7 helstu lög um gagnadulkóðun fyrir fyrirtæki
Gagnadulkóðun er ekki lengur valfrjáls. Þar sem spáð er að tjón vegna netglæpa muni verða $10,5 billjónir fyrir árið 2025 og sektir vegna brota sem ná milljónir dollaraÞað er mikilvægt fyrir fyrirtæki að skilja dulkóðunarlög. Þessi handbók fjallar um sjö lykilreglugerðir sem móta alþjóðlega gagnavernd:
- GDPR (ESB)Hvetur til dulkóðunar persónuupplýsinga með sektum allt að 20 milljónir evra eða 41.300.000 pund af árstekjur.
- CPRA (Kalifornía, Bandaríkin)Krefst dulkóðunar; brot á ódulkóðuðum gögnum leyfa málaferlum.
- LGPD (Brasilía)Krefst öryggisráðstafana eins og dulkóðunar; sektir allt að 2% af tekjum.
- PIPEDA (Kanada)Mælir með dulkóðun til að vernda persónuupplýsingar.
- DPDPA (Indland)Kveður á um „sanngjarnar öryggisvenjur“, þar á meðal dulkóðun.
- PIPL (Kína)Krefst dulkóðunar sem stjórnvöld samþykkja fyrir gögn innan landamæra sinna.
- DORA (fjármálageirinn í ESB)Strangar dulkóðunarstaðlar fyrir fjármálastofnanir, sem ná yfir gögn í kyrrstöðu, flutning og notkun.
Fljótur samanburður:
| Lögfræði | Lögsaga | Dulkóðunarumboð | Hámarksrefsing |
|---|---|---|---|
| GDPR | ESB | Mæli eindregið með | Tekjur upp á 20 milljónir evra eða 41 TP3T |
| CPRA | Kalifornía, Bandaríkin | Nauðsynlegt fyrir vernd gegn brotum | $7.500/brot |
| LGPD | Brasilía | Tæknilegar öryggisráðstafanir sem krafist er | 2% af tekjum |
| PÍPA | Kanada | Hvatt, ekki skylda | $100.000 CAD/brot |
| DPDPA | Indland | „Sanngjarnar öryggisráðstafanir“ | ₹250 Cr eða 4% velta |
| PIPL | Kína | Skyldubundin samþykkt dulkóðun | Tekjur upp á 50 milljónir ¥ eða 5% |
| DÓRA | ESB (fjármálageirinn) | Skyldubundið fyrir fjárhagsupplýsingar | 2% af árlegri veltu |
Dulkóðun verndar fyrirtæki gegn brotum, sektum og orðsporsskaða. Lestu áfram til að fá ítarlegri innsýn í þessi lög og hvernig á að fylgja þeim.
9 reglur um persónuvernd sem þú þarft að vita
1. Almenn reglugerð um persónuvernd (GDPR) – Evrópusambandið
GDPR, sem tók gildi frá maí 2018, hefur gjörbreytt því hvernig persónuupplýsingar eru meðhöndlaðar á heimsvísu.
Lögsaga og landfræðilegt gildissvið
Persónuverndarreglugerðin (GDPR) takmarkast ekki við Evrópu – hún hefur alþjóðlegt gildissvið. Sérhver stofnun, óháð því hvar hún er staðsett, verður að fara eftir reglunum ef hún vinnur persónuupplýsingar íbúa ESB. Til dæmis lúta bandarískum fyrirtækjum sem þjóna viðskiptavinum ESB þessum reglum. Reglugerðin aðskilur ábyrgð á milli... gagnaábyrgðaraðilar (hver ákveður hvernig og hvers vegna gögnum er unnið) og gagnavinnsluaðilar (sem meðhöndla gögnin fyrir hönd ábyrgðaraðila). Þessi greinarmunur á sérstaklega við um hýsingaraðila og fyrirtæki sem nota samhýsingarþjónustu.
Kröfur um dulkóðun (skylda eða hvatt)
Þó að dulkóðun sé ekki sérstaklega skylt samkvæmt GDPR er hún eindregið mælt með sem lykil tæknilegri öryggisráðstöfun. 32. grein reglugerðarinnar kallar á viðeigandi tæknilegar og skipulagslegar ráðstafanir til að vernda persónuupplýsingar og dulkóðun er oft nefnd sem ein áhrifaríkasta aðferðin. Þetta á við bæði gögn í hvíld og gögn í flutningiYfirvöld eins og upplýsingamálaráðuneyti Bretlands ráðleggja að nota dulkóðunarlausnir sem uppfylla staðla eins og FIPS 140-2 og FIPS 197.
Einn helsti ávinningur dulkóðunar er áhrif hennar á tilkynningar um gagnaleka. Fyrirtæki verða að tilkynna gagnaleka innan 72 klukkustunda samkvæmt GDPR. Hins vegar, ef dulkóðuð gögn eru í hættu og verða ólæsileg fyrir árásarmenn, er hægt að fella niður þessa kröfu.
Gildissvið fyrirtækjageymslu
Fyrir fyrirtæki sem stjórna gögnum í fjölbreyttum geymsluumhverfum getur það verið áskorun að uppfylla GDPR-reglugerðina. Reglugerðin á við um persónuupplýsingar sem eru geymdar á hollur netþjóna, skýjapallar, eða blendingainnviðiFyrirtæki þurfa að flokka gögn út frá næmi þeirra til að ákvarða réttar dulkóðunarráðstafanir. Sérstök varúð er nauðsynleg við gagnaflutninga yfir landamæri, þar sem GDPR setur strangar reglur um flutning persónuupplýsinga út fyrir ESB/EES án viðeigandi öryggisráðstafana. Dulkóðun er mikilvæg til að tryggja örugga alþjóðlega gagnaflutninga. Hýsingaraðilar, þar á meðal þeir sem... Serverionverða að samræma dulkóðunarvenjur sínar við GDPR-staðla til að styðja við eftirlit viðskiptavina sinna.
Viðurlög við brotum á reglum
Persónuverndarreglugerðin (GDPR) setur upp stigskipt viðurlög sem gera það fjárhagslega sársaukafullt að fylgja reglugerðinni. Minniháttar brot geta leitt til sekta allt að 11,8 milljónum punda eða 21,3 punda af alþjóðlegum árstekjum, hvort sem er hærra. Alvarleg brot geta leitt til sekta allt að 123,6 milljónum punda eða 41,3 punda af alþjóðlegum tekjum. Nýleg mál sýna fram á hversu strang reglugerðin er. Árið 2023 var Meta sektað um 1,4 milljarða punda af írsku persónuverndarnefndinni fyrir að vernda ekki gagnaflutninga. Á sama hátt stóð H&M frammi fyrir 1,41,8 milljóna punda sekt árið 2020 fyrir ólöglegt eftirlit með starfsmönnum.
Brot á reglum geta leitt til meira en bara sekta. Fyrirtæki geta staðið frammi fyrir rekstrartakmörkunum, svo sem fyrirmælum um að stöðva gagnavinnslu, og gætu einnig verið ábyrg fyrir skaðabótakröfum frá einstaklingum sem verða fyrir barðinu á þeim.
