakonitog praćenja zaposlenika.
Nepoštivanje propisa može dovesti do više od samih novčanih kazni. Organizacije se mogu suočiti s operativnim ograničenjima, poput naloga za zaustavljanje obrade podataka, a mogu biti i odgovorne za štetu koju potražuju pogođeni pojedinci.
„Opća uredba o zaštiti podataka (GDPR) je najstrožiji zakon o privatnosti i sigurnosti na svijetu.“ – GDPR.EU
Za pružatelje usluga hostinga i infrastrukture, ove kazne naglašavaju potrebu za robusnim strategijama šifriranja kako bi zaštitili svoje poslovanje i osigurali da njihovi klijenti ispunjavaju zahtjeve usklađenosti.
Zatim ćemo istražiti Zakon o pravima privatnosti u Kaliforniji i kako se on razlikuje u pristupu privatnosti podataka za poduzeća.
2. Zakon o pravima privatnosti u Kaliforniji (CPRA) – Sjedinjene Američke Države
Od 1. siječnja 2023. CPRA jača Zakon o privatnosti potrošača u Kaliforniji (CCPA), uvodeći stroža pravila za tvrtke koje obrađuju osobne podatke stanovnika Kalifornije.
Nadležnost i geografski opseg
CPRA se posebno usmjerava profitna poduzeća koji prikupljaju osobne podatke od stanovnika Kalifornije i ispunjavaju određene kriterije. To uključuje:
- Tvrtke s godišnjim bruto prihodom većim od $25 milijuna.
- Tvrtke koje kupuju, prodaju ili dijele osobne podatke 100.000 ili više Stanovnici, kućanstva ili uređaji Kalifornije.
- Entiteti koji zarađuju 50% ili više njihovih godišnjih prihoda od prodaje ili dijeljenja osobnih podataka potrošača u Kaliforniji.
Za razliku od GDPR-a, koji ima globalni doseg, CPRA se fokusira isključivo na tvrtke koje pružaju usluge stanovnicima Kalifornije, bez obzira na njihovu fizičku lokaciju. Ključna značajka CPRA-e je njezina načelo minimizacije podataka, što ograničava prikupljanje i zadržavanje podataka na ono što je strogo potrebno za poslovne operacije.
Zahtjevi za šifriranje (obavezni ili poželjni)
Članak 1798.150 CPRA-e zahtijeva od tvrtki da provedu snažne sigurnosne mjere za zaštitu osobnih podataka. U slučaju kršenja nešifriranih podataka, potrošači imaju pravo podnijeti građansku tužbu. Uredba navodi:
„Svaki potrošač čiji su nešifrirani i neredigirani osobni podaci... predmet neovlaštenog pristupa i krađe, krađe ili otkrivanja kao rezultat kršenja dužnosti tvrtke da implementira i održava razumne sigurnosne postupke i prakse... može pokrenuti građansku parnicu.“
Kalifornijski zakoni 128-bitna enkripcija kao minimalni standard za određene sustave, s kriptografskim modulima koji zahtijevaju certifikaciju prema FIPS 140-2 standardi. CPRA nalaže šifriranje i za podatke u prijenosu i za podatke u mirovanju, a tvrtke se potiču da ključeve za šifriranje pohranjuju odvojeno od šifriranih podataka. Ove su mjere ključne za osiguranje usklađenosti i zaštitu sustava za pohranu u poduzećima.
Primjenjivost na pohranu podataka u poduzeću
Sustavi za pohranu podataka u poduzećima moraju biti u skladu sa strogim zahtjevima CPRA-e. Od tvrtki se očekuje da izvršavaju procjene zaštite podataka identificirati rizike za privatnost i implementirati potrebne zaštitne mjere u svim okruženjima za pohranu.
Zakon također zahtijeva od tvrtki da deidentificiraju ili agregiraju osobne podatke, što utječe na način pohrane i upravljanja podacima. Organizacije koje koriste usluge hostinga moraju osigurati da su njihovi pružatelji usluga u skladu s CPRA-om, stvarajući lanac odgovornosti tijekom cijelog životnog ciklusa obrade podataka. Na primjer, tvrtke koje se oslanjaju na Serverionove usluge moraju osigurati da se standardi šifriranja poštuju u svim konfiguracijama.
Ključni elementi usklađenosti uključuju provođenje redovitih sigurnosnih revizija i provedbu strogih kontrola pristupa. Osim toga, CPRA daje stanovnicima Kalifornije pravo da se odluče za automatizirano donošenje odluka, zahtijevajući sustave koji mogu identificirati i odvojiti podatke korištene u takve svrhe.
Kazne za nepoštivanje propisa
Nepoštivanje CPRA-e može dovesti do regulatornih kazni i privatnih tužbi. Potrošači pogođeni kršenjem podataka uzrokovanim neadekvatnim sigurnosnim mjerama mogu tražiti odštetu u rasponu od $107 do $799 po incidentu.
Kao što objašnjava Alfred Brunetti, ravnatelj tvrtke Porzio, Bromberg i Newman PC:
„Tvrtka, pružatelj usluga ili druga osoba za koju se utvrdi da krši CCPA kako je izmijenjen CPRA-om podliježe zabrani i građanskoj kazni od najviše 2.500 funti po prekršaju i najviše 7.500 funti po namjernom prekršaju.“
Nedavne mjere provedbe naglašavaju važnost pridržavanja ovih propisa. Na primjer, 2022. godine Sephora je platila 1,2 milijuna titanija kako bi riješila tužbe za kršenje CCPA-e, a 2024. godine DoorDash se suočio s kaznom od 375.000 titanija zbog dijeljenja podataka o kupcima bez izričitog pristanka. Važno je napomenuti da je CPRA ukinuo 30-dnevno razdoblje za ispravak koje je prethodno bilo dopušteno prema CCPA-i, što znači da se tvrtke mogu suočiti s trenutnim kaznama ako se kršenja ne riješe odmah.
