A 7 legfontosabb adattitkosítási törvény vállalatok számára
Az adattitkosítás már nem opcionális. A kiberbűnözés okozta károk várhatóan... $10,5 billió 2025-re és a szabálytalansági bírságok elérik a több millió dollárA titkosítási törvények megértése kritikus fontosságú a vállalatok számára. Ez az útmutató hét kulcsfontosságú szabályozást ismertet, amelyek a globális adatvédelmet alakítják:
- GDPR (EU): A személyes adatok titkosítását ösztönzi, akár bírsággal is 20 millió euró vagy 41 trillió euró éves bevétel.
- CPRA (Kalifornia, USA)Titkosítást igényel; a titkosítatlan adatok megsértése pereket tesz lehetővé.
- LGPD (Brazília): Olyan biztosítékokat követel, mint a titkosítás; akár ...-ig terjedő büntetéseket is kiszabhatnak rá. 21 TP3 billió bevétel.
- PIPEDA (Kanada)A személyes adatok védelme érdekében titkosítást ajánl.
- DPDPA (India): Előírja az „észszerű biztonsági gyakorlatok” alkalmazását, beleértve a titkosítást is.
- PIPL (Kína): A határain belüli adatokhoz kormány által jóváhagyott titkosítás szükséges.
- DORA (EU pénzügyi szektor)Szigorú titkosítási szabványok pénzügyi szervezetek számára, amelyek kiterjednek az inaktív, az átvitt és a használatban lévő adatokra.
Gyors összehasonlítás:
| Törvény | Illetékesség | Titkosítási megbízás | Maximális büntetés |
|---|---|---|---|
| GDPR | EU | Erősen ajánlott | 20 millió euró vagy 41 TB/3 milliárd bevétel |
| CPRA | Kalifornia, USA | Szükséges a behatolás elleni védelemhez | $7,500/megsértés |
| LGPD | Brazília | Szükséges műszaki biztosítékok | 21 TP3 billió bevétel |
| PIPEDA | Kanada | Ösztönözve, nem kötelező | CAD $100 000/megsértés |
| DPDPA | India | „Ésszerű biztosítékok” | ₹250 Cr vagy 4% forgalom |
| PIPL | Kína | Kötelezően jóváhagyott titkosítás | 50 millió jen vagy 51 000 000 font sterling bevétel |
| DÓRA | EU (Pénzügyi szektor) | Kötelező a pénzügyi adatokhoz | 2% éves forgalom |
A titkosítás megvédi a vállalkozásokat a jogsértésektől, a bírságoktól és a hírnévkárosodástól. Olvasson tovább, hogy részletesen megismerje ezeket a törvényeket és a megfelelés módját.
9 adatvédelmi szabályozás, amit tudnod kell
1. Általános adatvédelmi rendelet (GDPR) – Európai Unió
A 2018 májusa óta hatályos GDPR átalakította a személyes adatok globális kezelését.
Joghatóság és földrajzi hatály
A GDPR nem korlátozódik Európára – globális kiterjedésű. Minden szervezetnek, székhelyétől függetlenül, be kell tartania a rendeletet, ha EU-s lakosok személyes adatait kezeli. Például az EU-s ügyfeleket kiszolgáló, amerikai székhelyű vállalatokra vonatkoznak ezek a szabályok. A rendelet elválasztja a felelősségi köröket a következők között: adatkezelők (ki dönti el, hogyan és miért dolgozzák fel az adatokat) és adatfeldolgozók (akik az adatkezelők nevében kezelik az adatokat). Ez a megkülönböztetés különösen releváns a tárhelyszolgáltatók és a tárhelyszolgáltatásokat igénybe vevő vállalkozások számára.
Titkosítási követelmények (kötelező vagy javasolt)
Bár a titkosítást a GDPR nem írja elő kifejezetten, határozottan ajánlott kulcsfontosságú technikai biztosítékként. A 32. cikk megfelelő technikai és szervezési intézkedéseket ír elő a személyes adatok védelme érdekében, és a titkosítást gyakran javasolják az egyik leghatékonyabb módszerként. Ez mindkettőre vonatkozik inaktív adatok és továbbított adatokAz olyan hatóságok, mint az Egyesült Királyság Információs Biztosának Hivatala, a következők használatát javasolják: titkosítási megoldások amelyek megfelelnek olyan szabványoknak, mint a FIPS 140-2 és a FIPS 197.
A titkosítás egyik fő előnye a biztonsági incidensek bejelentésére gyakorolt hatása. A szervezeteknek a GDPR értelmében 72 órán belül jelenteniük kell az adatvédelmi incidenseket. Ha azonban a titkosított adatok veszélybe kerülnek, és a támadók számára olvashatatlanná válnak, ez a követelmény eltekinthető.
Alkalmazhatóság vállalati tárolókra
A különféle tárolási környezetekben adatokat kezelő vállalatok számára a GDPR-megfelelőség kihívást jelenthet. A szabályozás a tárolt személyes adatokra vonatkozik dedikált szerverek, felhőplatformok, vagy hibrid infrastruktúrákA vállalatoknak az adatokat érzékenységük alapján kell osztályozniuk a megfelelő titkosítási intézkedések meghatározásához. Különös gondossággal kell eljárni a határokon átnyúló adatátvitel esetén, mivel a GDPR szigorú szabályokat ír elő a személyes adatok EU/EGT-n kívüli, megfelelő biztosítékok nélküli továbbítására. A titkosítás kritikus fontosságú a biztonságos nemzetközi adatátvitel biztosításához. A tárhelyszolgáltatók, beleértve az olyanokat is, mint a Serverion, össze kell hangolniuk titkosítási gyakorlatukat a GDPR szabványokkal, hogy támogassák ügyfeleik megfelelési erőfeszítéseit.
Szankciók a meg nem felelésért
A GDPR egy többszintű büntetési rendszert vezet be, amely a meg nem felelés anyagilag megterhelővé teszi. A kisebb jogsértések akár 11,8 millió TP4T vagy a globális éves bevétel 21TP3 billiójának megfelelő bírságot is vonhatnak maguk után, attól függően, hogy melyik a magasabb. A súlyos jogsértések akár 123,6 millió TP4T vagy a globális éves bevétel 41TP3 billiójának megfelelő bírságot is vonhatnak maguk után. A közelmúltbeli esetek jól mutatják a szabályozás szigorúságát. 2023-ban az Ír Adatvédelmi Bizottság 1,2 milliárd TP4T bírságot szabott ki a Metára az adatátvitel védelmének elmulasztása miatt. Hasonlóképpen, a H&M 2020-ban 41,8 millió TP4T bírságot kapott az alkalmazottak jogellenes megfigyelése miatt.
A szabályok be nem tartása nem csupán bírságokhoz vezethet. A szervezetek működési korlátozásokkal szembesülhetnek, például az adatfeldolgozás leállítására vonatkozó utasításokkal, és felelősségre vonhatók az érintett személyek által követelt károkért is.
