Top 7 Legi privind Criptarea Datelor pentru Întreprinderi
Criptarea datelor nu mai este opțională. Având în vedere că se preconizează că daunele provocate de infracțiunile cibernetice vor afecta 10,5 trilioane până în 2025 și amenzi pentru nerespectare care ajung milioane de dolariÎnțelegerea legilor privind criptarea este esențială pentru companii. Acest ghid acoperă șapte reglementări cheie care modelează protecția datelor la nivel global:
- RGPD (UE)Încurajează criptarea datelor cu caracter personal cu amenzi de până la 20 de milioane de euro sau 41 de trilioane de euro venituri anuale.
- CPRA (California, SUA)Necesită criptare; încălcările securității datelor necriptate permit intentarea de procese.
- LGPD (Brazilia)Solicită garanții precum criptarea; sancțiuni de până la 2% de venituri.
- PIPEDA (Canada)Recomandă criptarea pentru protejarea datelor cu caracter personal.
- DPDPA (India)Impune „practici de securitate rezonabile”, inclusiv criptarea.
- PIPL (China)Necesită criptare aprobată de guvern pentru datele din interiorul granițelor sale.
- DORA (Sectorul Financiar al UE)Standarde stricte de criptare pentru entitățile financiare, acoperind datele aflate în repaus, în tranzit și în utilizare.
Comparație rapidă:
| Drept | Jurisdicție | Mandatul de criptare | Penalizare maximă |
|---|---|---|---|
| GDPR | UE | Recomandat cu tărie | Venituri de 20 de milioane de euro sau 41 de trilioane de euro |
| CPRA | California, SUA | Necesar pentru protecția împotriva încălcărilor | $7.500/încălcare |
| LGPD | Brazilia | Garanții tehnice necesare | 2% de venituri |
| PIPEDA | Canada | Încurajat, nu obligatoriu | CAD $100.000/încălcare |
| DPDPA | India | „Garanții rezonabile” | ₹250 Cr sau 4% rulaj |
| PIPL | China | Criptare aprobată obligatorie | Venituri de 50 de milioane de yeni sau 51 de trilioane de yeni |
| DORA | UE (Sectorul Financiar) | Obligatoriu pentru datele financiare | 2% din cifra de afaceri anuală |
Criptarea protejează companiile de încălcări ale legii, amenzi și daune aduse reputației. Citiți mai departe pentru informații detaliate despre aceste legi și cum să respectați legile.
9 Reglementări privind confidențialitatea datelor pe care trebuie să le cunoașteți
1. Regulamentul general privind protecția datelor (RGPD) – Uniunea Europeană
În vigoare din mai 2018, GDPR a remodelat modul în care datele cu caracter personal sunt gestionate la nivel global.
Jurisdicție și domeniu geografic de aplicare
GDPR-ul nu se limitează la Europa – are o acoperire globală. Orice organizație, indiferent de locul în care se află, trebuie să se conformeze dacă prelucrează date cu caracter personal ale rezidenților din UE. De exemplu, companiile cu sediul în SUA care deservesc clienți din UE sunt supuse acestor reguli. Regulamentul separă responsabilitățile între operatori de date (care decid cum și de ce sunt prelucrate datele) și procesatorii de date (care gestionează datele în numele operatorilor). Această distincție este relevantă în special pentru furnizorii de găzduire și companiile care utilizează servicii de colocație.
Cerințe de criptare (obligatorii sau încurajate)
Deși criptarea nu este impusă în mod explicit de GDPR, este recomandată insistent ca o garanție tehnică cheie. Articolul 32 solicită măsuri tehnice și organizatorice adecvate pentru protejarea datelor cu caracter personal, iar criptarea este frecvent sugerată ca fiind una dintre cele mai eficiente metode. Acest lucru se aplică atât date în repaus și date în tranzitAutorități precum Biroul Comisarului pentru Informații din Regatul Unit recomandă utilizarea soluții de criptare care respectă standarde precum FIPS 140-2 și FIPS 197.
Un beneficiu major al criptării este impactul său asupra notificărilor privind încălcările de securitate. Organizațiile trebuie să raporteze încălcările de date în termen de 72 de ore, conform GDPR. Cu toate acestea, dacă datele criptate sunt compromise și devin ilizibile pentru atacatori, această cerință poate fi anulată.