Zatim ćemo ispitati Lei Geral de Proteção de Dados iz Brazila kako bismo istražili kako se enkripciji pristupa u Latinskoj Americi.
3. Lei Geral de Proteção de Dados (LGPD) – Brazil
Brazilski Lei Geral de Proteção de Dados (LGPD) postavlja stroga pravila, uvelike inspirirana GDPR-om EU-a, za zaštitu osobnih podataka.
Nadležnost i geografski opseg
LGPD ima širok doseg, koji se primjenjuje na organizacije bilo gdje u svijetu ako obrađuju osobne podatke pojedinaca u Brazilu. To uključuje obradu podataka od strane pojedinaca ili subjekata - bilo javnih ili privatnih. Ako vaše poslovanje ima kupce, zaposlenike, izvođače radova ili partnere u Brazilu, usklađenost s LGPD-om je obavezna.
Zakon se primjenjuje na:
- Aktivnosti obrade podataka provedene unutar Brazila.
- Podaci prikupljeni u Brazilu.
- Osobni podaci pojedinaca u Brazilu, bez obzira gdje se nalazi obrađivač podataka.
Zahtjevi za šifriranje (obavezni ili poželjni)
Iako LGPD ne zahtijeva izričito šifriranje, naglašava potrebu za razumne sigurnosne mjere radi zaštite osobnih podataka. Članak 46. određuje da organizacije moraju usvojiti tehničke, sigurnosne i administrativne zaštitne mjere kako bi spriječile neovlašteni pristup. Podaci koji su potpuno anonimizirani ili šifrirani do te mjere da se ne mogu oporaviti ne podliježu ovim propisima.
Kako bi se uskladile s propisima, organizacije bi trebale implementirati kombinaciju strategija, kao što su:
- Sigurnosne politike i planovi za odgovor na incidente.
- Obuka za zaposlenike o podizanju svijesti.
- Kontrole pristupa i druge tehničke mjere.
Za tvrtke koje koriste hosting rješenja, poput onih tvrtke Serverion, održavanje snažnih protokola šifriranja ključno je za ispunjavanje LGPD standarda. Ove mjere su bitne za zaštitu podataka na raznim platformama za pohranu.
Primjenjivost na pohranu podataka u poduzeću
Sustavi za pohranu podataka u poduzećima moraju biti u skladu sa sigurnosnim smjernicama LGPD-a. To znači da tvrtke moraju dokumentirati kako se podaci prikupljaju, koriste, pohranjuju i dijele. Također moraju procijeniti međunarodne prijenose podataka kako bi osigurali usklađenost sa zakonom.
Ključni koraci uključuju:
- Uspostavljanje okvira za zaštitu podataka.
- Provođenje redovitih procjena utjecaja na zaštitu podataka (DPIA).
- Imenovanje službenika za zaštitu podataka (DPO) za nadzor napora u pogledu usklađenosti.
- Priprema planova za odgovor na povredu podataka.
- Obuka zaposlenika o najboljim praksama zaštite podataka.
Pružatelji usluga također moraju ispunjavati sigurnosne standarde usklađene s LGPD-om u cijelom lancu obrade podataka.
Kazne za nepoštivanje propisa
Nepoštivanje LGPD-a može dovesti do visokih kazni - do 2% neto prihoda tvrtke u Brazilu, ograničeno na $50 milijuna R po prekršaju. Dodatne kazne uključuju:
- Dnevne kazne za neriješene probleme.
- Javno objavljivanje prekršaja.
- Blokiranje ili brisanje osobnih podataka.
- Obustava ili zabrana aktivnosti obrade podataka.
Nedavni slučajevi provedbe zakona ističu djelotvornost zakona. Na primjer, 6. srpnja 2023. godine, Telekall Infoservice je kažnjen s 14.400 brazilskih reala (otprilike 2.938 tona) zbog višestrukih kršenja, uključujući neimenovanje službenika za zaštitu podataka i nedostatak odgovarajuće pravne osnove za obradu podataka. Slično tome, u listopadu 2023. godine, Ministarstvo zdravstva države Santa Catarina suočilo se s kaznama zbog problema poput loših sigurnosnih mjera i kašnjenja u prijavljivanju incidenata.
Osim financijskih kazni, nepoštivanje propisa može dovesti do tužbi pogođenih pojedinaca, štete ugledu tvrtke, pa čak i gubitka privilegija obrade podataka. Za tvrtke koje posluju u Brazilu, ispunjavanje LGPD zahtjeva nije samo izbjegavanje kazni – to je ključno za održavanje povjerenja i kontinuiteta poslovanja.
Zatim ćemo pogledati kako kanadska PIPEDA rješava slične izazove zaštite podataka.
4. Zakon o zaštiti osobnih podataka i elektroničkim dokumentima (PIPEDA) – Kanada
Kanadski Zakon o zaštiti osobnih podataka i elektroničkim dokumentima (PIPEDA) postavlja pravila o tome kako organizacije privatnog sektora postupaju s osobnim podacima. Izgrađen na načelima poštenog informiranja, cilj mu je zaštititi privatnost pojedinaca uz istovremeno podržavanje učinkovitog poslovanja.