„Az általános adatvédelmi rendelet (GDPR) a világ legszigorúbb adatvédelmi és biztonsági törvénye.” – GDPR.EU
A tárhely- és infrastruktúra-szolgáltatók számára ezek a büntetések hangsúlyozzák a robusztus titkosítási stratégiák szükségességét működésük védelme és az ügyfelek megfelelőségi követelményeinek való megfelelésének biztosítása érdekében.
Ezután megvizsgáljuk a kaliforniai adatvédelmi törvényt (California Privacy Rights Act), és azt, hogy az hogyan tér el a vállalatok adatvédelméhez való hozzáállásában.
2. Kaliforniai adatvédelmi törvény (CPRA) – Egyesült Államok
2023. január 1-jétől a CPRA megerősíti a kaliforniai fogyasztói adatvédelmi törvényt (CCPA), szigorúbb szabályokat vezetve be a kaliforniai lakosok személyes adatait kezelő vállalkozások számára.
Joghatóság és földrajzi hatály
A CPRA kifejezetten a következőkre összpontosít: profitorientált vállalkozások amelyek személyes adatokat gyűjtenek kaliforniai lakosoktól, és megfelelnek bizonyos kritériumoknak. Ezek a következők:
- Olyan vállalatok, amelyek éves bruttó árbevétele meghaladja a $25 millió.
- Olyan vállalkozások, amelyek személyes adatokat vásárolnak, adnak el vagy osztanak meg 100 000 vagy több Kaliforniai lakosok, háztartások vagy eszközök.
- jövedelemszerző entitások 50% vagy több kaliforniai fogyasztók személyes adatainak eladásából vagy megosztásából származó éves bevételük egy részét.
A globális hatókörű GDPR-ral ellentétben a CPRA kizárólag a kaliforniai lakosokat kiszolgáló vállalatokra összpontosít, függetlenül azok fizikai helyétől. A CPRA egyik kulcsfontosságú jellemzője, hogy adatminimalizálási elv, amely az adatgyűjtést és -megőrzést az üzleti műveletekhez feltétlenül szükséges mértékre korlátozza.
Titkosítási követelmények (kötelező vagy javasolt)
A CPRA 1798.150. szakasza előírja a vállalkozások számára, hogy szigorú biztonsági intézkedéseket vezessenek be a személyes adatok védelme érdekében. Ha titkosítatlan adatokhoz férnek hozzá, a fogyasztóknak joguk van polgári pert indítani. A szabályozás kimondja:
„Bármely fogyasztó, akinek a nem titkosított és nem szerkesztett személyes adataihoz jogosulatlan hozzáférés, kiszivárgás, ellopás vagy nyilvánosságra hozatal történik a vállalkozás által az ésszerű biztonsági eljárások és gyakorlatok bevezetésére és fenntartására vonatkozó kötelezettség megszegése következtében, polgári pert indíthat.”
Kaliforniai törvények 128 bites titkosítás bizonyos rendszerek minimumszabványaként, a kriptográfiai modulokat pedig tanúsíttatni kell a FIPS 140-2 szabványoknak. A CPRA előírja mind az átvitt, mind az inaktív adatok titkosítását, és a vállalkozásokat arra ösztönzik, hogy a titkosítási kulcsokat a titkosított adatoktól elkülönítve tárolják. Ezek az intézkedések kritikus fontosságúak a megfelelőség biztosítása és a vállalati tárolórendszerek védelme érdekében.
Alkalmazhatóság vállalati tárolókra
A vállalati tárolórendszereknek meg kell felelniük a CPRA szigorú követelményeinek. A vállalkozásoktól elvárás a következő teljesítmény: adatvédelmi értékelések az adatvédelmi kockázatok azonosítása és a szükséges óvintézkedések bevezetése minden tárolási környezetben.
A törvény előírja a vállalatok számára a személyes adatok anonimizálását vagy összesítését is, ami befolyásolja az adatok tárolását és kezelését. A tárhelyszolgáltatásokat igénybe vevő szervezeteknek biztosítaniuk kell, hogy szolgáltatóik megfeleljenek a CPRA előírásainak, ami egy elszámoltathatósági láncot hoz létre az adatfeldolgozási életciklus során. Például a Serverion szolgáltatásaira támaszkodó vállalkozásoknak biztosítaniuk kell a titkosítási szabványok betartását minden konfigurációban.
A megfelelés kulcsfontosságú elemei közé tartozik a rendszeres biztonsági auditok elvégzése és a szigorú hozzáférés-ellenőrzés érvényesítése. Ezenkívül a CPRA biztosítja a kaliforniai lakosok számára a jogot, hogy kilépjenek az automatizált döntéshozatalból, olyan rendszereket írva elő, amelyek képesek azonosítani és elkülöníteni az ilyen célokra használt adatokat.
Szankciók a meg nem felelésért
A CPRA be nem tartása hatósági bírságokhoz és magánperekhez vezethet. A nem megfelelő biztonsági intézkedések okozta adatvédelmi incidensek által érintett fogyasztók kártérítést követelhetnek, amely a következőktől függ: $107 - $799 esetenként.
Ahogy Alfred Brunetti, a Porzio, Bromberg és Newman PC igazgatója elmagyarázza:
„Az a vállalkozás, szolgáltató vagy más személy, akit megsért a CPRA által módosított CCPA-ban, jogsértésenként legfeljebb $2,500, szándékos jogsértésenként pedig legfeljebb $7,500 polgári jogi bírsággal sújtható.”
A közelmúltbeli végrehajtási intézkedések rávilágítanak ezen szabályozások betartásának fontosságára. Például 2022-ben a Sephora 1 TP4 1,2 millió tizedes naira fizetett a CCPA megsértésével kapcsolatos panaszok rendezése érdekében, 2024-ben pedig a DoorDash 1 TP4 375 000 tizedes naira bírsággal nézhetett szembe az ügyféladatok kifejezett hozzájárulás nélküli megosztása miatt. Nevezetesen, a CPRA eltörölte a CCPA által korábban engedélyezett 30 napos gyógyulási időszakot, ami azt jelenti, hogy a vállalatok azonnali büntetésekre számíthatnak, ha a jogsértéseket nem kezelik haladéktalanul.
Ezután megvizsgáljuk a brazil Lei Geral de Proteção de Dadost, hogy feltárjuk, hogyan közelítik meg a titkosítást Latin-Amerikában.
3. Lei Geral de Proteção de Dados (LGPD) – Brazília
A brazil Lei Geral de Proteção de Dados (LGPD) szigorú szabályokat határoz meg, amelyeket erősen az EU GDPR inspirált a személyes adatok védelme érdekében.
Joghatóság és földrajzi hatály
Az LGPD-nek van egy széles körű elérés, amely a világ bármely pontján működő szervezetekre vonatkozik, ha Brazíliában magánszemélyek személyes adatait kezelik. Ez magában foglalja a magánszemélyek vagy szervezetek – akár állami, akár magánszektorbeli – általi adatfeldolgozást. Ha vállalkozásának ügyfelei, alkalmazottai, alvállalkozói vagy partnerei vannak Brazíliában, az LGPD betartása kötelező.
A törvény a következőkre vonatkozik:
- Brazíliában végzett adatfeldolgozási tevékenységek.