„Almenna persónuverndarreglugerðin (GDPR) er ströngustu persónuverndar- og öryggislög í heimi.“ – GDPR.EU
Fyrir hýsingar- og innviðafyrirtæki undirstrika þessar refsingar þörfina fyrir öflugar dulkóðunaraðferðir til að vernda starfsemi sína og tryggja að viðskiptavinir þeirra uppfylli kröfur um reglufylgni.
Næst munum við skoða persónuverndarlögin í Kaliforníu og hvernig þau eru ólík hvað varðar nálgun á persónuvernd fyrirtækja.
2. Lög um friðhelgi einkalífs í Kaliforníu (CPRA) – Bandaríkin
Frá og með 1. janúar 2023 styrkir CPRA lög um friðhelgi einkalífs neytenda í Kaliforníu (CCPA) og innleiðir strangari reglur fyrir fyrirtæki sem meðhöndla persónuupplýsingar sem tilheyra íbúum Kaliforníu.
Lögsaga og landfræðilegt gildissvið
CPRA beinist sérstaklega að fyrirtæki í hagnaðarskyni sem safna persónuupplýsingum frá íbúum Kaliforníu og uppfylla ákveðin skilyrði. Þar á meðal eru:
- Fyrirtæki með árlegar brúttótekjur sem eru umfram $25 milljónir.
- Fyrirtæki sem kaupa, selja eða deila persónuupplýsingum 100.000 eða meira Íbúar, heimili eða tæki í Kaliforníu.
- Aðilar sem græða 50% eða meira af árstekjum sínum af sölu eða miðlun persónuupplýsinga neytenda í Kaliforníu.
Ólíkt GDPR, sem hefur alþjóðlegt gildissvið, beinist CPRA eingöngu að fyrirtækjum sem þjóna íbúum Kaliforníu, óháð staðsetningu þeirra. Lykilatriði CPRA er að hún... meginregla um lágmörkun gagna, sem takmarkar gagnasöfnun og varðveislu við það sem stranglega er nauðsynlegt fyrir rekstur fyrirtækisins.
Kröfur um dulkóðun (skylda eða hvatt)
Samkvæmt 1798.150. grein laga um persónuvernd (CPRA) eru fyrirtæki skylt að innleiða sterkar öryggisráðstafanir til að vernda persónuupplýsingar. Ef ódulkóðuð gögn verða fyrir brot eiga neytendur rétt til að höfða einkamál. Í reglugerðinni segir:
„Neytandi sem hefur ódulkóðaðar og óritstýrðar persónuupplýsingar sem verða fyrir óheimilum aðgangi og upptöku, þjófnaði eða afhjúpun vegna brota fyrirtækisins á skyldu sinni til að innleiða og viðhalda sanngjörnum öryggisreglum og starfsháttum getur höfðað einkamál.“
Lög í Kaliforníu 128-bita dulkóðun sem lágmarksstaðall fyrir ákveðin kerfi, þar sem dulritunareiningar þurfa vottun samkvæmt FIPS 140-2 staðla. CPRA krefst dulkóðunar bæði fyrir gögn í flutningi og í kyrrstöðu og fyrirtækjum er bent á að geyma dulkóðunarlykla aðskilið frá dulkóðuðu gögnunum. Þessar ráðstafanir eru mikilvægar til að tryggja samræmi og vernda geymslukerfi fyrirtækja.
Gildissvið fyrirtækjageymslu
Geymslukerfi fyrirtækja verða að uppfylla ströngustu kröfur CPRA. Fyrirtæki eru ætluð til að standa sig vel. mat á gagnavernd að bera kennsl á persónuverndaráhættu og innleiða nauðsynlegar öryggisráðstafanir í öllum geymsluumhverfum.
Lögin krefjast einnig þess að fyrirtæki afpersi eða safni saman persónuupplýsingum, sem hefur áhrif á hvernig gögnum er geymt og stjórnað. Fyrirtæki sem nota hýsingarþjónustu verða að tryggja að þjónustuaðilar þeirra séu í samræmi við CPRA, sem skapar ábyrgðarkeðju allan gagnavinnsluferilinn. Til dæmis verða fyrirtæki sem reiða sig á þjónustu Serverion að tryggja að dulkóðunarstaðlar séu uppfylltir í öllum stillingum.
Lykilþættir í reglufylgni eru meðal annars að framkvæma reglulegar öryggisúttektir og framfylgja ströngum aðgangsstýringum. Að auki veitir CPRA íbúum Kaliforníu rétt til að afþakka sjálfvirka ákvarðanatöku og krefst kerfa sem geta borið kennsl á og aðgreint gögn sem notuð eru í slíkum tilgangi.
Viðurlög við brotum á reglum
Brot á CPRA geta leitt til sekta hjá eftirlitsaðilum og einkamála. Neytendur sem verða fyrir gagnaleka vegna ófullnægjandi öryggisráðstafana geta krafist skaðabóta allt frá ... $107 til $799 fyrir hvert atvik.
Eins og Alfred Brunetti, skólastjóri hjá Porzio, Bromberg og Newman PC, útskýrir:
„Fyrirtæki, þjónustuaðili eða annar einstaklingur sem brýtur gegn CCPA, eins og það er breytt með CPRA, getur átt yfir höfði sér lögbann og sekt sem nemur ekki hærri en $2.500 fyrir hvert brot og ekki hærri en $7.500 fyrir hvert vísvitandi brot.“
Nýlegar aðgerðir undirstrika mikilvægi þess að fylgja þessum reglum. Til dæmis greiddi Sephora 1,4 milljónir punda árið 2022 til að leysa úr málum vegna brota á CCPA og árið 2024 stóð DoorDash frammi fyrir 1,4 milljónir punda í sekt fyrir að deila gögnum viðskiptavina án skýrs samþykkis. Athyglisvert er að CPRA afnam 30 daga úrbótatímabilið sem áður var leyft samkvæmt CCPA, sem þýðir að fyrirtæki geta átt yfir höfði sér tafarlausar refsingar ef ekki er brugðist tafarlaust við brotum.
Næst munum við skoða Brasilíumanninn Lei Geral de Proteção de Dados til að kanna hvernig nálgast er dulkóðun í Rómönsku Ameríku.
3. Lei Geral de Proteção de Dados (LGPD) – Brasilía
Brasilíumaðurinn Lei Geral de Proteção de Dados (LGPD) setur strangar reglur, mjög innblásnar af GDPR ESB, til að vernda persónuupplýsingar.
Lögsaga og landfræðilegt gildissvið
LGPD hefur víðtækt svið, sem á við um stofnanir hvar sem er í heiminum ef þær meðhöndla persónuupplýsingar einstaklinga í Brasilíu. Þetta felur í sér gagnavinnslu einstaklinga eða aðila - hvort sem þeir eru opinberir eða einkaaðilar. Ef fyrirtæki þitt á viðskiptavini, starfsmenn, verktaka eða samstarfsaðila í Brasilíu er nauðsynlegt að fylgja LGPD.