Nadležnost i geografski opseg
PIPEDA se primjenjuje na tvrtke koje posluju u Kanadi i upravljaju osobnim podacima u međupokrajinskim ili međunarodnim transakcijama. Uređuje organizacije privatnog sektora diljem zemlje i uključuje osobne podatke zaposlenika u industrijama reguliranim saveznom upravom. Ako vaša tvrtka obrađuje podatke koji prelaze pokrajinske ili međunarodne granice, usklađenost s PIPEDA-om je neophodna.
Zahtjevi za šifriranje (obavezni ili poželjni)
PIPEDA ne propisuje specifične sigurnosne tehnologije, ali snažno potiče organizacije da implementiraju zaštitne mjere za zaštitu osobnih podataka. Načelo 7 (Zaštitne mjere), tvrtke su dužne osigurati osobne podatke od rizika poput gubitka, krađe ili neovlaštenog pristupa. Šifriranje je jedna od preporučenih mjera za zaštitu osjetljivih informacija tijekom pohrane i prijenosa. Međutim, to je samo jedan dio slagalice. Sveobuhvatna sigurnosna strategija trebala bi uključivati i alate poput jakih lozinki, vatrozida i redovitih ažuriranja, u kombinaciji s fizičkim i organizacijskim kontrolama.
Izbor zaštitnih mjera ovisi o čimbenicima kao što su osjetljivost podataka, njihov volumen, način distribucije, format pohrane i potencijalni rizici. Za tvrtke koje koriste hosting rješenja poput Serveriona, implementacija robusne enkripcije u aktivnostima obrade podataka može pomoći u ispunjavanju fleksibilnih sigurnosnih očekivanja PIPEDA-e.
Redoviti pregledi sigurnosnih protokola ključni su za održavanje učinkovite zaštite. Ove mjere trebale bi se besprijekorno integrirati u širi okvir upravljanja privatnošću kako bi se osiguralo da sustavi za pohranu podataka u poduzeću ispunjavaju standarde usklađenosti.
Primjenjivost na pohranu podataka u poduzeću
Za poduzeća, usklađivanje sustava za pohranu s PIPEDA-inim načelima privatnosti je neizostavno. To uključuje razvoj programa upravljanja privatnošću, jasno dokumentiranje svrha obrade podataka i provođenje strogih kontrola pristupa. Procjene utjecaja na privatnost (PIA) je ključni korak za procjenu utjecaja poslovnih operacija na privatnost pojedinaca. Druge ključne mjere uključuju postavljanje jasnih razdoblja čuvanja osobnih podataka i obuku zaposlenika o najboljim praksama privatnosti.
„Organizacija mora pojedincima lako staviti na raspolaganje specifične informacije o svojim politikama i praksama koje se odnose na upravljanje osobnim podacima.“ – PIPEDA Odjeljak 4.8.1
Organizacije također moraju uspostaviti stroge postupke za praćenje obrazaca pristupa i provođenje redovitih revizija radi otkrivanja neovlaštenih aktivnosti. Učinkovito rješavanje pritužbi na privatnost i osiguravanje točnosti osobnih podataka jednako su važni za održavanje usklađenosti.
Kazne za nepoštivanje propisa
Nepoštivanje PIPEDA-e može rezultirati ozbiljnim posljedicama, i financijskim i reputacijskim. Financijske kazne mogu doseći i do $100.000 CAD po prekršaju, a slučajevi se mogu čak uputiti i glavnom državnom odvjetniku Kanade na daljnje pravne radnje. Osim novčanih kazni, nepravilno rukovanje osobnim podacima može ozbiljno oštetiti ugled tvrtke, posebno zato što 92% javnosti izrazio je zabrinutost zbog načina na koji se upravlja njihovim informacijama.
PIPEDA također zahtijeva od organizacija da prijave povrede podataka koje predstavljaju stvarni rizik od značajne štete. Takvi incidenti moraju se prijaviti Povjerenik za privatnost Kanade, a pogođene osobe moraju biti obaviještene kada je to potrebno. Vođenje detaljne evidencije o svim povredama ključno je za učinkovito planiranje odgovora na incidente.
Ovi zahtjevi naglašavaju važnost snažnih mjera usklađenosti za tvrtke koje posluju na kanadskom tržištu ili ga opslužuju. Šifriranje, uz druge zaštitne mjere, igra ključnu ulogu u osiguravanju da sustavi za pohranu podataka u poduzećima zadovoljavaju PIPEDA-ine standarde.
5. Zakon o zaštiti digitalnih osobnih podataka (DPDPA) – Indija
Indijski Zakon o zaštiti digitalnih osobnih podataka (DPDPA) propisuje jasne smjernice za upravljanje osobnim podacima, uz naglasak na snažne mjere zaštite privatnosti.
Nadležnost i geografski opseg
DPDPA se primjenjuje na sve subjekte koji obrađuju osobne podatke u Indiji, bez obzira jesu li domaći ili međunarodni. Njime se uređuje obrada osobnih podataka koji pripadaju indijskim stanovnicima, pa čak i stranim stanovnicima kada se njihovi podaci obrađuju u Indiji na temelju ugovora s inozemnim subjektima. U osnovi, ako vaše poduzeće posluje u Indiji ili obrađuje podatke indijskih stanovnika, usklađenost je obvezna.
Zakon ima teritorijalni pristup, što znači da se tvrtke sa sjedištem izvan Indije također moraju pridržavati propisa ako obrađuju osobne podatke pojedinaca unutar indijskih granica. Ovaj ekstrateritorijalni doseg čini ključnim za globalne tvrtke koje opslužuju indijske kupce ili održavaju partnerstva u regiji davanje prioriteta usklađenosti. Šifriranje i druge sigurnosne mjere, kako je opisano u nastavku, igraju ključnu ulogu u ispunjavanju tih zahtjeva.