Aplicabilitate la stocarea în întreprinderi
Pentru întreprinderile care gestionează date în diverse medii de stocare, conformitatea cu GDPR poate fi o provocare. Regulamentul se aplică datelor cu caracter personal stocate pe servere dedicate, platforme cloud, sau infrastructuri hibrideCompaniile trebuie să clasifice datele în funcție de sensibilitatea lor pentru a determina măsurile de criptare corecte. Transferurile transfrontaliere de date necesită o atenție deosebită, deoarece GDPR impune reguli stricte privind mutarea datelor cu caracter personal în afara UE/SEE fără garanții adecvate. Criptarea este esențială pentru asigurarea transferurilor internaționale de date securizate. Furnizorii de găzduire, inclusiv cei precum Serverion, trebuie să își alinieze practicile de criptare cu standardele GDPR pentru a sprijini eforturile de conformitate ale clienților lor.
Sancțiuni pentru nerespectare
GDPR impune un sistem de sancțiuni pe niveluri care face ca nerespectarea regulilor să fie dificilă din punct de vedere financiar. Încălcările minore pot duce la amenzi de până la 14T 11,8 milioane TP sau 2% din veniturile anuale globale, oricare dintre acestea este mai mare. Încălcările grave pot duce la amenzi de până la 14T 23,6 milioane TP sau 4% din veniturile globale. Cazurile recente ilustrează rigoarea regulamentului. În 2023, Meta a fost amendată cu 14T 1,2 miliarde TP de către Comisia Irlandeză pentru Protecția Datelor pentru neprotejarea transferurilor de date. În mod similar, H&M s-a confruntat cu o amendă de 14T 41,8 milioane TP în 2020 pentru monitorizarea ilegală a angajaților.
Nerespectarea poate duce la mai mult decât simple amenzi. Organizațiile se pot confrunta cu restricții operaționale, cum ar fi ordine de oprire a prelucrării datelor și ar putea fi, de asemenea, răspunzătoare pentru daunele solicitate de persoanele afectate.
„Regulamentul general privind protecția datelor (GDPR) este cea mai strictă lege privind confidențialitatea și securitatea din lume.” – GDPR.EU
Pentru furnizorii de găzduire și infrastructură, aceste penalități subliniază necesitatea unor strategii robuste de criptare pentru a le proteja operațiunile și a se asigura că clienții lor îndeplinesc cerințele de conformitate.
În continuare, vom explora Legea privind drepturile de confidențialitate din California și modul în care aceasta diferă în abordarea sa privind confidențialitatea datelor pentru întreprinderi.
2. Legea privind drepturile la confidențialitate din California (CPRA) – Statele Unite
Începând cu 1 ianuarie 2023, CPRA consolidează Legea privind confidențialitatea consumatorilor din California (CCPA), introducând reguli mai stricte pentru companiile care gestionează informații personale aparținând rezidenților din California.
Jurisdicție și domeniu geografic de aplicare
CPRA vizează în mod specific afaceri cu scop lucrativ care colectează informații personale de la rezidenții din California și îndeplinesc anumite criterii. Acestea includ:
- Companii cu venituri brute anuale care depășesc $25 milioane.
- Companiile care cumpără, vând sau partajează informații personale ale 100.000 sau mai mult Locuitori, gospodării sau dispozitive din California.
- Entități care câștigă 50% sau mai mult din venitul lor anual din vânzarea sau partajarea informațiilor personale ale consumatorilor din California.
Spre deosebire de GDPR, care are o acoperire globală, CPRA se concentrează exclusiv pe companiile care deservesc rezidenții din California, indiferent de locația lor fizică. O caracteristică cheie a CPRA este... principiul minimizării datelor, care limitează colectarea și păstrarea datelor la ceea ce este strict necesar pentru operațiunile comerciale.
Cerințe de criptare (obligatorii sau încurajate)
Secțiunea 1798.150 din CPRA impune companiilor să implementeze măsuri de securitate stricte pentru a proteja informațiile personale. În cazul în care datele necriptate sunt sparte, consumatorii au dreptul de a intenta procese civile. Regulamentul prevede:
„Orice consumator ale cărui informații personale necriptate și needitate... sunt supuse unui acces neautorizat și exfiltrări, furtului sau divulgării ca urmare a încălcării de către companie a obligației de a implementa și menține proceduri și practici de securitate rezonabile... poate intenta o acțiune civilă.”
Legile din California Criptare pe 128 de biți ca standard minim pentru anumite sisteme, modulele criptografice necesitând certificare în conformitate cu FIPS 140-2 standarde. CPRA impune criptarea atât pentru datele în tranzit, cât și pentru cele aflate în repaus, iar companiile sunt încurajate să stocheze cheile de criptare separat de datele criptate. Aceste măsuri sunt esențiale pentru asigurarea conformității și protejarea sistemelor de stocare ale întreprinderilor.