- Brazíliában gyűjtött adatok.
- Brazíliában élő személyek személyes adatai, függetlenül attól, hogy hol található az adatfeldolgozó.
Titkosítási követelmények (kötelező vagy javasolt)
Bár az LGPD nem írja elő kifejezetten a titkosítást, hangsúlyozza a szükségességét ésszerű biztonsági intézkedések a személyes adatok védelme érdekében. A 46. cikk kimondja, hogy a szervezeteknek technikai, biztonsági és adminisztratív biztosítékokat kell alkalmazniuk a jogosulatlan hozzáférés megakadályozása érdekében. A teljesen anonimizált vagy helyreállíthatatlanul titkosított adatok nem tartoznak ezen szabályozások hatálya alá.
A megfelelés érdekében a szervezeteknek stratégiák kombinációját kell megvalósítaniuk, például:
- Biztonsági szabályzatok és incidensekre való reagálási tervek.
- Tudatosságnövelő képzés alkalmazottak számára.
- Hozzáférés-vezérlés és egyéb technikai intézkedések.
A Serverionhoz hasonló tárhelymegoldásokat használó vállalatok számára az erős titkosítási protokollok fenntartása elengedhetetlen az LGPD szabványok teljesítéséhez. Ezek az intézkedések elengedhetetlenek az adatok védelme érdekében a különböző tárolási platformokon.
Alkalmazhatóság vállalati tárolókra
A vállalati tárolórendszereknek összhangban kell lenniük az LGPD biztonsági irányelveivel. Ez azt jelenti, hogy a vállalkozásoknak dokumentálniuk kell az adatok gyűjtésének, felhasználásának, tárolásának és megosztásának módját. A nemzetközi adatátvitelt is értékelniük kell a törvényi előírások betartása érdekében.
A főbb lépések a következők:
- Adatvédelmi keretrendszerek létrehozása.
- Rendszeres adatvédelmi hatásvizsgálatok (DPIA-k) lefolytatása.
- Adatvédelmi tisztviselő (DPO) kinevezése a megfelelőségi erőfeszítések felügyeletére.
- Adatvédelmi incidensekre vonatkozó reagálási tervek készítése.
- Alkalmazottak képzése az adatvédelmi legjobb gyakorlatokról.
A szolgáltatóknak az adatfeldolgozási lánc teljes hosszában meg kell felelniük az LGPD-nek megfelelő biztonsági szabványoknak.
Szankciók a meg nem felelésért
Az LGPD be nem tartása súlyos bírságokhoz vezethet – akár a vállalat nettó bevételének 21 TP3 billióját is elérheti Brazíliában, szabálysértésenként legfeljebb 1 TP4 billió billióban. További büntetések a következők:
- Napi bírságok a megoldatlan problémákért.
- A jogsértések nyilvános közzététele.
- Személyes adatok zárolása vagy törlése.
- Az adatkezelési tevékenységek felfüggesztése vagy betiltása.
A közelmúltbeli végrehajtási esetek rávilágítottak a törvény fogaira. Például 2023. július 6-án a Telekall Infoservice-t 14 400 BRL (nagyjából $2938) bírsággal sújtották több jogsértés miatt, beleértve az adatvédelmi tisztviselő kinevezésének elmulasztását és az adatfeldolgozás megfelelő jogalapjának hiányát. Hasonlóképpen, 2023 októberében a Santa Catarina Állami Egészségügyi Minisztériumot is megbüntették olyan problémák miatt, mint a gyenge biztonsági intézkedések és a késedelmes incidensjelentés.
A pénzügyi büntetéseken túl a szabályok be nem tartása az érintett személyek pereit is eredményezheti, károsíthatja a vállalat hírnevét, sőt akár az adatfeldolgozási jogosultságok elvesztését is. A Brazíliában működő vállalkozások számára az LGPD követelményeinek való megfelelés nem csak a bírságok elkerülését jelenti – elengedhetetlen a bizalom és a működési folytonosság fenntartásához.
Ezután megvizsgáljuk, hogyan kezeli a kanadai PIPEDA a hasonló adatvédelmi kihívásokat.
4. Személyes adatok védelméről és az elektronikus dokumentumokról szóló törvény (PIPEDA) – Kanada
Kanada Személyes adatok védelméről és az elektronikus dokumentumokról szóló törvény (PIPEDA) szabályokat határoz meg arra vonatkozóan, hogy a magánszektorbeli szervezetek hogyan kezelik a személyes adatokat. A tisztességes információkezelés elvein alapulva célja, hogy megvédje az egyéni magánéletet, miközben támogatja a hatékony üzleti működést.
Joghatóság és földrajzi hatály
A PIPEDA a Kanadában működő vállalkozásokra vonatkozik, amelyek személyes adatokat kezelnek tartományok közötti vagy nemzetközi tranzakciók során. Az ország egész területén szabályozza a magánszektorbeli szervezeteket, és magában foglalja a szövetségileg szabályozott iparágakban dolgozó alkalmazottak személyes adatait is. Ha vállalkozása olyan adatokat dolgoz fel, amelyek átlépik a tartományi vagy nemzetközi határokat, a PIPEDA betartása kötelező.
Titkosítási követelmények (kötelező vagy javasolt)
A PIPEDA nem ír elő konkrét biztonsági technológiákat, de határozottan ösztönzi a szervezeteket, hogy biztosítsák a személyes adatok védelmét. 7. alapelv (Védőintézkedések)A vállalkozásoknak kötelességük megvédeni a személyes adatokat az olyan kockázatoktól, mint az elvesztés, ellopás vagy jogosulatlan hozzáférés. A titkosítás az egyik ajánlott intézkedés a bizalmas információk tárolás és továbbítás közbeni védelmére. Ez azonban csak egy darab a kirakósból. Egy átfogó biztonsági stratégiának olyan eszközöket is tartalmaznia kell, mint az erős jelszavak, a tűzfalak és a rendszeres frissítések, a fizikai és szervezeti ellenőrzésekkel kombinálva.
A biztosítékok megválasztása olyan tényezőktől függ, mint az adatok érzékenysége, mennyisége, elosztásának módja, a tárolási formátum és a lehetséges kockázatok. Az olyan tárhelymegoldásokat használó vállalatok számára, mint a Serverion, a robusztus titkosítás bevezetése az adatfeldolgozási tevékenységek során segíthet a PIPEDA rugalmas biztonsági elvárásainak teljesítésében.
A biztonsági protokollok rendszeres felülvizsgálata elengedhetetlen a hatékony védelem fenntartásához. Ezeknek az intézkedéseknek zökkenőmentesen integrálódniuk kell egy szélesebb adatvédelmi kezelési keretrendszerbe annak biztosítása érdekében, hogy a vállalati tárolórendszerek megfeleljenek a megfelelőségi szabványoknak.