Zahtjevi za šifriranje
Nalozi DPDPA-e "razumne sigurnosne mjere" za zaštitu osobnih podataka. To uključuje šifriranje, prikrivanje, maskiranje ili korištenje virtualnih tokena kao osnovnih mjera. Organizacije moraju implementirati ove tehničke i organizacijske zaštitne mjere kako bi osigurale više slojeva sigurnosti za osjetljive podatke.
Također su potrebne detaljne kontrole pristupa s redovitim pregledima zapisnika. Osim toga, tvrtke moraju održavati sigurnosne kopije podataka kako bi osigurale kontinuitet u slučaju gubitka podataka ili prekida sustava. Za tvrtke koje koriste rješenja za hosting u poduzećima, robusna enkripcija u skladu je sa strogim zahtjevima DPDPA-e. Organizacije su dužne čuvati podatke i zapisnike pristupa najmanje godinu dana kako bi se pomoglo u otkrivanju, istrazi i sprječavanju povreda.
Primjenjivost na pohranu podataka u poduzeću
Sustavi za pohranu podataka u poduzećima moraju biti u skladu s okvirom DPDPA-e klasificiranjem osobnih podataka i definiranjem zahtjeva za njihovu obradu. Ova klasifikacija je ključna za izgradnju učinkovitih strategija usklađenosti.
Tvrtke također moraju uspostaviti jasne ugovore s obrađivačima podataka, osiguravajući da se sigurnosne mjere i obveze poštuju tijekom cijelog lanca obrade. Ti sporazumi trebali bi uključivati specifične odgovornosti i zaštitne mjere koje odražavaju one primarnog fiducijara podataka. Formalni sporazumi o obradi podataka zakonski su zahtjev prema DPDPA-u.
„Tvrtke bi trebale početi usvajati proaktivne strategije usklađenosti ulaganjem u tehnologije za poboljšanje privatnosti, provođenjem procjena regulatornih rizika i implementacijom modela upravljanja podacima usmjerenih na korisnika.“ – G. Gaurav Bhalla, partner, Ahlawat & Associates
Procesi odgovora na incidente još su jedan ključni element. Organizacije moraju biti spremne obavijestiti Odbor za zaštitu podataka Indije (DPBI) i pogođene pojedince u slučaju kršenja. Kršenje, kako je definirano u DPDPA-u, uključuje svaki neovlašteni pristup, slučajno otkrivanje, zlouporabu, izmjenu, uništenje ili gubitak osobnih podataka koji ugrožava njihovu povjerljivost, integritet ili dostupnost. Ovi zahtjevi usklađeni su sa širim strategijama usklađenosti poduzeća.
Kazne za nepoštivanje propisa
Financijske kazne za nepoštivanje propisa su visoke, a kazne dosežu i do ₹250 crore (oko 1 TP4T30 milijuna) ili 41 TP3T globalnog prometaOve kazne naglašavaju važnost poštivanja zakona i provedbe snažnih sigurnosnih mjera.
Osim kazni, nepoštivanje propisa može dovesti do narušavanja ugleda i gubitka povjerenja kupaca na indijskom tržištu. Kako bi ublažile te rizike, tvrtke bi trebale primijeniti sveobuhvatan pristup, uključujući imenovanje Službenik za zaštitu podataka (DPO) sa sjedištem u Indiji kako bi djelovao kao regulatorna veza. Automatizirani sustavi za otkrivanje prijetnji i predlošci za obavještavanje o kršenju zakona također mogu pomoći u osiguravanju brzog odgovora na incidente.
Redovite procjene ranjivosti te tehničke i organizacijske mjere temeljene na riziku su ključne. Tvrtke također moraju procijeniti potencijalna ograničenja prekograničnog prijenosa podataka i razmotriti opcije poput lokalnog zrcaljenja ili pohrane podataka kako bi ostale u potpunosti usklađene. Razumijevanje i rješavanje ovih zahtjeva ključno je za usklađivanje sustava pohrane poduzeća s lokalnim i globalnim standardima zaštite podataka.
sbb-itb-59e1987
6. Zakon o zaštiti osobnih podataka (PIPL) – Kina
Kineski Zakon o zaštiti osobnih podataka (PIPL) provodi stroga pravila za zaštitu podataka i šifriranje, postavljajući visoke standarde za usklađenost diljem svijeta.
Nadležnost i geografski opseg
PIPL se primjenjuje na svaku organizaciju koja obrađuje osobne podatke pojedinaca u Kini. Njegov doseg nadilazi kineske granice, utječući i na domaća i na međunarodna poduzeća. Ako tvrtka prikuplja, pohranjuje, koristi ili obrađuje podatke koji pripadaju pojedincima u Kini - čak i bez fizičke prisutnosti u zemlji - mora se pridržavati propisa. To uključuje tvrtke koje pružaju proizvode ili usluge kineskim korisnicima ili analiziraju njihovo ponašanje.
Kad je riječ o prekograničnom prijenosu podataka, zakon nameće stroga ograničenja. Tvrtke moraju osigurati da se svaki inozemni primatelj podataka pridržava standarda zaštite ekvivalentnih onima prema PIPL-u. Osim toga, tvrtke su dužne imenovati domaćeg predstavnika u Kini koji će nadzirati usklađenost i rješavati sve zakonske odgovornosti.