Lögin eiga við um:
- Gagnavinnsla sem fer fram innan Brasilíu.
- Gögnum safnað í Brasilíu.
- Persónuupplýsingar einstaklinga í Brasilíu, óháð því hvar gagnavinnsluaðilinn er staðsettur.
Kröfur um dulkóðun (skylda eða hvatt)
Þó að LGPD krefjist ekki sérstaklega dulkóðunar, þá leggur það áherslu á nauðsyn þess að... sanngjarnar öryggisráðstafanir til að vernda persónuupplýsingar. Í 46. grein er kveðið á um að stofnanir verði að grípa til tæknilegra, öryggis- og stjórnsýslulegra öryggisráðstafana til að koma í veg fyrir óheimilan aðgang. Gögn sem eru að fullu nafnlaus eða dulkóðuð svo hægt sé að endurheimta þau falla ekki undir þessar reglugerðir.
Til að uppfylla kröfurnar ættu stofnanir að innleiða fjölbreyttar aðferðir, svo sem:
- Öryggisstefnur og viðbragðsáætlanir vegna atvika.
- Meðvitundarþjálfun fyrir starfsmenn.
- Aðgangsstýringar og aðrar tæknilegar ráðstafanir.
Fyrir fyrirtæki sem nota hýsingarlausnir, eins og þær frá Serverion, er mikilvægt að viðhalda sterkum dulkóðunarreglum til að uppfylla LGPD staðla. Þessar ráðstafanir eru nauðsynlegar til að vernda gögn á ýmsum geymslupöllum.
Gildissvið fyrirtækjageymslu
Geymslukerfi fyrirtækja verða að vera í samræmi við öryggisleiðbeiningar LGPD. Þetta þýðir að fyrirtæki þurfa að skrá hvernig gögnum er safnað, þau notuð, geymd og deilt. Þau verða einnig að meta alþjóðlegar gagnaflutningar til að tryggja að farið sé að lögum.
Lykilatriði eru meðal annars:
- Að setja upp ramma um gagnavernd.
- Að framkvæma reglulega áhrifamat á persónuvernd (DPIA).
- Að skipa persónuverndarfulltrúa (DPO) til að hafa eftirlit með reglufylgni.
- Undirbúningur viðbragðsáætlana vegna gagnaleka.
- Þjálfa starfsmenn í bestu starfsvenjum varðandi gagnavernd.
Þjónustuaðilar verða einnig að uppfylla öryggisstaðla sem samræmast LGPD í allri gagnavinnslukeðjunni.
Viðurlög við brotum á reglum
Brot á LGPD getur leitt til hára sekta – allt að 21 300 tonn af nettótekjum fyrirtækis í Brasilíu, að hámarki 1 400 milljónir randa fyrir hvert brot. Viðbótarviðurlög eru meðal annars:
- Dagsektir fyrir óleyst mál.
- Opinber upplýsingagjöf um brot.
- Að loka fyrir eða eyða persónuupplýsingum.
- Stöðvun eða bann á gagnavinnslu.
Nýleg mál sem varða löggæslu undirstrika hversu sterk lögin eru. Til dæmis var Telekall Infoservice sektað um 14.400 brasilískar ríalískar bólíur (um það bil 14.000 breskar ríalískir ríalískir ríalískir ríalískir ríalískir ríalískir ríalískir ríalískir ríalískir ríalískir ríalískir ríalískir ríalískir ríalískir réttarbætur í október 2023 vegna lélegra öryggisráðstafana og seinkaðrar skýrslugerðar atvika.
Auk fjárhagslegra sekta getur brot á reglum leitt til málaferla frá viðkomandi einstaklingum, skaða orðspor fyrirtækis og jafnvel missa réttindi til gagnavinnslu. Fyrir fyrirtæki sem starfa í Brasilíu snýst það ekki bara um að forðast sektir að uppfylla kröfur LGPD – það er nauðsynlegt til að viðhalda trausti og rekstrarstöðugleika.
Næst munum við skoða hvernig PIPEDA í Kanada tekst á við svipaðar áskoranir í gagnavernd.
4. Lög um vernd persónuupplýsinga og rafræn skjöl (PIPEDA) – Kanada
Kanada Lög um vernd persónuupplýsinga og rafræn skjöl (PIPEDA) setur fram reglur um hvernig einkafyrirtæki meðhöndla persónuupplýsingar. Byggt á meginreglum um sanngjarna upplýsingagjöf miðar það að því að vernda friðhelgi einstaklinga og styðja jafnframt við skilvirkan rekstur.
Lögsaga og landfræðilegt gildissvið
PIPEDA gildir um fyrirtæki sem starfa innan Kanada og stjórna persónuupplýsingum í viðskiptum milli héraða eða á alþjóðavettvangi. Það stjórnar einkafyrirtækjum um allt land og nær yfir persónuupplýsingar starfsmanna í atvinnugreinum sem falla undir alríkislög. Ef fyrirtæki þitt vinnur úr gögnum sem fara yfir landamæri héraða eða á alþjóðavettvangi er nauðsynlegt að fylgja PIPEDA.
Kröfur um dulkóðun (skylda eða hvatt)
PIPEDA mælir ekki fyrir um sérstaka öryggistækni en hvetur fyrirtæki eindregið til að innleiða öryggisráðstafanir til að vernda persónuupplýsingar. Meginregla 7 (Verndunarráðstafanir)Fyrirtæki eru skyldug til að vernda persónuupplýsingar gegn áhættu eins og tapi, þjófnaði eða óheimilum aðgangi. Dulkóðun er ein af ráðlögðum ráðstöfunum til að vernda viðkvæmar upplýsingar við geymslu og sendingu. Hins vegar er hún aðeins einn hluti af heildarpúsluspilinu. Heildstæð öryggisstefna ætti einnig að innihalda verkfæri eins og sterk lykilorð, eldveggi og reglulegar uppfærslur, ásamt efnislegum og skipulagslegum eftirliti.
Val á öryggisráðstöfunum fer eftir þáttum eins og næmi gagnanna, magni þeirra, hvernig þeim er dreift, geymsluformi og hugsanlegri áhættu sem fylgir. Fyrir fyrirtæki sem nota hýsingarlausnir eins og Serverion getur innleiðing á öflugri dulkóðun í allri gagnavinnslu hjálpað til við að uppfylla sveigjanlegar öryggiskröfur PIPEDA.
Regluleg endurskoðun á öryggisreglum er nauðsynleg til að viðhalda virkri vernd. Þessar ráðstafanir ættu að samþættast óaðfinnanlega við víðtækara persónuverndarstjórnunarkerfi til að tryggja að geymslukerfi fyrirtækja uppfylli kröfur.