Alkalmazhatóság vállalati tárolókra
A vállalatok számára a tárolórendszerek PIPEDA adatvédelmi alapelveivel való összehangolása nem képezheti alku tárgyát. Ez magában foglalja egy adatvédelmi kezelési program kidolgozását, az adatfeldolgozás céljának egyértelmű dokumentálását és a szigorú hozzáférés-vezérlés betartatását. Adatvédelmi hatásvizsgálatok (PIA-k) kritikus lépés annak értékeléséhez, hogy az üzleti műveletek hogyan befolyásolják az egyéni magánéletet. További kulcsfontosságú intézkedések közé tartozik a személyes adatok megőrzési időszakainak egyértelmű meghatározása és az alkalmazottak képzése az adatvédelmi legjobb gyakorlatokról.
„A szervezetnek könnyen hozzáférhetővé kell tennie az egyének számára a személyes adatok kezelésére vonatkozó politikáiról és gyakorlatairól szóló konkrét információkat.” – PIPEDA 4.8.1. szakasz
A szervezeteknek szigorú eljárásokat kell bevezetniük a hozzáférési minták monitorozására és a rendszeres ellenőrzések elvégzésére a jogosulatlan tevékenységek felderítése érdekében. Az adatvédelmi panaszok hatékony kezelése és a személyes adatok pontosságának biztosítása ugyanolyan fontos a megfelelőség fenntartása szempontjából.
Szankciók a meg nem felelésért
A PIPEDA be nem tartása súlyos következményekkel járhat, mind anyagilag, mind hírnév szempontjából. A pénzügyi büntetések akár ...-ig is terjedhetnek. CAD $100 000 szabálysértésenként, és az eseteket akár a kanadai főügyészhez is utalhatják további jogi lépések megtétele érdekében. A bírságokon túl a személyes adatok nem megfelelő kezelése súlyosan károsíthatja egy vállalat hírnevét, különösen mivel 92% a nyilvánosság számára aggodalmát fejezte ki az adataik kezelésével kapcsolatban.
A PIPEDA előírja a szervezetek számára, hogy jelentsék azokat az adatvédelmi incidenseket, amelyek jelentős kár valódi kockázatát jelentik. Az ilyen incidenseket jelenteni kell a …-nak. Kanada adatvédelmi biztosa, és az érintett személyeket szükség esetén értesíteni kell. Az összes incidens részletes nyilvántartása kulcsfontosságú a hatékony incidensreagálási tervezéshez.
Ezek a követelmények rávilágítanak a szigorú megfelelési intézkedések fontosságára a kanadai piacon működő vagy azt kiszolgáló vállalkozások számára. A titkosítás, más biztonsági intézkedések mellett, kritikus szerepet játszik annak biztosításában, hogy a vállalati tárolórendszerek megfeleljenek a PIPEDA szabványainak.
5. Digitális Személyes Adatok Védelméről Szóló Törvény (DPDPA) – India
India Digitális Személyes Adatok Védelméről Szóló Törvény (DPDPA) egyértelmű irányelveket határoz meg a személyes adatok kezelésére, miközben hangsúlyozza az erős adatvédelmi biztosítékokat.
Joghatóság és földrajzi hatály
A DPDPA minden Indiában személyes adatokat kezelő szervezetre vonatkozik, függetlenül attól, hogy belföldi vagy nemzetközi. Szabályozza az indiai lakosok, sőt a külföldi lakosok személyes adatainak feldolgozását is, amennyiben adataikat külföldi szervezetekkel kötött szerződések alapján dolgozzák fel Indiában. Lényegében, ha vállalkozása Indiában működik, vagy indiai lakosok adatait dolgozza fel, a megfelelés kötelező.
A törvény területi megközelítést alkalmaz, ami azt jelenti, hogy az Indián kívüli székhelyű vállalatoknak is meg kell felelniük a törvénynek, ha az indiai határokon belül személyes adatokat dolgoznak fel. Ez a területen kívüli lefedettség kritikus fontosságúvá teszi az indiai ügyfeleket kiszolgáló vagy a régióban partnerségeket fenntartó globális vállalkozások számára, hogy prioritásként kezeljék a megfelelést. A titkosítás és az alábbiakban ismertetett egyéb biztonsági intézkedések kulcsszerepet játszanak e követelmények teljesítésében.
Titkosítási követelmények
A DPDPA megbízásai „észszerű biztonsági intézkedések” a személyes adatok védelme érdekében. Ezek közé tartozik a titkosítás, az obfuszkálás, a maszkolás vagy a virtuális tokenek használata alapvető intézkedésként. A szervezeteknek végre kell hajtaniuk ezeket a technikai és szervezeti biztosítékokat az érzékeny adatok többrétegű biztonságának biztosítása érdekében.
Részletes hozzáférés-vezérlésre és rendszeres naplófelülvizsgálatra is szükség van. Ezenkívül a vállalkozásoknak adatmentéseket kell vezetniük az adatfolytonosság biztosítása érdekében adatvesztés vagy rendszerhibák esetén. Azoknak a vállalatoknak, amelyek... vállalati tárhelymegoldásokA robusztus titkosítás összhangban van a DPDPA szigorú követelményeivel. A szervezeteknek legalább egy évig meg kell őrizniük az adatokat és a hozzáférési naplókat a biztonsági incidensek észlelése, kivizsgálása és megelőzése érdekében.
Alkalmazhatóság vállalati tárolókra
A vállalati tárolórendszereknek meg kell felelniük a DPDPA keretrendszerének a személyes adatok osztályozásával és feldolgozási követelményeik meghatározásával. Ez az osztályozás elengedhetetlen a hatékony megfelelőségi stratégiák kidolgozásához.
A vállalkozásoknak egyértelmű szerződéseket kell kötniük az adatfeldolgozókkal, biztosítva a biztonsági intézkedések és kötelezettségek betartását a teljes feldolgozási láncban. Ezeknek a megállapodásoknak tartalmazniuk kell az elsődleges adatkezelő felelősségi körét és garanciáit tükröző konkrét felelősségeket és biztosítékokat. A hivatalos adatfeldolgozási megállapodások jogi követelmény a DPDPA értelmében.
„A vállalkozásoknak proaktív megfelelőségi stratégiákat kellene alkalmazniuk az adatvédelmet fokozó technológiákba való befektetéssel, szabályozási kockázatértékelések elvégzésével és felhasználóközpontú adatkezelési modellek bevezetésével.” – Gaurav Bhalla úr, partner, Ahlawat & Associates
Az incidensekre adott válaszfolyamatok egy másik kritikus elem. A szervezeteknek fel kell készülniük arra, hogy értesítsék a Indiai Adatvédelmi Testület (DPBI) és az érintett személyeket incidens esetén. A DPDPA által meghatározott incidens magában foglalja a személyes adatokhoz való jogosulatlan hozzáférést, véletlen nyilvánosságra hozatalt, visszaélést, megváltoztatást, megsemmisítést vagy elvesztést, amely veszélyezteti azok bizalmasságát, integritását vagy rendelkezésre állását. Ezek a követelmények összhangban vannak a szélesebb körű vállalati megfelelőségi stratégiákkal.
Szankciók a meg nem felelésért
A szabálysértésért járó pénzbírságok súlyosak, akár a ...-t is elérhetik. ₹250 crores (körülbelül $30 millió) vagy 41TP3 billió globális forgalomEzek a büntetések rávilágítanak a törvények betartásának és a szigorú biztonsági intézkedések végrehajtásának fontosságára.