Zahtjevi za šifriranje
Šifriranje je temelj tehničkih sigurnosnih mjera PIPL-a. Organizacije moraju slijediti Propisi o komercijalnom šifriranju, koji nalažu korištenje algoritama za šifriranje koje je odobrila vlada. Uobičajeni standardi šifriranja poput AES-a nisu dopušteni osim ako ih kineske vlasti posebno ne certificiraju. Nadalje, svi šifrirani osjetljivi podaci i ključevi za šifriranje moraju se pohraniti unutar kineskih granica. Za multinacionalne tvrtke to stvara značajne prepreke jer se moraju prilagoditi lokaliziranim algoritmima za šifriranje i sustavima upravljanja ključevima.
Primjenjivost na pohranu podataka u poduzeću
PIPL također propisuje jasna pravila za pohranu podataka poduzeća u Kini. Osobni podaci općenito moraju ostati unutar zemlje osim ako nisu ispunjeni strogi uvjeti za prekogranične prijenose. Iz opreza, tvrtke često klasificiraju nesigurne podatke kao "važne podatke", što aktivira dodatne sigurnosne protokole, uključujući napredne zahtjeve za šifriranje.
Kako bi se uskladile s propisima, tvrtke moraju implementirati mjere poput šifriranja i deidentifikacije kako bi zaštitile osobne podatke od kršenja, krađe ili slučajnog brisanja. Rutinske provjere usklađenosti su ključne, uključujući revizije praksi šifriranja, provjeru odobrenih algoritama i osiguravanje da ključevi za šifriranje ostanu unutar kineske jurisdikcije. S obzirom na složenost ovih zahtjeva, suradnja s lokalnim pravnim i sigurnosnim stručnjacima ključna je za rješavanje izazova usklađenosti.
Kazne za nepoštivanje propisa
Kazne za kršenje PIPL-a su visoke. Kineska uprava za kibernetički prostor (CAC) provodi zakon i može izreći značajne novčane kazne ili druge sankcije. Manji prekršaji mogu rezultirati kaznama do milijun juana (otprilike 150.000 američkih dolarskih dolara), a odgovorne osobe suočavaju se s kaznama između 10.000 i 100.000 juana (1.500–15.000 američkih dolarskih dolara). Ozbiljni prekršaji mogu dovesti do kazni i do 50 milijuna juana (otprilike 7,7 milijuna američkih dolarskih dolara) ili 513 tisuća američkih dolarskih dolara prihoda tvrtke iz prethodne godine, ovisno o tome što je veće. Pojedinci uključeni u teške prekršaje mogli bi se suočiti s do 7 godina zatvora.
Nedavni visokoprofilirani slučajevi pokazali su koliko te kazne mogu biti stroge, s izrečenim novčanim kaznama od više milijuna juana i zatvorskim kaznama. Kako bi izbjegle takve posljedice, tvrtke moraju uspostaviti robusne okvire za usklađenost, uključujući redovito praćenje, revizije i postupke obavještavanja o kršenju podataka. Ove su mjere ključne za ostanak na pravoj strani ovog strogog regulatornog krajolika.
7. Zakon o digitalnoj operativnoj otpornosti (DORA) – Europska unija (financijski sektor)
Zakon o digitalnoj operativnoj otpornosti (DORA) postavlja stroge standarde kibernetičke sigurnosti i operativne otpornosti za financijske subjekte koji posluju unutar Europske unije (EU). Njegov je cilj osigurati da financijski sektor može učinkovito odoljeti kibernetičkim prijetnjama i poremećajima.
Nadležnost i geografski opseg
DORA se primjenjuje na širok raspon financijskih subjekata unutar EU-a, uključujući banke, investicijske tvrtke, kreditne institucije, pružatelje usluga kripto imovine i platforme za crowdfunding. Također se proširuje na treće strane pružatelje ICT usluga, čak i one sa sjedištem izvan EU-a, sve dok opslužuju financijske institucije EU-a. To uključuje ključne pružatelje usluga poput agencija za kreditni rejting i tvrtki za analizu podataka. Počevši od 2025. godine, europska nadzorna tijela – ESMA, EBA i EIOPA – identificirat će ključne treće strane pružatelje ICT usluga za pojačani nadzor. Dok manji subjekti mogu imati koristi od pojednostavljenih zahtjeva za usklađenost, većina organizacija mora se pridržavati punog opsega uredbe.
Zahtjevi za šifriranje
DORA primjenjuje sveobuhvatan pristup šifriranju podataka, zahtijevajući od financijskih subjekata da osiguraju podatke u tri države: u mirovanju, u tranzitu i u upotrebiOvaj posljednji zahtjev, šifriranje podataka tijekom upotrebe, posebno je značajan jer nije široko rasprostranjen diljem svijeta.
Uredba nalaže financijskim subjektima da uspostave ICT sigurnosne politike koje daju prioritet dostupnosti, autentičnosti, integritetu i povjerljivosti podataka. To uključuje osmišljavanje strategija šifriranja temeljenih na riziku i provođenje redovitih procjena za rješavanje rastućih prijetnji kibernetičkoj sigurnosti.
„Financijski subjekti moraju osmisliti, nabaviti i implementirati politike, postupke, protokole i alate za sigurnost ICT-a kojima je cilj osigurati otpornost, kontinuitet i dostupnost ICT sustava, posebno onih koji podržavaju kritične ili važne funkcije, te održavati visoke standarde dostupnosti, autentičnosti, integriteta i povjerljivosti podataka, bilo da su u stanju mirovanja, upotrebe ili prijenosa.“ – DORA, članak 9.2
DORA također potiče financijske subjekte da dijele informacije o kibernetičkim prijetnjama i ranjivostima unutar pouzdanih mreža kako bi se ojačala otpornost u cijelom sektoru.