Gildissvið fyrirtækjageymslu
Fyrir fyrirtæki er óumdeilanlegt að samræma geymslukerfi við persónuverndarreglur PIPEDA. Þetta felur í sér að þróa persónuverndarstjórnunarkerfi, skrá skýrt tilgang gagnavinnslu og framfylgja ströngum aðgangsstýringum. Mat á áhrifum á friðhelgi einkalífs (PIA) er mikilvægt skref til að meta hvernig viðskiptastarfsemi hefur áhrif á friðhelgi einstaklinga. Aðrar lykilráðstafanir eru meðal annars að setja skýr varðveislutímabil fyrir persónuupplýsingar og þjálfa starfsmenn í bestu starfsvenjum varðandi friðhelgi einkalífs.
„Stofnun skal gera einstaklingum aðgengilegar sérstökum upplýsingum um stefnu sína og starfshætti varðandi stjórnun persónuupplýsinga.“ – PIPEDA kafli 4.8.1
Fyrirtæki verða einnig að koma á fót ströngum verklagsreglum til að fylgjast með aðgangsmynstrum og framkvæma reglulegar endurskoðanir til að uppgötva óheimila starfsemi. Að taka á kvörtunum um friðhelgi einkalífsins á skilvirkan hátt og tryggja nákvæmni persónuupplýsinga er jafn mikilvægt til að viðhalda reglufylgni.
Viðurlög við brotum á reglum
Brot á PIPEDA getur haft alvarlegar afleiðingar, bæði fjárhagslegar og orðsporstengdar. Fjárhagslegar sektir geta numið allt að ... 100.000 kanadískir dalir fyrir hvert brot, og málum má jafnvel vísa til ríkissaksóknara Kanada til frekari lagalegra aðgerða. Auk sekta getur rang meðferð persónuupplýsinga skaðað orðspor fyrirtækis alvarlega, sérstaklega þar sem 92% almennings hefur lýst yfir áhyggjum af því hvernig upplýsingum þeirra er farið með.
PIPEDA krefst einnig þess að stofnanir tilkynni gagnaleka sem valda raunverulegri hættu á verulegu tjóni. Slík atvik verða að tilkynna til Persónuverndarfulltrúi Kanada, og einstaklingum sem verða fyrir áhrifum verður tilkynnt þegar þörf krefur. Að halda nákvæmar skrár yfir öll brot er nauðsynlegt fyrir skilvirka skipulagningu viðbragða.
Þessar kröfur undirstrika mikilvægi þess að fyrirtæki sem starfa á eða þjóna kanadískum markaði hafi strangar eftirlitsráðstafanir. Dulkóðun, ásamt öðrum öryggisráðstöfunum, gegnir lykilhlutverki í að tryggja að geymslukerfi fyrirtækja uppfylli staðla PIPEDA.
5. Lög um verndun stafrænna persónuupplýsinga (DPDPA) – Indland
Indlands Lög um vernd stafrænna persónuupplýsinga (DPDPA) setur fram skýrar leiðbeiningar um meðferð persónuupplýsinga og leggur áherslu á sterkar verndarreglur varðandi friðhelgi einkalífsins.
Lögsaga og landfræðilegt gildissvið
DPDPA gildir um alla aðila sem meðhöndla persónuupplýsingar á Indlandi, hvort sem þeir eru innlendir eða erlendir. Hann stjórnar vinnslu persónuupplýsinga sem tilheyra indverskum íbúum og jafnvel erlendum íbúum þegar gögn þeirra eru unnin á Indlandi samkvæmt samningum við erlenda aðila. Í meginatriðum, ef fyrirtæki þitt starfar á Indlandi eða vinnur úr gögnum indverskra íbúa, er skylda að fylgja reglunum.
Lögin taka mið af svæðisbundinni nálgun, sem þýðir að fyrirtæki með aðsetur utan Indlands verða einnig að fara eftir kröfunum ef þau vinna úr persónuupplýsingum einstaklinga innan landamæra Indlands. Þessi útbreiðslusvæði gerir það afar mikilvægt fyrir alþjóðleg fyrirtæki sem þjóna indverskum viðskiptavinum eða viðhalda samstarfi á svæðinu að forgangsraða reglufylgni. Dulkóðun og aðrar öryggisráðstafanir, eins og lýst er hér að neðan, gegna lykilhlutverki í að uppfylla þessar kröfur.
Kröfur um dulkóðun
DPDPA-fyrirmælin „sanngjarnar öryggisráðstafanir“ til að vernda persónuupplýsingar. Þetta felur í sér dulkóðun, dulkóðun, grímu eða notkun sýndartákna sem grunnráðstafanir. Fyrirtæki verða að innleiða þessar tæknilegu og skipulagslegu öryggisráðstafanir til að tryggja margþætt öryggislag fyrir viðkvæmar upplýsingar.
Ítarleg aðgangsstýring með reglulegri yfirferð á skrám er einnig nauðsynleg. Að auki verða fyrirtæki að viðhalda afritum af gögnum til að tryggja samfellu ef gagnatap eða kerfisröskun verður. Fyrir fyrirtæki sem nota lausnir fyrirtækjahýsingu, öflug dulkóðun er í samræmi við strangar kröfur DPDPA. Fyrirtæki eru skylt að geyma gögn og aðgangsskrár í að minnsta kosti eitt ár til að auðvelda uppgötvun, rannsókn og forvarnir gegn brotum.
Gildissvið fyrirtækjageymslu
Geymslukerfi fyrirtækja verða að vera í samræmi við ramma DPDPA með því að flokka persónuupplýsingar og skilgreina kröfur um vinnslu þeirra. Þessi flokkun er nauðsynleg til að byggja upp árangursríkar reglur um eftirlit.
Fyrirtæki verða einnig að gera skýra samninga við gagnavinnsluaðila, til að tryggja að öryggisráðstafanir og skyldur séu uppfylltar í allri vinnslukeðjunni. Þessir samningar ættu að innihalda sérstaka ábyrgð og öryggisráðstafanir sem endurspegla þá sem aðal gagnaverndarfulltrúi hefur. Formlegir gagnavinnslusamningar eru lagaleg krafa samkvæmt DPDPA.
„Fyrirtæki ættu að byrja að tileinka sér fyrirbyggjandi eftirlitsstefnur með því að fjárfesta í tækni sem eykur friðhelgi einkalífsins, framkvæma áhættumat á reglugerðum og innleiða notendamiðaðar gagnastjórnunarlíkön.“ – Gaurav Bhalla, félagi hjá Ahlawat & Associates
Viðbragðsferli við atvikum eru annar mikilvægur þáttur. Fyrirtæki verða að vera reiðubúin að tilkynna til Persónuverndarnefnd Indlands (DPBI) og einstaklinga sem verða fyrir áhrifum ef um brot er að ræða. Brot, eins og það er skilgreint í persónuupplýsingalögum (DPDPA), felur í sér óheimilan aðgang, óviljandi birtingu, misnotkun, breytingu, eyðingu eða tap á persónuupplýsingum sem hefur í för með sér trúnað, heilleika eða aðgengileika þeirra. Þessar kröfur eru í samræmi við víðtækari eftirlitsstefnur fyrirtækja.