Aplicabilitate la stocarea în întreprinderi
Sistemele de stocare ale întreprinderilor trebuie să se alinieze cerințelor stricte ale CPRA. Se așteaptă ca întreprinderile să performeze evaluări ale protecției datelor pentru a identifica riscurile la adresa confidențialității și a implementa măsurile de siguranță necesare în toate mediile de stocare.
Legea impune, de asemenea, companiilor să anonimizeze sau să agrege informațiile personale, ceea ce are impact asupra modului în care datele sunt stocate și gestionate. Organizațiile care utilizează servicii de găzduire trebuie să se asigure că furnizorii lor respectă CPRA, creând un lanț de responsabilitate pe tot parcursul ciclului de viață al procesării datelor. De exemplu, companiile care se bazează pe serviciile Serverion trebuie să se asigure că standardele de criptare sunt respectate în toate configurațiile.
Elementele cheie ale conformității includ efectuarea de audituri de securitate regulate și aplicarea unor controale stricte ale accesului. În plus, CPRA acordă locuitorilor din California dreptul de a renunța la procesul decizional automatizat, impunând sisteme care pot identifica și separa datele utilizate în astfel de scopuri.
Sancțiuni pentru nerespectare
Nerespectarea CPRA poate duce la amenzi și procese private. Consumatorii afectați de încălcări ale securității datelor cauzate de măsuri de securitate inadecvate pot solicita daune, de la $107 până la $799 per incident.
După cum explică Alfred Brunetti, director la Porzio, Bromberg and Newman PC:
„O afacere, un furnizor de servicii sau o altă persoană despre care se constată că încalcă CCPA, astfel cum a fost modificată de CPRA, este supusă unei ordonanțe judecătorești și unei sancțiuni civile de cel mult $2.500 per încălcare și de cel mult $7.500 per încălcare intenționată.”
Acțiunile recente de aplicare a legii subliniază importanța respectării acestor reglementări. De exemplu, în 2022, Sephora a plătit 1,2 milioane de lire sterline pentru a soluționa reclamațiile privind încălcarea CCPA, iar în 2024, DoorDash s-a confruntat cu o amendă de 1,375.000 de lire sterline pentru partajarea datelor clienților fără consimțământul explicit. În special, CPRA a eliminat perioada de remediere de 30 de zile permisă anterior în temeiul CCPA, ceea ce înseamnă că firmele se pot confrunta cu sancțiuni imediate dacă încălcările nu sunt abordate prompt.
În continuare, vom examina Lei Geral de Proteção de Dados din Brazilia pentru a explora modul în care este abordată criptarea în America Latină.
3. Lei Geral de Proteção de Dados (LGPD) – Brazilia
Lei Geral de Proteção de Dados (LGPD) din Brazilia stabilește reguli stricte, puternic inspirate de GDPR al UE, pentru a proteja datele personale.
Jurisdicție și domeniu geografic de aplicare
LGPD are o acoperire largă, aplicându-se organizațiilor de oriunde în lume dacă acestea gestionează date cu caracter personal ale unor persoane din Brazilia. Aceasta include prelucrarea datelor de către persoane fizice sau entități – fie ele publice, fie private. Dacă afacerea dvs. are clienți, angajați, contractanți sau parteneri în Brazilia, respectarea LGPD este obligatorie.
Legea se aplică:
- Activități de prelucrare a datelor desfășurate în Brazilia.
- Date colectate în Brazilia.
- Date cu caracter personal ale persoanelor din Brazilia, indiferent de locul în care se află persoana împuternicită de operator.
Cerințe de criptare (obligatorii sau încurajate)
Deși LGPD nu impune în mod explicit criptarea, aceasta subliniază necesitatea măsuri de securitate rezonabile pentru a proteja datele cu caracter personal. Articolul 46 specifică faptul că organizațiile trebuie să adopte măsuri de siguranță tehnice, de securitate și administrative pentru a preveni accesul neautorizat. Datele care sunt complet anonimizate sau criptate fără a putea fi recuperate nu sunt supuse acestor reglementări.
Pentru a se conforma, organizațiile ar trebui să implementeze o combinație de strategii, cum ar fi:
- Politici de securitate și planuri de răspuns la incidente.
- Instruire de conștientizare pentru angajați.
- Controlul accesului și alte măsuri tehnice.