Primjenjivost na pohranu podataka u poduzeću
Uredba stavlja snažan naglasak na sustave za pohranu podataka u poduzećima, posebno za institucije koje upravljaju ključnim financijskim podacima. Organizacije moraju osigurati da njihova rješenja za pohranu podataka uključuju robusne mogućnosti sigurnosnog kopiranja, mehanizme oporavka i kontinuirano praćenje trećih strana.
Na primjer, tvrtke koje koriste Serverionova hosting rješenja – poput namjenskih poslužitelja, VPS-a ili usluga kolokacije – moraju osigurati da su ti sustavi usklađeni sa strogim sigurnosnim i otpornim zahtjevima DORA-e. Redovite revizije i automatizirane provjere usklađenosti ključne su za održavanje pridržavanja propisa. Ove mjere naglašavaju važnost strategija sigurne pohrane i oporavka u cijelom financijskom sektoru.
Kazne za nepoštivanje propisa
Nepoštivanje DORA-e može rezultirati visokim kaznama. Financijske institucije mogu se suočiti s kaznama do 2% njihovog ukupnog godišnjeg globalnog prometa ili 1% njihovog prosječnog dnevnog prometaZa velike organizacije to bi moglo značiti desetke milijuna dolara kazni. Osim toga, specifične kazne uključuju:
- Kazne do $1,09 milijuna za rukovoditelje i tvrtke.
- Kritični pružatelji ICT usluga trećih strana mogu se suočiti s kaznama do $5,45 milijuna za tvrtke ili $545,000 za pojedince.
- Propusti u kibernetičkoj sigurnosti mogu dovesti do kazni do $2,18 milijuna ili 2% godišnjeg prometa.
- Kašnjenje u prijavi incidenta može rezultirati kaznama koje počinju od $272,000.
„Iako kibernetička sigurnost ostaje prioritet, financijske institucije trebaju podići odgovornost za te rizike na višu razinu. Mnoge financijske institucije (FI) još uvijek ne shvaćaju u potpunosti model zajedničke odgovornosti, pogrešno vjerujući da otpornost SaaS usluga leži isključivo na dobavljaču.“ – Wayne Scott, voditelj rješenja za usklađenost s propisima u Escodeu
Analitičari procjenjuju da od 17. siječnja 2025. 99% primjenjivih financijskih subjekata nije bilo spremno za usklađenost s DORA-om. Kako bi izbjegle ove ozbiljne kazne, organizacije moraju dati prioritet šifriranju, provoditi redovite revizije kibernetičke sigurnosti, osnovati namjenske timove za usklađenost, obučiti rukovoditelje o njihovim pravnim odgovornostima i surađivati s iskusnim pružateljima usluga kibernetičke sigurnosti kako bi osigurale otpornost sustava i točno izvještavanje o incidentima.
Tablica usporedbe zakona o šifriranju podataka
Zakoni o šifriranju podataka uvelike se razlikuju ovisno o jurisdikciji. Svaki propis pristupa zahtjevima za šifriranje, kaznama i tehnikama provedbe na svoj način. Tablica u nastavku ističe ključne detalje ovih zakona, pružajući korisnu osnovu za strategije usklađenosti obrađene u kasnijim odjeljcima.
| Zakon | Nadležnost | Zahtjevi za šifriranje | Pokrivena stanja podataka | Maksimalne kazne | Primarne industrije |
|---|---|---|---|---|---|
| GDPR | Europska unija | "Odgovarajuće tehničke mjere" uključujući šifriranje | U mirovanju, u tranzitu | 20 milijuna eura ili 4% globalnog prometa | Svi sektori |
| CPRA | Kalifornija, SAD | "Razumne sigurnosne procedure" | U mirovanju, u tranzitu | $7.500 po namjernom prekršaju | Svi sektori |
| LGPD | Brazil | "Tehničke zaštitne mjere" uključujući šifriranje | U mirovanju, u tranzitu | 2% prihoda, maks. ~$9,3 milijuna | Svi sektori |
| PIPEDA | Kanada | "Odgovarajuće zaštitne mjere" | U mirovanju, u tranzitu | N/A | Svi sektori |
| DPDPA | Indija | "Razumne sigurnosne prakse" | U mirovanju, u tranzitu | N/A | Svi sektori |
| PIPL | Kina | "Tehničke mjere" uključujući šifriranje | U mirovanju, u tranzitu | N/A | Svi sektori |
| DORA | EU (financijski) | Obavezno šifriranje | U mirovanju, u tranzitu | N/A | Samo financijske usluge |
Ključne razlike u pristupu
Zahtjevi za šifriranje razlikuju se po tome koliko su jasno definirani. Na primjer, GDPR poziva na "odgovarajuće tehničke mjere", nudeći fleksibilnost u provedbi. S druge strane, DORA izričito nalaže šifriranje, posebno za financijske usluge. Ova razlika odražava različite razine specifičnosti koje pružaju različiti propisi.
Europsko bankarsko tijelo nudi detaljne smjernice za usklađenost, navodeći:
„Pružatelji usluga plaćanja trebali bi osigurati da se prilikom razmjene osjetljivih podataka putem interneta primjenjuje sigurna enkripcija od početka do kraja između komunikacijskih strana tijekom odgovarajuće komunikacijske sesije, kako bi se zaštitila povjerljivost i integritet podataka, koristeći snažne i široko priznate tehnike enkripcije.“
Kaznene strukture
Financijske posljedice neusklađenosti značajno se razlikuju. GDPR nameće neke od najviših kazni, s kaznama koje dosežu i do 20 milijuna eura ili 4% globalnog prometa. U međuvremenu, CPRA koristi model kažnjavanja po prekršaju, što može rezultirati povećanjem kazni za ponovljene prekršaje. Za ostale propise, detalji kazni su manje jasno definirani, što naglašava potrebu za razumijevanjem lokalnih praksi provedbe.