Viðurlög við brotum á reglum
Fjárhagslegar sektir fyrir brot á reglum eru háar, allt að ... 250 krónur (um 14,3 milljónir punda) eða 41,3 milljarðar punda af alþjóðlegri veltuÞessar refsingar undirstrika mikilvægi þess að fylgja lögum og innleiða traustar öryggisráðstafanir.
Auk sekta getur brot á reglum leitt til orðsporsskaða og missis trausts viðskiptavina á indverska markaðnum. Til að draga úr þessari áhættu ættu fyrirtæki að grípa til heildstæðrar nálgunar, þar á meðal að skipa Persónuverndarfulltrúi (DPO) með aðsetur á Indlandi til að starfa sem tengiliður eftirlitsaðila. Sjálfvirk kerfi til að greina ógnir og sniðmát fyrir tilkynningar um brot geta einnig hjálpað til við að tryggja skjót viðbrögð við atvikum.
Reglulegt mat á varnarleysi og áhættumiðaðar tæknilegar og skipulagslegar ráðstafanir eru nauðsynlegar. Fyrirtæki verða einnig að meta hugsanlegar takmarkanir á gagnaflutningum yfir landamæri og íhuga valkosti eins og staðbundna gagnaspeglun eða geymslu til að vera í fullu samræmi. Að skilja og taka á þessum kröfum er lykilatriði til að samræma geymslukerfi fyrirtækja bæði við staðbundna og alþjóðlega staðla fyrir gagnavernd.
sbb-itb-59e1987
6. Lög um vernd persónuupplýsinga (PIPL) – Kína
Kínversk lög um vernd persónuupplýsinga (PIPL) framfylgja ströngum reglum um gagnavernd og dulkóðun og setja háar kröfur um fylgni á heimsvísu.
Lögsaga og landfræðilegt gildissvið
Persónuupplýsingalögin (PIPL) eiga við um allar stofnanir sem meðhöndla persónuupplýsingar einstaklinga innan Kína. Lögin ná lengra en landamæri Kína og hafa áhrif á bæði innlend og alþjóðleg fyrirtæki. Ef fyrirtæki safnar, geymir, notar eða vinnur úr gögnum sem tilheyra einstaklingum í Kína – jafnvel án þess að vera með raunverulega viðveru í landinu – verður það að fara að ákvæðunum. Þetta á einnig við um fyrirtæki sem bjóða upp á vörur eða þjónustu til kínverskra notenda eða greina hegðun þeirra.
Þegar kemur að gagnaflutningum yfir landamæri setja lögin strangar takmarkanir. Fyrirtæki verða að tryggja að allir erlendir móttakendur gagnanna fylgi verndarstöðlum sem eru jafngildir þeim sem eru í PIPL. Að auki eru fyrirtæki skylt að tilnefna fulltrúa innanlands í Kína til að hafa eftirlit með eftirfylgni og axla lagalega ábyrgð.
Kröfur um dulkóðun
Dulkóðun er hornsteinn tæknilegra öryggisráðstafana PIPL. Fyrirtæki verða að fylgja Reglugerðir um dulkóðun í viðskiptalegum tilgangi, sem krefjast notkunar á dulkóðunaralgrímum sem samþykkt eru af stjórnvöldum. Algengir dulkóðunarstaðlar eins og AES eru ekki leyfðir nema þeir séu sérstaklega vottaðir af kínverskum yfirvöldum. Ennfremur verða öll dulkóðuð viðkvæm gögn og dulkóðunarlyklar að vera geymd innan landamæra Kína. Fyrir fjölþjóðleg fyrirtæki skapar þetta verulegar hindranir, þar sem þau þurfa að aðlagast staðbundnum dulkóðunaralgrímum og lyklastjórnunarkerfum.
Gildissvið fyrirtækjageymslu
Í PIPL-reglunum eru einnig skýrar reglur um geymslu fyrirtækjagagna í Kína. Persónuupplýsingar þurfa almennt að vera geymdar innan landsins nema ströng skilyrði fyrir millifærslur yfir landamæri séu uppfyllt. Til að fara varlega flokka fyrirtæki oft óviss gögn sem „mikilvæg gögn“, sem kallar á viðbótaröryggisreglur, þar á meðal kröfur um háþróaða dulkóðun.
Til að uppfylla kröfur verða fyrirtæki að innleiða ráðstafanir eins og dulkóðun og afpersun til að vernda persónuupplýsingar gegn brotum, þjófnaði eða óvart eyðingu. Reglubundið eftirlit með reglufylgni er nauðsynlegt, þar á meðal endurskoðun á dulkóðunaraðferðum, staðfesting á viðurkenndum reikniritum og að tryggja að dulkóðunarlyklar séu innan kínverskrar lögsögu. Í ljósi flækjustigs þessara krafna er mikilvægt að vinna með staðbundnum lögfræðingum og öryggissérfræðingum til að sigrast á áskorunum í reglufylgni.
Viðurlög við brotum á reglum
Refsingarnar fyrir brot á PIPL eru háar. Netstjórnun Kína (CAC) framfylgir lögunum og getur lagt á verulegar sektir eða aðrar refsiaðgerðir. Minniháttar brot geta leitt til sekta allt að 1 milljón júana (u.þ.b. 14.150.000 júana), þar sem einstaklingar sem bera ábyrgð geta átt yfir höfði sér sektir á bilinu 10.000 til 100.000 júana (u.þ.b. 1.500–1.500.000 júana). Alvarleg brot geta leitt til sekta allt að 50 milljónum júana (u.þ.b. 14.770.000 júana) eða 513 júana af tekjum fyrirtækisins á fyrra ári, hvort sem er hærra. Einstaklingar sem taka þátt í alvarlegum brotum geta átt yfir höfði sér allt að 7 ára fangelsi.
Nýleg mál sem hafa komið upp á yfirborðið hafa sýnt fram á hversu alvarlegar þessar refsingar geta verið, þar sem sektir upp á margar milljónir júana og fangelsisdómar eru dæmdir. Til að forðast slíkar afleiðingar verða fyrirtæki að koma á fót traustum eftirlitsramma, þar á meðal reglulegu eftirliti, endurskoðunum og tilkynningarferli um gagnaleka. Þessar ráðstafanir eru nauðsynlegar til að vera á réttri hlið þessa stranga regluverks.
7. Lög um stafræna rekstrarþol (DORA) – Evrópusambandið (fjármálageirinn)
Lög um stafræna rekstrarþol (DORA) setja strangar kröfur um netöryggi og rekstrarþol fyrir fjármálastofnanir sem starfa innan Evrópusambandsins (ESB). Markmið þeirra er að tryggja að fjármálageirinn geti staðist netógnir og truflanir á skilvirkan hátt.