A bírságokon túl a szabályok be nem tartása hírnévromláshoz és az ügyfelek bizalmának elvesztéséhez vezethet az indiai piacon. E kockázatok enyhítése érdekében a vállalatoknak átfogó megközelítést kell alkalmazniuk, beleértve egy Adatvédelmi tisztviselő (DPO) Indiában székelő, amely szabályozási kapcsolattartóként működik. Az automatizált fenyegetésészlelő rendszerek és az incidensértési értesítési sablonok szintén segíthetnek a gyors reagálásban az incidensekre.
A rendszeres sebezhetőségi felmérések és a kockázatalapú technikai és szervezési intézkedések elengedhetetlenek. A vállalkozásoknak a határokon átnyúló adatátvitelre vonatkozó lehetséges korlátozásokat is értékelniük kell, és a teljes megfelelőség fenntartása érdekében olyan lehetőségeket kell fontolóra venniük, mint a helyi adattükrözés vagy -tárolás. Ezen követelmények megértése és kezelése kulcsfontosságú a vállalati tárolórendszerek helyi és globális adatvédelmi szabványokkal való összehangolásához.
sbb-itb-59e1987
6. Személyes adatok védelméről szóló törvény (PIPL) – Kína
Kína személyes adatok védelméről szóló törvénye (PIPL) szigorú szabályokat ír elő az adatvédelem és a titkosítás terén, magasra téve a mércét a globális megfelelés terén.
Joghatóság és földrajzi hatály
A PIPL minden olyan szervezetre vonatkozik, amely Kínában magánszemélyek személyes adatait kezeli. Hatása túlmutat Kína határain, és mind a belföldi, mind a nemzetközi vállalkozásokra hatással van. Ha egy vállalat Kínában magánszemélyekhez tartozó adatokat gyűjt, tárol, használ vagy dolgoz fel – akár fizikai jelenlét nélkül is az országban –, akkor be kell tartania a törvényt. Ez magában foglalja azokat a vállalkozásokat is, amelyek termékeket vagy szolgáltatásokat nyújtanak kínai felhasználóknak, vagy elemzik viselkedésüket.
A határokon átnyúló adatátvitel tekintetében a törvény szigorú korlátozásokat ír elő. A vállalatoknak biztosítaniuk kell, hogy az adatok külföldi címzettjei betartsák a PIPL-ben foglaltakkal egyenértékű védelmi szabványokat. Ezenkívül a vállalkozásoknak ki kell jelölniük egy belföldi képviselőt Kínában, aki felügyeli a megfelelést és eleget tesz a jogi kötelezettségeknek.
Titkosítási követelmények
A titkosítás a PIPL technikai biztonsági intézkedéseinek sarokköve. A szervezeteknek be kell tartaniuk a következőket: Kereskedelmi titkosítási szabályozások, amelyek előírják a kormány által jóváhagyott titkosítási algoritmusok használatát. Az olyan elterjedt titkosítási szabványok, mint az AES, nem engedélyezettek, kivéve, ha azokat a kínai hatóságok kifejezetten jóváhagyták. Továbbá minden titkosított érzékeny adatot és titkosítási kulcsot Kína határain belül kell tárolni. A multinacionális vállalatok számára ez jelentős akadályokat jelent, mivel alkalmazkodniuk kell a lokalizált titkosítási algoritmusokhoz és kulcskezelő rendszerekhez.
Alkalmazhatóság vállalati tárolókra
A PIPL egyértelmű szabályokat is megállapít a vállalati adattárolásra Kínában. A személyes adatoknak általában az országon belül kell maradniuk, kivéve, ha a határokon átnyúló adatátvitel szigorú feltételei teljesülnek. Az óvatosság kedvéért a vállalkozások gyakran a bizonytalan adatokat „fontos adatként” osztályozzák, ami további biztonsági protokollokat, többek között fejlett titkosítási követelményeket aktivál.
A megfelelés érdekében a vállalatoknak olyan intézkedéseket kell végrehajtaniuk, mint a titkosítás és az azonosíthatatlanná tétel, hogy megvédjék a személyes adatokat a jogsértésektől, lopástól vagy véletlen törléstől. A rutinszerű megfelelőségi ellenőrzések elengedhetetlenek, beleértve a titkosítási gyakorlatok auditjait, a jóváhagyott algoritmusok ellenőrzését és annak biztosítását, hogy a titkosítási kulcsok a kínai joghatóságon belül maradjanak. Tekintettel ezen követelmények összetettségére, a helyi jogi és biztonsági szakértőkkel való együttműködés kritikus fontosságú a megfelelőségi kihívások leküzdéséhez.
Szankciók a meg nem felelésért
A PIPL megsértéséért járó büntetések szigorúak. Kínai Kibertér Igazgatóság (CAC) betartatja a törvényt, és jelentős bírságokat vagy egyéb szankciókat szabhat ki. A kisebb jogsértések akár 1 millió jüan (körülbelül 150 000 USD) bírságot is vonhatnak maguk után, a felelősökre pedig 10 000 és 100 000 jüan (1500–15 000 USD) közötti bírságot szabhatnak ki. A súlyos jogsértések akár 50 millió jüan (körülbelül 7,7 millió USD) vagy a vállalat előző évi bevételének 51 300 USD-ját kitevő bírságot is kiszabhatnak, attól függően, hogy melyik a nagyobb. A súlyos jogsértésekben részt vevő személyek akár 7 év börtönbüntetésre is számíthatnak.
A közelmúltbeli nagy nyilvánosságot kapott esetek megmutatták, milyen súlyosak lehetnek ezek a büntetések, több millió jüanos bírságokkal és börtönbüntetésekkel. Az ilyen következmények elkerülése érdekében a vállalatoknak szigorú megfelelőségi keretrendszereket kell létrehozniuk, beleértve a rendszeres ellenőrzést, az auditokat és az adatvédelmi incidensek bejelentési eljárásait. Ezek az intézkedések elengedhetetlenek ahhoz, hogy a szigorú szabályozási környezet jó oldalán maradjanak.
7. Digitális Működési Ellenállóképességi Törvény (DORA) – Európai Unió (Pénzügyi Szektor)
A digitális működési ellenálló képességről szóló törvény (DORA) szigorú kiberbiztonsági és működési ellenálló képességi szabványokat határoz meg az Európai Unióban (EU) működő pénzügyi szervezetek számára. Célja annak biztosítása, hogy a pénzügyi szektor hatékonyan ellenálljon a kiberfenyegetéseknek és zavaroknak.