Geografski i industrijski opseg
Iako se većina propisa primjenjuje na sve industrije unutar njihovih jurisdikcija, DORA je iznimka, fokusirajući se isključivo na financijske usluge. Ovaj ciljani pristup odražava ključnu važnost sigurnosti podataka u financijskom poslovanju. Zanimljivo je da je studija tvrtke Sectigo otkrila da 25% europskih banaka još uvijek nema proširenu validaciju. SSL certifikati, ističući kontinuirane izazove u ispunjavanju sigurnosnih standarda.
Varijacije u provedbi
Filozofije provedbe također se razlikuju. Neki zakoni omogućuju fleksibilnost prilagodbe tehnologijama koje se razvijaju, dok drugi, poput DORA-e, pružaju stroge smjernice, poput zahtjeva za sigurnom enkripcijom od početka do kraja za razmjenu podataka na internetu. Ove razlike naglašavaju važnost prilagođavanja strategija enkripcije kako bi se uskladile sa specifičnim regulatornim zahtjevima.
Za tvrtke koje posluju u više jurisdikcija, razumijevanje ovih nijansi je ključno. Bez obzira koriste li se namjenski poslužitelji, VPS ili usluge kolokacije od pružatelja usluga poput Serveriona, usklađivanje praksi šifriranja s lokalnim zakonima ključan je korak prema usklađenosti.
Kako poduzeća mogu ispuniti zahtjeve usklađenosti
Kako bi se pridržavale zahtjeva za usklađenost s enkripcijom, poduzeća trebaju više od samo naprednih sigurnosnih alata – potreban im je strukturirani okvir za usklađenost. To uključuje kontinuirano praćenje, redovite revizije, temeljitu dokumentaciju i dosljednu provedbu politika. Evo kako organizacije mogu učinkovito ispuniti te zahtjeve.
Uspostavljanje redovnih revizijskih praksi
Revizije su okosnica svake strategije usklađenosti. I interne i eksterne revizije igraju vitalne uloge. Interne revizije koriste duboko znanje organizacije kako bi identificirale potencijalne nedostatke, dok eksterne revizije donose svježu, nepristranu perspektivu koja može otkriti previđene ranjivosti. Zajedno, ove revizije osiguravaju da se sigurnosne mjere ne samo provode, već i da ostanu učinkovite tijekom vremena.
Izgradnja snažnih sustava dokumentacije
Jasna i detaljna dokumentacija ključna je za usklađenost s propisima. Kao što kaže Peter Schawacker, poslovni inovator i strateg za kibernetičko zapošljavanje i regrutiranje te bivši CISO:
"Politika je eksplicitna izjava o namjeri menadžmenta. To je vodeća zvijezda organizacije. Bez nje je teško ili nemoguće postići usklađenost. A odgovornost postaje vrlo nezgodno pitanje ako uopće možete pozvati ljude na odgovornost."
Organizacije moraju dokumentirati upravljanje ključevima za šifriranje, protokole za rukovanje podacima i planove za odgovor na incidente. Pravilno održavani planovi za odgovor na incidente, na primjer, mogu značajno smanjiti vrijeme zastoja i ublažiti utjecaj kršenja sigurnosti. To je posebno važno jer se predviđa da će globalni troškovi kibernetičkog kriminala do 2025. dosegnuti 10,5 bilijuna godišnje.
Dosljedno provođenje politika
Dosljednost u provođenju politika ključna je za izbjegavanje nedostataka u usklađenosti. Uključivanje zaposlenika iz različitih odjela u razvoj politika osigurava da su smjernice praktične i relevantne. Redovita ažuriranja ovih politika pomažu organizacijama da ostanu usklađene s rastućim prijetnjama i regulatornim promjenama, čineći usklađenost kontinuiranim procesom, a ne jednokratnim naporom.
Odabir prave infrastrukture
Prava infrastruktura može olakšati upravljanje usklađenošću. Pružatelji hostinga s ugrađenim sigurnosnim značajkama, kao što su DDoS zaštita, SSL certifikati i sigurno poslovanje podatkovnih centara, nude snažnu osnovu. Na primjer, Serverionova globalna infrastruktura podržava usklađenost s njegovim robusnim sigurnosnim praksama i opcijama smještaja podataka, što poduzećima olakšava ispunjavanje regulatornih standarda.
Obuka i ugradnja sigurnosti u kulturu
Redoviti programi obuke osiguravaju da zaposlenici razumiju svoju ulogu u održavanju standarda šifriranja i usklađenosti. Poticanjem kulture u kojoj je sigurnost zajednička odgovornost, organizacije mogu stvoriti okruženje u kojem usklađenost postaje druga priroda.
Kontinuirano praćenje i poboljšanje
Kontinuirano praćenje je ključno jer se i sustavi i kibernetičke prijetnje razvijaju. To uključuje pregled kontrola pristupa, upravljanje rotacijama ključeva za šifriranje i obnavljanje sigurnosnih certifikata. Automatizirani alati mogu u stvarnom vremenu označiti potencijalne probleme s usklađenošću, omogućujući timovima da brzo poduzmu korektivne mjere i kontinuirano jačaju svoju sigurnosnu poziciju.