Lögsaga og landfræðilegt gildissvið
DORA gildir um fjölbreytt úrval fjármálastofnana innan ESB, þar á meðal banka, fjárfestingarfyrirtækja, lánastofnana, þjónustuaðila dulritunareigna og hópfjármögnunarvettvanga. Það nær einnig til þriðja aðila í upplýsinga- og samskiptatækni, jafnvel þeirra sem eru með aðsetur utan ESB, svo framarlega sem þeir þjóna fjármálastofnunum ESB. Þetta felur í sér nauðsynlega þjónustuaðila eins og lánshæfismatsfyrirtæki og gagnagreiningarfyrirtæki. Frá og með árinu 2025 munu evrópskar eftirlitsstofnanir – ESMA, EBA og EIOPA – bera kennsl á mikilvæga þriðja aðila í upplýsinga- og samskiptatækni fyrir aukið eftirlit. Þó að minni aðilar geti notið góðs af einfölduðum eftirlitskröfum, verða flestir stofnanir að fylgja öllu gildissviði reglugerðarinnar.
Kröfur um dulkóðun
DORA beitir heildstæðri nálgun á gagnakóðun og krefst þess að fjármálastofnanir tryggi gögn í þremur ríkjum: í kyrrstöðu, á ferð og í notkunÞessi síðasta krafa, dulkóðun gagna í notkun, er sérstaklega athyglisverð þar sem hún er ekki víða innleidd á heimsvísu.
Reglugerðin kveður á um að fjármálastofnanir setji sér öryggisstefnu í upplýsinga- og samskiptatækni sem forgangsraðar aðgengi, áreiðanleika, heiðarleika og trúnaði gagna. Þetta felur í sér að hanna áhættumiðaðar dulkóðunaraðferðir og framkvæma reglulegar matsaðferðir til að takast á við vaxandi netöryggisógnir.
„Fjármálaaðilar skulu hanna, útvega og innleiða öryggisstefnu, verklagsreglur, samskiptareglur og verkfæri í upplýsinga- og samskiptatækni sem miða að því að tryggja seiglu, samfellu og tiltækileika upplýsinga- og samskiptatæknikerfa, einkum þeirra sem styðja við mikilvæga eða mikilvæga starfsemi, og viðhalda háum stöðlum um tiltækileika, áreiðanleika, heilleika og trúnað gagna, hvort sem þau eru í kyrrstöðu, í notkun eða á leiðinni.“ – DORA, 9. gr. 2. gr.
DORA hvetur einnig fjármálastofnanir til að deila upplýsingum um netógnir og veikleika innan traustra neta til að styrkja viðnámsþrótt í öllum greininni.
Gildissvið fyrirtækjageymslu
Reglugerðin leggur mikla áherslu á geymslukerfi fyrirtækja, sérstaklega fyrir stofnanir sem stjórna mikilvægum fjárhagsgögnum. Fyrirtæki verða að tryggja að geymslulausnir þeirra innihaldi öfluga afritunarmöguleika, endurheimtarkerfi og stöðugt eftirlit með þriðja aðila.
Til dæmis verða fyrirtæki sem nota hýsingarlausnir Serverion – eins og sérstaka netþjóna, VPS eða samhýsingarþjónustu – að tryggja að þessi kerfi séu í samræmi við strangar kröfur DORA um öryggi og seiglu. Reglulegar endurskoðanir og sjálfvirkar samræmiseftirlit eru mikilvægar til að viðhalda fylgni við reglugerðina. Þessar ráðstafanir undirstrika mikilvægi öruggra geymslu- og endurheimtaraðferða í öllum fjármálageiranum.
Viðurlög við brotum á reglum
Brot á DORA getur leitt til hára sekta. Fjármálastofnanir geta átt yfir höfði sér allt að ... 2% af heildarárlegri veltu þeirra á heimsvísu eða 1% af meðalveltu þeirra á dagFyrir stór fyrirtæki gæti þetta þýtt sektir upp á tugi milljóna dollara. Þar að auki eru tilteknar refsingar meðal annars:
- Sektir allt að $1,09 milljónir fyrir stjórnendur og fyrirtæki.
- Mikilvægir þriðju aðilar í upplýsinga- og samskiptatækni geta átt yfir höfði sér sektir allt að ... $5,45 milljónir fyrir fyrirtæki eða $545,000 fyrir einstaklinga.
- Brot í netöryggi geta leitt til sekta allt að $2,18 milljónir eða 2% af árlegri veltu.
- Seinkun á tilkynningu atviks getur leitt til sektar frá kl. $272,000.
„Þó að netöryggi sé enn forgangsverkefni þarf fjármálastofnanir að lyfta ábyrgð á þessari áhættu upp á yfirstjórnarstig. Margar fjármálastofnanir skilja enn ekki að fullu líkanið um sameiginlega ábyrgð og telja ranglega að seigla SaaS þjónustu liggi eingöngu hjá birgjum.“ – Wayne Scott, yfirmaður lausna í reglugerðareftirliti hjá Escode.
Sérfræðingar áætla að frá og með 17. janúar 2025 hafi 99% af viðeigandi fjármálastofnunum verið óundirbúnir fyrir DORA-fylgni. Til að forðast þessar hörðu refsingar verða stofnanir að forgangsraða dulkóðun, framkvæma reglulegar netöryggisúttektir, koma á fót sérstökum eftirlitsteymum, þjálfa stjórnendur um lagalega ábyrgð sína og vinna með reyndum netöryggisaðilum til að tryggja seiglu kerfa og nákvæma atvikaskýrslugerð.
Samanburðartafla yfir gagnadulkóðunarlög
Lög um dulkóðun gagna eru mjög mismunandi eftir lögsagnarumdæmum. Hver reglugerð nálgast dulkóðunarkröfur, refsingar og framfylgdaraðferðir á sinn hátt. Taflan hér að neðan sýnir fram á helstu atriði þessara laga og veitir gagnlegan grunn að þeim eftirlitsstefnum sem fjallað er um í síðari köflum.
| Lögfræði | Lögsaga | Kröfur um dulkóðun | Gögn sem fjallað er um | Hámarksrefsingar | Aðalatvinnuvegir |
|---|---|---|---|---|---|
| GDPR | Evrópusambandið | „Viðeigandi tæknilegar ráðstafanir“ þar á meðal dulkóðun | Í hvíld, á ferð | 20 milljónir evra eða 41.300 tonn af alþjóðlegri veltu | Allir geirar |
| CPRA | Kalifornía, Bandaríkin | „Sanngjarnar öryggisráðstafanir“ | Í hvíld, á ferð | $7.500 fyrir hvert vísvitandi brot | Allir geirar |
| LGPD | Brasilía | „Tæknilegar öryggisráðstafanir“ þar á meðal dulkóðun | Í hvíld, á ferð | 21 TP3T af tekjum, hámark ~1 TP4T9,3 milljónir | Allir geirar |
| PÍPA | Kanada | „Viðeigandi öryggisráðstafanir“ | Í hvíld, á ferð | N/A | Allir geirar |
| DPDPA | Indland | „Sanngjarnar öryggisráðstafanir“ | Í hvíld, á ferð | N/A | Allir geirar |
| PIPL | Kína | „Tæknilegar ráðstafanir“ þar á meðal dulkóðun | Í hvíld, á ferð | N/A | Allir geirar |
| DÓRA | ESB (fjármála) | Skyldubundin dulkóðun | Í hvíld, á ferð | N/A | Aðeins fjármálaþjónusta |
Lykilmunur á nálgun
Kröfur um dulkóðun eru misjafnar hvað varðar skýrleika. Til dæmis kallar GDPR á „viðeigandi tæknilegar ráðstafanir“ sem bjóða upp á sveigjanleika í framkvæmd. Hins vegar kveður DORA sérstaklega á um dulkóðun, sérstaklega fyrir fjármálaþjónustu. Þessi greinarmunur endurspeglar mismunandi sérstöðu sem mismunandi reglugerðir kveða á um.