Joghatóság és földrajzi hatály
A DORA az EU-n belüli pénzügyi szervezetek széles körére vonatkozik, beleértve a bankokat, befektetési vállalkozásokat, hitelintézeteket, kriptoeszköz-szolgáltatókat és közösségi finanszírozási platformokat. Kiterjed a harmadik fél IKT-szolgáltatókra is, akár az EU-n kívüliekre is, amennyiben uniós pénzügyi intézményeket szolgálnak ki. Ez magában foglalja az olyan alapvető szolgáltatókat is, mint a hitelminősítő intézetek és az adatelemző cégek. 2025-től kezdődően az európai felügyeleti hatóságok – az ESMA, az EBA és az EIOPA – azonosítják a kritikus harmadik fél IKT-szolgáltatókat a fokozott felügyelet érdekében. Míg a kisebb szervezetek profitálhatnak az egyszerűsített megfelelési követelményekből, a legtöbb szervezetnek be kell tartania a rendelet teljes hatályát.
Titkosítási követelmények
A DORA átfogó megközelítést alkalmaz az adattitkosítás terén, és három államban írja elő a pénzügyi szervezeteknek az adatok védelmét: nyugalmi állapotban, szállítás közben és használat közbenEz az utolsó követelmény, a használatban lévő adatok titkosítása, különösen figyelemre méltó, mivel világszerte nem széles körben alkalmazzák.
A szabályozás előírja, hogy a pénzügyi szervezetek olyan IKT-biztonsági szabályzatokat hozzanak létre, amelyek prioritást élveznek az adatok rendelkezésre állása, hitelessége, integritása és bizalmas kezelése terén. Ez magában foglalja a kockázatalapú titkosítási stratégiák kidolgozását és a rendszeres értékelések elvégzését a változó kiberbiztonsági fenyegetések kezelése érdekében.
„A pénzügyi szervezeteknek olyan IKT-biztonsági politikákat, eljárásokat, protokollokat és eszközöket kell kidolgozniuk, beszerezniük és végrehajtaniuk, amelyek célja az IKT-rendszerek, különösen a kritikus vagy fontos funkciókat támogató rendszerek ellenálló képességének, folytonosságának és rendelkezésre állásának biztosítása, valamint az adatok rendelkezésre állásának, hitelességének, integritásának és bizalmasságának magas szintű fenntartása, függetlenül attól, hogy azok inaktívak, használatban vannak-e vagy továbbításra kerülnek.” – DORA, 9.2. cikk
A DORA arra is ösztönzi a pénzügyi szervezeteket, hogy osszák meg a megbízható hálózatokon belüli kiberfenyegetésekkel és sebezhetőségekkel kapcsolatos információkat az ágazat ellenálló képességének erősítése érdekében.
Alkalmazhatóság vállalati tárolókra
A szabályozás nagy hangsúlyt fektet a vállalati tárolórendszerekre, különösen a kritikus pénzügyi adatokat kezelő intézmények esetében. A szervezeteknek biztosítaniuk kell, hogy tárolási megoldásaik robusztus biztonsági mentési képességeket, helyreállítási mechanizmusokat és a harmadik féltől származó szolgáltatók folyamatos felügyeletét tartalmazzák.
Például a Serverion tárhelymegoldásait – például dedikált szervereket, VPS-t vagy tárhelyszolgáltatásokat – használó vállalatoknak biztosítaniuk kell, hogy ezek a rendszerek megfeleljenek a DORA szigorú biztonsági és ellenálló képességi követelményeinek. A rendszeres auditok és az automatizált megfelelőségi ellenőrzések elengedhetetlenek a szabályozás betartásának fenntartásához. Ezek az intézkedések hangsúlyozzák a biztonságos tárolási és helyreállítási stratégiák fontosságát a pénzügyi szektorban.
Szankciók a meg nem felelésért
A DORA be nem tartása súlyos bírságokat vonhat maga után. A pénzügyi intézmények akár ... dolláros büntetésre is számíthatnak. 2% a teljes éves globális forgalmukból vagy 1% az átlagos napi forgalmukbólNagy szervezetek számára ez több tízmillió dolláros bírságot is jelenthet. Ezenkívül a konkrét büntetések a következők:
- Akár 100%-os bírságok $1,09 millió vezetők és vállalatok számára.
- A kritikus harmadik féltől származó IKT-szolgáltatók akár bírságot is kiszabhatnak $5,45 millió cégek számára, vagy $545,000 egyének számára.
- A kiberbiztonsági hibák akár pénzbírságot is vonhatnak maguk után $2,18 millió vagy az éves forgalom 2%-je.
- A késedelmes bejelentés büntetéseket vonhat maga után, amelyek kezdőnapja lehet. $272,000.
„Míg a kiberbiztonság továbbra is prioritás, a pénzügyi intézményeknek magasabb szintre kell emelniük ezen kockázatok felelősségvállalását. Sok pénzügyi intézmény (FI) még mindig nem érti meg teljesen a megosztott felelősség modelljét, tévesen azt hiszik, hogy a SaaS-szolgáltatások ellenálló képessége kizárólag a szolgáltatóé.” – Wayne Scott, a szabályozási megfelelőségi megoldások vezetője az Escode-nál
2025. január 17-i állapot szerint az elemzők becslése szerint az érintett pénzügyi szervezetek 99%-je nem volt felkészülve a DORA-megfelelőségre. Ezen súlyos büntetések elkerülése érdekében a szervezeteknek prioritásként kell kezelniük a titkosítást, rendszeres kiberbiztonsági auditokat kell végezniük, dedikált megfelelőségi csapatokat kell létrehozniuk, a vezetőket ki kell képezniük jogi felelősségükre, és együtt kell működniük tapasztalt kiberbiztonsági szolgáltatókkal a rendszer ellenálló képességének és a pontos incidensjelentésnek a biztosítása érdekében.
Adattitkosítási törvények összehasonlító táblázata
Az adattitkosítási törvények joghatóságonként jelentősen eltérnek. Minden szabályozás a maga módján közelíti meg a titkosítási követelményeket, büntetéseket és végrehajtási technikákat. Az alábbi táblázat kiemeli e törvények legfontosabb részleteit, hasznos alapot nyújtva a későbbi szakaszokban tárgyalt megfelelési stratégiákhoz.
| Törvény | Illetékesség | Titkosítási követelmények | Lefedett adatállapotok | Maximális büntetések | Elsődleges iparágak |
|---|---|---|---|---|---|
| GDPR | Európai Unió | „Megfelelő technikai intézkedések”, beleértve a titkosítást is | Nyugalmi állapotban, úton | 20 millió euró vagy 41 biljoona TP3 billió globális forgalom | Minden ágazat |
| CPRA | Kalifornia, USA | „Ésszerű biztonsági eljárások” | Nyugalmi állapotban, úton | $7,500 szándékos szabálysértésenként | Minden ágazat |
| LGPD | Brazília | „Műszaki biztosítékok”, beleértve a titkosítást | Nyugalmi állapotban, úton | 21 TP3 billió bevétel, max. ~1 TP4 billió 9,3 millió | Minden ágazat |
| PIPEDA | Kanada | „Megfelelő biztosítékok” | Nyugalmi állapotban, úton | N/A | Minden ágazat |
| DPDPA | India | „Ésszerű biztonsági gyakorlatok” | Nyugalmi állapotban, úton | N/A | Minden ágazat |
| PIPL | Kína | „Műszaki intézkedések”, beleértve a titkosítást is | Nyugalmi állapotban, úton | N/A | Minden ágazat |
| DÓRA | EU (Pénzügy) | Kötelező titkosítás | Nyugalmi állapotban, úton | N/A | Csak pénzügyi szolgáltatások |
Főbb különbségek a megközelítésben
A titkosítási követelmények eltérőek abban, hogy mennyire egyértelműen vannak meghatározva. Például a GDPR „megfelelő technikai intézkedéseket” ír elő, ami rugalmasságot biztosít a megvalósításban. Másrészt a DORA kifejezetten előírja a titkosítást, különösen a pénzügyi szolgáltatások esetében. Ez a megkülönböztetés tükrözi a különböző szabályozások által biztosított eltérő specifikussági szinteket.