Pentru companiile care utilizează soluții de găzduire, precum cele de la Serverion, menținerea unor protocoale puternice de criptare este esențială pentru a respecta standardele LGPD. Aceste măsuri sunt esențiale pentru a proteja datele pe diverse platforme de stocare.
Aplicabilitate la stocarea în întreprinderi
Sistemele de stocare ale întreprinderilor trebuie să se alinieze cu directivele de securitate ale LGPD. Aceasta înseamnă că întreprinderile trebuie să documenteze modul în care datele sunt colectate, utilizate, stocate și partajate. De asemenea, acestea trebuie să evalueze transferurile internaționale de date pentru a asigura conformitatea cu legea.
Pașii cheie includ:
- Stabilirea unor cadre de protecție a datelor.
- Efectuarea periodică a evaluărilor impactului asupra protecției datelor (DPIA).
- Numirea unui responsabil cu protecția datelor (RPD) pentru a supraveghea eforturile de conformitate.
- Pregătirea planurilor de răspuns la încălcarea datelor.
- Instruirea angajaților cu privire la cele mai bune practici de protecție a datelor.
Furnizorii de servicii trebuie, de asemenea, să respecte standardele de securitate conforme cu LGPD pe întregul lanț de procesare a datelor.
Sancțiuni pentru nerespectare
Nerespectarea LGPD poate duce la amenzi usturătoare – de până la 21,3 milioane de rande din venitul net al unei companii din Brazilia, plafonate la 1,4 milioane de rande și 50 de milioane de rande per încălcare. Sancțiunile suplimentare includ:
- Amenzi zilnice pentru probleme nerezolvate.
- Dezvăluirea publică a încălcărilor.
- Blocarea sau ștergerea datelor cu caracter personal.
- Suspendarea sau interzicerea activităților de prelucrare a datelor.
Cazurile recente de aplicare a legii evidențiază eficacitatea legii. De exemplu, pe 6 iulie 2023, Telekall Infoservice a fost amendată cu 14.400 de reali reali (aproximativ 14.2938 de trilioane de sterline) pentru multiple încălcări, inclusiv nenumirea unui responsabil cu protecția datelor și lipsa unui temei juridic adecvat pentru prelucrarea datelor. În mod similar, în octombrie 2023, Departamentul de Sănătate al statului Santa Catarina s-a confruntat cu sancțiuni pentru probleme precum măsuri de securitate deficitare și raportarea cu întârziere a incidentelor.
Dincolo de sancțiunile financiare, nerespectarea regulilor poate duce la procese din partea persoanelor afectate, la afectarea reputației unei companii și chiar la pierderea privilegiilor de prelucrare a datelor. Pentru companiile care operează în Brazilia, îndeplinirea cerințelor LGPD nu înseamnă doar evitarea amenzilor - este esențială pentru menținerea încrederii și a continuității operaționale.
În continuare, vom analiza modul în care PIPEDA din Canada abordează provocări similare în materie de protecție a datelor.
4. Legea privind protecția informațiilor personale și documentele electronice (PIPEDA) – Canada
Canada Legea privind protecția informațiilor personale și documentele electronice (PIPEDA) stabilește reguli privind modul în care organizațiile din sectorul privat gestionează informațiile personale. Construit pe principii de informare corectă, acesta își propune să protejeze confidențialitatea individuală, susținând în același timp operațiunile comerciale eficiente.
Jurisdicție și domeniu geografic de aplicare
PIPEDA se aplică companiilor care operează în Canada și gestionează informații personale în tranzacții interprovinciale sau internaționale. Aceasta guvernează organizațiile din sectorul privat din întreaga țară și include informațiile personale ale angajaților din industriile reglementate la nivel federal. Dacă afacerea dvs. prelucrează date care traversează granițele provinciale sau internaționale, respectarea PIPEDA este obligatorie.
Cerințe de criptare (obligatorii sau încurajate)
PIPEDA nu prescrie tehnologii de securitate specifice, dar încurajează insistent organizațiile să implementeze măsuri de siguranță pentru a proteja informațiile personale. Conform Principiul 7 (Gărzi de siguranță), companiile sunt obligate să își protejeze datele cu caracter personal împotriva riscurilor precum pierderea, furtul sau accesul neautorizat. Criptarea este una dintre măsurile recomandate pentru protejarea informațiilor sensibile în timpul stocării și transmiterii. Cu toate acestea, este doar o piesă a puzzle-ului. O strategie de securitate cuprinzătoare ar trebui să includă și instrumente precum parole puternice, firewall-uri și actualizări regulate, combinate cu controale fizice și organizaționale.