Evrópska bankaeftirlitsstofnunin býður upp á ítarlegar leiðbeiningar um reglufylgni og segir:
„Þjónustuveitendur ættu að tryggja að þegar þeir skiptast á viðkvæmum gögnum í gegnum internetið sé beitt öruggri dulkóðun frá enda til enda milli samskiptaaðila í gegnum viðkomandi samskiptalotu til að vernda trúnað og heilleika gagnanna með því að nota sterkar og almennt viðurkenndar dulkóðunaraðferðir.“
Refsikerfi
Fjárhagslegar afleiðingar þess að fylgja ekki reglugerðum eru mjög mismunandi. Persónuverndarreglugerðin (GDPR) setur nokkrar af hæstu refsingunum, þar sem sektir geta numið allt að 20 milljónum evra eða 41.300 tonnum af heildarveltu. Á sama tíma notar CPRA refsilíkan fyrir hvert brot, sem getur leitt til hækkandi sekta fyrir endurtekin brot. Fyrir aðrar reglugerðir eru upplýsingar um refsingar óljósari, sem leggur áherslu á nauðsyn þess að skilja staðbundnar framkvæmdarvenjur.
Landfræðilegt og atvinnugreinalegt umfang
Þó að flestar reglugerðir eigi við um allar atvinnugreinar innan lögsögu þeirra, er DORA undantekning og einbeitir sér eingöngu að fjármálaþjónustu. Þessi markvissa nálgun endurspeglar mikilvægi gagnaöryggis í fjármálastarfsemi. Athyglisvert er að rannsókn Sectigo leiddi í ljós að 25% af evrópskum bönkum skortir enn framlengda staðfestingu. SSL vottorð, sem undirstrikar viðvarandi áskoranir við að uppfylla öryggisstaðla.
Afbrigði af framkvæmd
Framfylgdarreglur eru einnig mismunandi. Sum lög leyfa sveigjanleika til að aðlagast þróun tækni, en önnur, eins og DORA, veita strangar leiðbeiningar, svo sem að krefjast öruggrar dulkóðunar frá enda til enda fyrir gagnaskipti á internetinu. Þessir munir undirstrika mikilvægi þess að sníða dulkóðunaraðferðir að sérstökum reglugerðarkröfum.
Fyrir fyrirtæki sem starfa í mörgum lögsagnarumdæmum er mikilvægt að skilja þessi blæbrigði. Hvort sem notaðir eru sérþjónar, VPS eða samnýttar þjónustur frá þjónustuaðilum eins og Serverion, þá er aðlögun dulkóðunaraðferða að gildandi lögum mikilvægt skref í átt að samræmi.
Hvernig fyrirtæki geta uppfyllt kröfur um reglufylgni
Til að uppfylla kröfur um dulkóðun þurfa fyrirtæki meira en bara háþróuð öryggisverkfæri – þau þurfa skipulagt eftirlitskerfi. Þetta felur í sér stöðugt eftirlit, reglulegar endurskoðanir, ítarlega skjölun og samræmda framfylgd stefnu. Svona geta fyrirtæki uppfyllt þessar kröfur á skilvirkan hátt.
Að koma á fót reglulegum endurskoðunarvenjum
Endurskoðanir eru burðarás allrar reglufylgnistefnu. Bæði innri og ytri endurskoðanir gegna mikilvægu hlutverki. Innri endurskoðanir nýta djúpa þekkingu fyrirtækisins til að bera kennsl á hugsanleg eyður, en ytri endurskoðanir veita ferskt og óhlutdrægt sjónarhorn sem getur afhjúpað veikleika sem gleymast. Saman tryggja þessar endurskoðanir að öryggisráðstafanir séu ekki aðeins innleiddar heldur haldist virkar til lengri tíma litið.
Að byggja upp sterk skjalakerfi
Skýr og ítarleg skjölun eru mikilvæg til að fylgja reglugerðum. Eins og Peter Schawacker, nýsköpunar- og stefnumótunarfræðingur í netráðningum og ráðningum, og fyrrverandi upplýsingastjóri, orðar það:
„Stefna er skýr yfirlýsing um ásetning stjórnenda. Hún er Norðurstjarna fyrirtækisins. Án hennar er erfitt eða ómögulegt að ná samræmingu. Og ábyrgð verður mjög flókið mál ef hægt er að draga fólk til ábyrgðar yfirhöfuð.“
Fyrirtæki þurfa að skrá stjórnun dulkóðunarlykla, gagnavinnsluferla og viðbragðsáætlanir. Til dæmis geta rétt viðhaldnar viðbragðsáætlanir dregið verulega úr niðurtíma og áhrifum brota. Þetta er sérstaklega mikilvægt þar sem spáð er að kostnaður vegna netglæpa í heiminum muni ná 140 milljörðum punda á ári fyrir árið 2025.
Að framfylgja stefnu samræmdum
Samræmi í framfylgd stefnu er lykilatriði til að forðast eyður í eftirfylgni. Með því að taka starfsmenn frá ýmsum deildum þátt í stefnumótun er tryggt að leiðbeiningarnar séu hagnýtar og viðeigandi. Reglulegar uppfærslur á þessum stefnum hjálpa fyrirtækjum að vera í takt við síbreytilegar ógnir og reglugerðarbreytingar, sem gerir eftirfylgni að samfelldu ferli frekar en einu sinni.
Að velja rétta innviði
Rétt innviðauppbygging getur gert reglufylgni auðveldari. Hýsingaraðilar með innbyggðum öryggiseiginleikum, svo sem DDoS-vörn, SSL-vottorðum og öruggum rekstri gagnavera, bjóða upp á sterkan grunn. Til dæmis styður alþjóðleg innviðauppbygging Serverion reglufylgni með öflugum öryggisvenjum sínum og valkostum fyrir gagnageymslu, sem auðveldar fyrirtækjum að uppfylla reglugerðarstaðla.
Þjálfun og innleiðing öryggis í menningu
Regluleg þjálfunarnámskeið tryggja að starfsmenn skilji hlutverk sitt í að viðhalda dulkóðunarstöðlum og reglufylgni. Með því að hlúa að menningu þar sem öryggi er sameiginleg ábyrgð geta stofnanir skapað umhverfi þar sem reglufylgni verður sjálfsagður hluti af sjálfu sér.