Az Európai Bankhatóság részletes útmutatást nyújt a megfeleléshez, kimondva:
„A pénzforgalmi szolgáltatóknak biztosítaniuk kell, hogy az interneten keresztül történő érzékeny adatok cseréje során a kommunikáló felek között biztonságos, végponttól végpontig tartó titkosítást alkalmazzanak az adott kommunikációs munkamenet során az adatok bizalmasságának és integritásának védelme érdekében, erős és széles körben elismert titkosítási technikák alkalmazásával.”
Büntetőszerkezetek
A meg nem felelés pénzügyi következményei jelentősen eltérnek. A GDPR a legmagasabb büntetéseket szabja ki, a bírságok elérhetik a 20 millió eurót vagy a globális forgalom 41 TP3 billióját. Eközben a CPRA jogsértésenkénti büntetési modellt alkalmaz, amely ismételt jogsértések esetén a bírságok emelkedéséhez vezethet. Más szabályozások esetében a büntetések részletei kevésbé egyértelműen meghatározottak, ami hangsúlyozza a helyi végrehajtási gyakorlatok megértésének szükségességét.
Földrajzi és iparági hatókör
Míg a legtöbb szabályozás a joghatóságukon belül minden iparágra vonatkozik, a DORA kivételt képez, amely kizárólag a pénzügyi szolgáltatásokra összpontosít. Ez a célzott megközelítés tükrözi az adatbiztonság kritikus fontosságát a pénzügyi műveletekben. Érdekes módon a Sectigo tanulmánya szerint az európai bankok 25%-je még mindig nem rendelkezik kibővített validációval. SSL tanúsítványok, kiemelve a biztonsági előírások betartásával kapcsolatos folyamatos kihívásokat.
Végrehajtási változatok
A végrehajtási filozófiák is eltérőek. Egyes törvények rugalmasságot biztosítanak a fejlődő technológiákhoz való alkalmazkodásban, míg mások, mint például a DORA, szigorú irányelveket tartalmaznak, például előírják a biztonságos, végponttól végpontig terjedő titkosítást az internetes adatcseréhez. Ezek a különbségek kiemelik a titkosítási stratégiák testreszabásának fontosságát, hogy összhangban legyenek a konkrét szabályozási követelményekkel.
A több joghatóságban működő vállalkozások számára elengedhetetlen ezen árnyalatok megértése. Akár dedikált szervereket, VPS-t, akár olyan szolgáltatóktól származó helymeghatározási szolgáltatásokat használ, mint a Serverion, a titkosítási gyakorlatok helyi törvényekkel való összehangolása kritikus lépés a megfelelés felé.
Hogyan teljesíthetik a vállalatok a megfelelőségi követelményeket?
A titkosítási megfelelőségi követelmények betartásához a vállalatoknak nem csupán fejlett biztonsági eszközökre van szükségük – strukturált megfelelőségi keretrendszerre is szükségük van. Ez folyamatos monitorozást, rendszeres auditokat, alapos dokumentációt és a szabályzatok következetes betartatását foglalja magában. Íme, hogyan tudnak a szervezetek hatékonyan megfelelni ezeknek az igényeknek.
Rendszeres ellenőrzési gyakorlatok kialakítása
Az auditok minden megfelelőségi stratégia gerincét alkotják. Mind a belső, mind a külső auditok létfontosságú szerepet játszanak. A belső auditok a szervezet mélyreható tudását kihasználva azonosítják a potenciális hiányosságokat, míg a külső auditok friss, elfogulatlan perspektívát kínálnak, amely feltárhatja a figyelmen kívül hagyott sebezhetőségeket. Ezek az auditok együttesen biztosítják, hogy a biztonsági intézkedések ne csak megvalósuljanak, hanem hosszú távon is hatékonyak maradjanak.
Erős dokumentációs rendszerek kiépítése
A világos és részletes dokumentáció elengedhetetlen a szabályozási megfeleléshez. Ahogy Peter Schawacker, a Cyber Staffing & Recruiting üzleti innovátora és stratégája, valamint korábbi CISO fogalmaz:
„A szabályzat a vezetőség szándékának kifejezett kinyilvánítása. Ez a szervezet sarkcsillaga. Nélküle az összhang nehezen vagy lehetetlen elérni. Az elszámoltathatóság pedig nagyon nehéz kérdéssé válik, ha egyáltalán felelősségre lehet vonni az embereket.”
A szervezeteknek dokumentálniuk kell a titkosítási kulcsok kezelését, az adatkezelési protokollokat és az incidensekre adott választerveket. A megfelelően karbantartott incidensekre adott választervek például jelentősen csökkenthetik az állásidőt és enyhíthetik a biztonsági incidensek hatását. Ez különösen fontos, mivel a globális kiberbűnözés költségei várhatóan elérik az évi 1TP4–10,5 billió dollárt 2025-re.
A szabályzatok következetes betartatása
A szabályzatok betartatásának következetessége kulcsfontosságú a megfelelési hiányosságok elkerülése érdekében. A különböző részlegek alkalmazottainak bevonása a szabályzatok kidolgozásába biztosítja, hogy az irányelvek gyakorlatiasak és relevánsak legyenek. Ezen szabályzatok rendszeres frissítése segíti a szervezeteket abban, hogy lépést tartsanak a változó fenyegetésekkel és szabályozási változásokkal, így a megfelelés folyamatos folyamattá válik, nem pedig egyszeri erőfeszítéssé.
A megfelelő infrastruktúra kiválasztása
A megfelelő infrastruktúra könnyebben kezelhetővé teheti a megfelelést. A beépített biztonsági funkciókkal, például DDoS-védelemmel, SSL-tanúsítványokkal és biztonságos adatközpont-műveletekkel rendelkező tárhelyszolgáltatók szilárd alapot kínálnak. Például a Serverion globális infrastruktúrája támogatja a robusztus biztonsági gyakorlatainak és adattárolási lehetőségeinek megfelelőséget, megkönnyítve a vállalatok számára a szabályozási szabványoknak való megfelelést.
Képzés és a biztonság beágyazása a kultúrába
A rendszeres képzési programok biztosítják, hogy az alkalmazottak megértsék szerepüket a titkosítási szabványok és a megfelelőség fenntartásában. Egy olyan kultúra kialakításával, ahol a biztonság közös felelősség, a szervezetek olyan környezetet teremthetnek, ahol a megfelelőség természetessé válik.