Zaključak
Snalaženje u globalnim zakonima o šifriranju podataka nije samo označavanje pravnih potvrda – to je ključan korak u zaštiti vašeg poslovanja od ogromnih financijskih udara i štete po ugled. Brojke govore mnogo: tvrtke mogu izgubiti do 25% njihovog tržišnog udjela nakon kibernetičkog napada, a troškovi neusklađenosti su vrtoglavi 2,71 puta više nego troškovi potrebni za održavanje usklađenosti. Ako to ne naglasi hitnost, ništa neće.
Regulatori udvostručuju provedbu, a posljedice neuspjeha su teže nego ikad. Nedavni slučajevi ističu visoku cijenu zanemarivanja. Uzmimo za primjer Solara Medical Supplies – nakon što su otkrili osjetljive zdravstvene podatke više od 114 000 pojedinaca, suočili su se s Kazna od $3 milijuna u siječnju 2025. Ovaj slučaj je ozbiljan podsjetnik da izbjegavanje usklađenosti ne štedi novac; dugoročno košta puno više.
Odvjetnica Joan Wrabetz to savršeno objašnjava: privatnost se od pukog zakonskog zahtjeva promijenila u središnja poslovna strategija, a enkripcija sada služi kao ključna prednost za vodeće na tržištu.
Kako bi ublažile te rizike, tvrtke moraju djelovati odmah ulaganjem u sigurnu infrastrukturu. To znači partnerstvo s pružateljima usluga hostinga koje pružaju ugrađene sigurnosne značajke poput DDoS zaštita, SSL certifikati, i sigurne podatkovne centre s globalnom pokrivenošću. Na primjer, Serverion nudi robusne sigurnosne mjere i fleksibilne mogućnosti smještaja podataka, pomažući tvrtkama da ispune složene regulatorne zahtjeve bez žrtvovanja operativne učinkovitosti.
Kako vlade provode stroža pravila zaštite podataka, organizacije koje daju prioritet enkripciji i sigurnim rješenjima za pohranu pozicionirat će se kao lideri u današnjem digitalnom gospodarstvu.
FAQ
Po čemu se razlikuju zahtjevi za šifriranje podataka GDPR-a i CPRA-e?
The Opća uredba o zaštiti podataka (GDPR) i Zakon o pravima privatnosti Kalifornije (CPRA) imaju različite pristupe kada je u pitanju šifriranje podataka i njihov opći fokus. GDPR nameće strože zahtjeve, obvezujući organizacije da usvoje tehničke i organizacijske mjere, poput enkripcije, za zaštitu osobnih podataka i sprječavanje povreda. Njegov opseg je širok, pokriva sve osobne podatke stanovnika EU-a, a naglašava proaktivan stav o sigurnosti podataka.
Nasuprot tome, CPRA se više naginje prema prava potrošača i transparentnost za stanovnike Kalifornije. Iako potiče šifriranje kao dobru praksu, ne čini ga strogim zahtjevom. Umjesto toga, CPRA se uvelike usredotočuje na obavještavanje o kršenju sigurnosti i upravljanje rizicima nakon što se incident dogodio, umjesto na provođenje strogih preventivnih mjera. Ove razlike ističu ključne prioritete svake uredbe – GDPR ima za cilj robusnu zaštitu podataka, dok CPRA daje prioritet kontroli i odgovornosti potrošača nakon kršenja sigurnosti.
Koje korake trebaju poduzeti tvrtke kako bi osigurale da su njihove metode šifriranja u skladu s međunarodnim zakonima o zaštiti podataka?
Kako bi se uskladile s međunarodnim zakonima o zaštiti podataka, tvrtke moraju implementirati jaki standardi šifriranjaZa simetrično šifriranje, AES-256 je pouzdan izbor, dok RSA s 2048-bitnim ili većim ključevima dobro funkcionira za asimetrično šifriranje. Jednako važno je upravljanje ključevima za šifriranje, što uključuje sigurno generiranje, pohranjivanje, distribuciju i opoziv ključeva kako bi se spriječio neovlašteni pristup.
Također je ključno biti u tijeku sa specifičnim pravnim okvirima, kao što je GDPR, koji ističe sigurnu obradu podataka i prepoznaje šifriranje kao vitalnu tehničku zaštitu. Redovito pregledavanje i ažuriranje protokola šifriranja u skladu s trenutne prakse u industriji osigurava da tvrtke ostanu usklađene u različitim regijama. Fokusiranje na sigurnost i fleksibilnost ključno je za praćenje stalno promjenjivog krajolika propisa o zaštiti podataka.
Koji su rizici za tvrtke koje se ne pridržavaju zakona o šifriranju podataka poput DORA-e i PIPL-a?
Nepoštivanje zakona o šifriranju podataka, kao što su DORA i PIPL može dovesti do ozbiljnih posljedica za tvrtke. Na primjer, prema DORA-i, tvrtke bi se mogle suočiti s kaznama koje dosežu do 2% njihovog globalnog godišnjeg prometa. Slično tome, kršenja PIPL-a mogu rezultirati kaznama i do 50 milijuna jena (oko 14T7,2 milijuna) ili 5% godišnjeg prihoda.
Ali posljedice se ne zaustavljaju samo na financijskim kaznama. Tvrtke se mogu suočiti i s pravne radnje, suspenzije licenci i operativni poremećaji, a sve to može narušiti financijsko zdravlje i narušiti njihov ugled. Održavanje usklađenosti ne znači samo izbjegavanje tih rizika – to je i način jačanja povjerenja s kupcima i partnerima pokazujući snažnu predanost zaštiti podataka.