Stöðug eftirlit og úrbætur
Stöðugt eftirlit er nauðsynlegt þar sem bæði kerfi og netógnir þróast. Þetta felur í sér að endurskoða aðgangsstýringar, stjórna skiptingu dulkóðunarlykla og endurnýja öryggisvottorð. Sjálfvirk verkfæri geta bent á hugsanleg vandamál varðandi reglufylgni í rauntíma, sem gerir teymum kleift að grípa til skjótra leiðréttingaraðgerða og styrkja öryggisstöðu sína stöðugt.
Niðurstaða
Að rata í gegnum alþjóðleg lög um dulkóðun gagna snýst ekki bara um að haka við lagalega gátreiti – það er mikilvægt skref í að vernda fyrirtæki þitt fyrir miklum fjárhagslegum áföllum og orðsporsskaða. Tölurnar segja sitt: fyrirtæki geta tapað allt að 25% af markaðshlutdeild þeirra eftir netárás og kostnaður vegna brota á reglum er gríðarlegur 2,71 sinnum hærra en útgjöldin sem þarf til að uppfylla kröfur. Ef það undirstrikar ekki brýnina, þá mun ekkert gera það.
Eftirlitsaðilar eru að tvöfalda eftirfylgni sína og afleiðingarnar af því að vanrækja reglur eru harðari en nokkru sinni fyrr. Nýleg mál sýna fram á hversu há verð vanrækslu verður. Tökum Solara Medical Supplies sem dæmi – eftir að hafa afhjúpað viðkvæmar heilsufarsupplýsingar yfir 114.000 einstaklinga stóðu þeir frammi fyrir... $3 milljóna sekt í janúar 2025. Þetta mál er alvarleg áminning um að það sparar ekki peninga að sleppa því að fylgja reglum; það kostar miklu meira til lengri tíma litið.
Lögmaðurinn Joan Wrabetz orðar það fullkomlega: friðhelgi einkalífsins hefur færst úr því að vera einungis lagaleg krafa yfir í að verða... miðlæg viðskiptaáætlun, þar sem dulkóðun þjónar nú sem lykilþáttur sem greinir leiðtoga á markaðnum.
Til að draga úr þessari áhættu þurfa fyrirtæki að bregðast við núna með því að fjárfesta í öruggum innviðum. Þetta þýðir samstarf við hýsingaraðila sem bjóða upp á innbyggða öryggiseiginleika eins og DDoS vörn, SSL vottorðog öruggar gagnaver með alþjóðlegri þjónustu. Til dæmis býður Serverion upp á öflugar öryggisráðstafanir og sveigjanlega möguleika á gagnageymslu, sem hjálpar fyrirtækjum að uppfylla flóknar reglugerðarkröfur án þess að fórna rekstrarhagkvæmni.
Þar sem stjórnvöld framfylgja strangari reglum um gagnavernd munu stofnanir sem forgangsraða dulkóðun og öruggum geymslulausnum koma sér fyrir sem leiðtogar í stafrænu hagkerfi nútímans.
Algengar spurningar
Hvernig eru kröfur um dulkóðun gagna samkvæmt GDPR og CPRA ólíkar?
The Almennu persónuverndarreglugerðinni (GDPR) og Lög um friðhelgi einkalífs í Kaliforníu (CPRA) fara mismunandi leiðir þegar kemur að gagnadulkóðun og heildaráherslu þeirra. GDPR setur strangari kröfur og skyldar stofnanir til að innleiða tæknilegar og skipulagslegar ráðstafanir, líkt og dulkóðun, til að vernda persónuupplýsingar og koma í veg fyrir brot. Gildissvið þess er víðtækt og nær yfir allar persónuupplýsingar íbúa ESB og það leggur áherslu á fyrirbyggjandi afstöðu til gagnaöryggis.
Aftur á móti hallar CPRA meira að neytendaréttindi og gagnsæi fyrir íbúa Kaliforníu. Þó að það hvetji til dulkóðunar sem góðrar starfsvenju, gerir það hana ekki að ströngu skilyrði. Þess í stað leggur CPRA mikla áherslu á tilkynningar um brot og áhættustjórnun eftir að atvik hafa átt sér stað, frekar en að framfylgja ströngum fyrirbyggjandi aðgerðum. Þessir munir undirstrika helstu forgangsröðun hverrar reglugerðar - GDPR miðar að öflugri gagnavernd, en CPRA forgangsraðar stjórn neytenda og ábyrgð eftir brot.
Hvaða skref ættu fyrirtæki að grípa til til að tryggja að dulkóðunaraðferðir þeirra séu í samræmi við alþjóðleg lög um gagnavernd?
Til að uppfylla alþjóðleg lög um gagnavernd þurfa fyrirtæki að innleiða sterkir dulkóðunarstaðlarFyrir samhverfa dulkóðun er AES-256 áreiðanlegur kostur, en RSA með 2048-bita eða stærri lyklum virkar vel fyrir ósamhverfa dulkóðun. Jafn mikilvægt er stjórnun dulkóðunarlykla, sem felur í sér að búa til, geyma, dreifa og afturkalla lykla á öruggan hátt til að koma í veg fyrir óheimilan aðgang.
Það er einnig mikilvægt að fylgjast með tilteknum lagalegum ramma, svo sem GDPR, sem leggur áherslu á örugga gagnavinnslu og viðurkennir dulkóðun sem mikilvæga tæknilega öryggisráðstöfun. Reglulega endurskoðun og uppfærslu á dulkóðunarreglum í samræmi við núverandi starfshættir í greininni tryggir að fyrirtæki séu í samræmi við reglur á mismunandi svæðum. Að einbeita sér að öryggi og sveigjanleika er lykillinn að því að halda í við síbreytilegt landslag reglugerða um gagnavernd.
Hverjar eru hætturnar fyrir fyrirtæki sem fara ekki að lögum um dulkóðun gagna eins og DORA og PIPL?
Brot á lögum um dulkóðun gagna, eins og DÓRA og PIPL getur leitt til alvarlegra afleiðinga fyrir fyrirtæki. Til dæmis, samkvæmt DORA, gætu fyrirtæki átt yfir höfði sér sektir sem nema allt að 21 ¢¾ milljörðum af árlegri heildarveltu þeirra. Á sama hátt geta brot á PIPL leitt til sekta allt að 50 milljónum jen (um 1 ₹₹₀₀₀₀) eða 51 ¢¾ milljörðum af árstekjum.
En afleiðingarnar stoppa ekki við fjárhagslegar sektir. Fyrirtæki gætu einnig þurft að takast á við lagaleg aðgerðir, svipting leyfa og rekstrartruflanir, sem allt getur grafið undan fjárhagslegri heilbrigði og skaðað orðspor þeirra. Að fylgja reglum snýst ekki bara um að forðast þessa áhættu – það er líka leið til að styrkja traust viðskiptavina og samstarfsaðila með því að sýna sterka skuldbindingu við að vernda gögn.