Folyamatos monitorozás és fejlesztés
A folyamatos monitorozás elengedhetetlen, mivel mind a rendszerek, mind a kiberfenyegetések fejlődnek. Ez magában foglalja a hozzáférés-vezérlés felülvizsgálatát, a titkosítási kulcsok rotációjának kezelését és a biztonsági tanúsítványok megújítását. Az automatizált eszközök valós időben jelezhetik a potenciális megfelelőségi problémákat, lehetővé téve a csapatok számára, hogy gyors korrekciós intézkedéseket tegyenek és folyamatosan erősítsék biztonsági helyzetüket.
Következtetés
A globális adattitkosítási törvényekben való eligazodás nem csupán a jogi jelölőnégyzetek kipipálásáról szól – ez egy kritikus lépés vállalkozása hatalmas pénzügyi veszteségektől és hírnévkárosodástól való megvédésében. A számok magukért beszélnek: a vállalatok akár ... dollárt is veszíthetnek. 25% a piaci részesedésükből egy kibertámadást követően, és a nem megfelelőségből adódó költségek döbbenetesek 2,71-szer magasabb mint a megfeleléshez szükséges költségek. Ha ez nem hangsúlyozza a sürgősséget, akkor semmi sem fogja.
A szabályozó hatóságok fokozzák a végrehajtást, és a mulasztás következményei minden eddiginél súlyosabbak. A közelmúltbeli esetek rávilágítanak a hanyagság súlyos árára. Vegyük például a Solara Medical Supplies esetét – miután több mint 114 000 személy érzékeny egészségügyi adatait hozták nyilvánosságra, szembesültek... $3 milliós büntetés 2025 januárjában. Ez az eset kijózanító emlékeztető arra, hogy a megfelelés elmulasztása nem pénzt takarít meg, hanem hosszú távon sokkal többe kerül.
Joan Wrabetz ügyvéd tökéletesen megfogalmazza: a magánélet védelme a puszta jogi követelményből egyre inkább központi üzleti stratégia, ahol a titkosítás mostantól kulcsfontosságú megkülönböztető tényező a piacvezetők számára.
Ezen kockázatok mérséklése érdekében a vállalkozásoknak most kell cselekedniük, és biztonságos infrastruktúrákba kell befektetniük. Ez azt jelenti, hogy partnerség tárhelyszolgáltatókkal beépített biztonsági funkciókat kínál, mint például DDoS védelem, SSL tanúsítványok, és biztonságos adatközpontokat kínál globális lefedettséggel. Például a Serverion robusztus biztonsági intézkedéseket és rugalmas adattárolási lehetőségeket kínál, segítve a vállalatokat abban, hogy megfeleljenek az összetett szabályozási követelményeknek a működési hatékonyság feláldozása nélkül.
Ahogy a kormányok szigorúbb adatvédelmi szabályokat érvényesítenek, a titkosítást és a biztonságos tárolási megoldásokat előtérbe helyező szervezetek vezető szerepet töltenek be a mai digitális gazdaságban.
GYIK
Miben különböznek a GDPR és a CPRA adattitkosítási követelményei?
A Általános adatvédelmi rendelet (GDPR) és a Kaliforniai adatvédelmi törvény (CPRA) különböző megközelítéseket alkalmaznak az adattitkosítás és az általános fókusz tekintetében. A GDPR szigorúbb követelményeket ír elő, és kötelezi a szervezeteket a megfelelőségük elfogadására technikai és szervezési intézkedések, mint például a titkosítás, a személyes adatok védelme és az adatvédelmi incidensek megelőzése érdekében. Hatálya széleskörű, az EU-ban lakók összes személyes adatára kiterjed, és hangsúlyozza az adatbiztonsággal kapcsolatos proaktív álláspontot.
Ezzel szemben a CPRA inkább afelé hajlik, fogyasztói jogok és átláthatóság kaliforniai lakosok számára. Bár a titkosítást jó gyakorlatként ösztönzi, nem teszi szigorú követelménnyé. Ehelyett a CPRA az incidensek bejelentésére és a kockázatok kezelésére összpontosít az incidens bekövetkezése után, a szigorú megelőző intézkedések érvényesítése helyett. Ezek a különbségek kiemelik az egyes szabályozások alapvető prioritásait – a GDPR a robusztus adatvédelmet célozza, míg a CPRA a fogyasztók ellenőrzését és elszámoltathatóságát helyezi előtérbe az incidensek után.
Milyen lépéseket kell tenniük a vállalatoknak annak érdekében, hogy titkosítási módszereik megfeleljenek a nemzetközi adatvédelmi törvényeknek?
A nemzetközi adatvédelmi törvényeknek való megfelelés érdekében a vállalkozásoknak végre kell hajtaniuk a következőket: erős titkosítási szabványokSzimmetrikus titkosításhoz az AES-256 a megbízható választás, míg az RSA 2048 bites vagy nagyobb kulcsokkal jól működik aszimmetrikus titkosításhoz. Ugyanilyen fontos a titkosítási kulcskezelés, amely magában foglalja a kulcsok biztonságos generálását, tárolását, terjesztését és visszavonását a jogosulatlan hozzáférés megakadályozása érdekében.
Az is kulcsfontosságú, hogy naprakészek legyünk a konkrét jogi keretrendszerekkel kapcsolatban, mint például a GDPR, amely kiemeli a biztonságos adatfeldolgozást, és elismeri a titkosítást, mint létfontosságú technikai biztosítékot. A titkosítási protokollok rendszeres felülvizsgálata és frissítése a vonatkozó jogszabályokkal összhangban. jelenlegi iparági gyakorlatok biztosítja, hogy a vállalkozások a különböző régiókban is megfeleljenek az előírásoknak. A biztonságra és a rugalmasságra való összpontosítás kulcsfontosságú ahhoz, hogy lépést tartsunk az adatvédelmi szabályozások folyamatosan változó környezetével.
Milyen kockázatokkal járnak azok a vállalkozások, amelyek nem tartják be az adattitkosítási törvényeket, mint például a DORA és a PIPL?
Az adattitkosítási törvények be nem tartása, mint például DÓRA és PIPL súlyos következményekkel járhat a vállalkozásokra nézve. Például a DORA értelmében a vállalatok akár a globális éves forgalmuk 21 TP3 billióját is elérő bírsággal sújthatók. Hasonlóképpen, a PIPL-szabálysértések akár 50 millió jent (körülbelül 1 TP4 és 7,2 millió jen) vagy az éves jövedelem 51 TP3 billióját is magukban foglalhatják.
De a következmények nem merülnek ki a pénzügyi büntetésekben. A vállalatok a következőkkel is foglalkozhatnak: jogi lépések, engedélyfelfüggesztések és működési zavarok, amelyek mind alááshatják a pénzügyi helyzetüket és ronthatják a hírnevüket. A megfelelőség fenntartása nem csupán a kockázatok elkerüléséről szól – ez egy módja annak is, hogy megerősítsük az ügyfelekkel és partnerekkel való bizalmat az adatok védelme iránti erős elkötelezettség kimutatásával.