Alegerea măsurilor de siguranță depinde de factori precum sensibilitatea datelor, volumul acestora, modul în care sunt distribuite, formatul de stocare și riscurile potențiale implicate. Pentru companiile care utilizează soluții de găzduire precum Serverion, implementarea unei criptări robuste în toate activitățile de procesare a datelor poate ajuta la îndeplinirea așteptărilor flexibile de securitate ale PIPEDA.
Revizuirea regulată a protocoalelor de securitate este esențială pentru menținerea unei protecții eficiente. Aceste măsuri ar trebui să se integreze perfect într-un cadru mai amplu de gestionare a confidențialității pentru a asigura că sistemele de stocare ale întreprinderilor respectă standardele de conformitate.
Aplicabilitate la stocarea în întreprinderi
Pentru întreprinderi, alinierea sistemelor de stocare la principiile de confidențialitate PIPEDA este indispensabilă. Aceasta include dezvoltarea unui program de gestionare a confidențialității, documentarea clară a scopurilor prelucrării datelor și aplicarea unor controale stricte ale accesului. Evaluările impactului asupra vieții private (PIA) este un pas esențial pentru a evalua modul în care operațiunile de afaceri afectează confidențialitatea individuală. Alte măsuri cheie includ stabilirea unor perioade clare de păstrare a informațiilor personale și instruirea angajaților cu privire la cele mai bune practici de confidențialitate.
„O organizație trebuie să pună la dispoziția persoanelor informații specifice despre politicile și practicile sale referitoare la gestionarea informațiilor cu caracter personal.” – PIPEDA Secțiunea 4.8.1
Organizațiile trebuie, de asemenea, să stabilească proceduri stricte pentru monitorizarea modelelor de acces și efectuarea de audituri regulate pentru a detecta activitățile neautorizate. Abordarea eficientă a reclamațiilor privind confidențialitatea și asigurarea exactității informațiilor personale sunt la fel de importante pentru menținerea conformității.
Sancțiuni pentru nerespectare
Nerespectarea PIPEDA poate avea consecințe grave, atât financiare, cât și reputaționale. Sancțiunile financiare pot ajunge până la $100.000 CAD per încălcare...iar cazurile pot fi chiar trimise Procurorului General al Canadei pentru acțiuni legale ulterioare. Dincolo de amenzi, gestionarea necorespunzătoare a datelor cu caracter personal poate afecta grav reputația unei companii, mai ales că 92% al publicului și-a exprimat îngrijorarea cu privire la modul în care sunt gestionate informațiile lor.
PIPEDA impune, de asemenea, organizațiilor să raporteze încălcările de date care prezintă un risc real de daune semnificative. Astfel de incidente trebuie raportate către Comisarul pentru protecția vieții private din Canada...iar persoanele afectate trebuie notificate atunci când este necesar. Păstrarea unor evidențe detaliate ale tuturor încălcărilor este esențială pentru o planificare eficientă a răspunsului la incidente.
Aceste cerințe subliniază importanța unor măsuri solide de conformitate pentru companiile care operează pe piața canadiană sau deservesc aceasta. Criptarea, alături de alte măsuri de siguranță, joacă un rol esențial în asigurarea faptului că sistemele de stocare ale întreprinderilor respectă standardele PIPEDA.
5. Legea privind protecția datelor cu caracter personal (DPDPA) – India
India Legea privind protecția datelor cu caracter personal (DPDPA) stabilește linii directoare clare pentru gestionarea datelor cu caracter personal, punând totodată accent pe garanții solide de confidențialitate.
Jurisdicție și domeniu geografic de aplicare
DPDPA se aplică tuturor entităților care gestionează date cu caracter personal în India, indiferent dacă sunt interne sau internaționale. Aceasta reglementează prelucrarea datelor cu caracter personal aparținând rezidenților indieni și chiar rezidenților străini atunci când datele acestora sunt prelucrate în India în baza unor contracte cu entități străine. În esență, dacă afacerea dvs. operează în India sau prelucrează date ale rezidenților indieni, conformitatea este obligatorie.
Legea adoptă o abordare teritorială, ceea ce înseamnă că firmele cu sediul în afara Indiei trebuie să respecte și ele cerințele dacă prelucrează date cu caracter personal ale unor persoane aflate în interiorul granițelor Indiei. Această acoperire extrateritorială face esențial pentru companiile globale care deservesc clienți indieni sau mențin parteneriate în regiune să acorde prioritate conformității. Criptarea și alte măsuri de securitate, așa cum sunt descrise mai jos, joacă un rol cheie în îndeplinirea acestor cerințe.
Cerințe de criptare
Mandatele DPDPA „garanții de securitate rezonabile” pentru a proteja datele cu caracter personal. Acestea includ criptarea, ofuscarea, mascarea sau utilizarea de token-uri virtuale ca măsuri de bază. Organizațiile trebuie să implementeze aceste măsuri de siguranță tehnice și organizaționale pentru a asigura mai multe niveluri de securitate pentru datele sensibile.
Sunt necesare și controale detaliate ale accesului, cu verificări regulate ale jurnalelor. În plus, companiile trebuie să mențină copii de rezervă ale datelor pentru a asigura continuitatea în caz de pierdere a datelor sau întreruperi ale sistemului. Pentru companiile care utilizează soluții de găzduire pentru întreprinderi, criptarea robustă se aliniază cerințelor stricte ale DPDPA. Organizațiile sunt obligate să păstreze datele și jurnalele de acces timp de cel puțin un an pentru a ajuta la detectarea, investigarea și prevenirea încălcărilor.
Aplicabilitate la stocarea în întreprinderi
Sistemele de stocare ale întreprinderilor trebuie să respecte cadrul DPDPA prin clasificarea datelor cu caracter personal și definirea cerințelor de prelucrare a acestora. Această clasificare este esențială pentru construirea unor strategii de conformitate eficiente.
De asemenea, companiile trebuie să stabilească contracte clare cu persoanele împuternicite de operatori de date, asigurându-se că măsurile și obligațiile de securitate sunt respectate pe tot parcursul lanțului de prelucrare. Aceste acorduri ar trebui să includă responsabilități și garanții specifice care să reflecte pe cele ale fiduciarului principal de date. Acordurile formale de prelucrare a datelor reprezintă o cerință legală în temeiul DPDPA.
„Companiile ar trebui să înceapă să adopte strategii proactive de conformitate prin investiții în tehnologii care îmbunătățesc confidențialitatea, prin efectuarea de evaluări ale riscurilor de reglementare și prin implementarea de modele de guvernanță a datelor centrate pe utilizator.” – Dl. Gaurav Bhalla, Partener, Ahlawat & Associates
Procesele de răspuns la incidente sunt un alt element critic. Organizațiile trebuie să fie pregătite să notifice Consiliul pentru Protecția Datelor din India (DPBI) și persoanele afectate în cazul unei încălcări. O încălcare, așa cum este definită de DPDPA, include orice acces neautorizat, divulgare accidentală, utilizare necorespunzătoare, modificare, distrugere sau pierdere a datelor cu caracter personal care compromite confidențialitatea, integritatea sau disponibilitatea acestora. Aceste cerințe se aliniază cu strategiile mai ample de conformitate ale întreprinderilor.
Sancțiuni pentru nerespectare
Sancțiunile financiare pentru nerespectare sunt mari, amenzile ajungând până la ₹250 crore (aproximativ $30 milioane) sau 4% din cifra de afaceri globalăAceste sancțiuni subliniază importanța respectării legii și a implementării unor măsuri de securitate robuste.
Dincolo de amenzi, nerespectarea regulilor poate duce la afectarea reputației și la pierderea încrederii clienților pe piața indiană. Pentru a atenua aceste riscuri, companiile ar trebui să adopte o abordare cuprinzătoare, inclusiv numirea unui... Responsabilul cu protecția datelor (RPD) cu sediul în India pentru a acționa ca persoană de legătură în domeniul reglementărilor. Sistemele automate de detectare a amenințărilor și șabloanele de notificare a încălcărilor pot, de asemenea, ajuta la asigurarea unor răspunsuri rapide la incidente.
Evaluările regulate ale vulnerabilităților și măsurile tehnice și organizatorice bazate pe riscuri sunt esențiale. De asemenea, companiile trebuie să evalueze potențialele restricții privind transferurile transfrontaliere de date și să ia în considerare opțiuni precum oglindirea sau stocarea locală a datelor pentru a rămâne pe deplin conforme. Înțelegerea și abordarea acestor cerințe sunt esențiale pentru alinierea sistemelor de stocare ale întreprinderilor cu standardele locale și globale de protecție a datelor.
sbb-itb-59e1987
6. Legea privind protecția informațiilor personale (PIPL) – China
Legea chineză privind protecția informațiilor personale (PIPL) impune reguli stricte pentru protecția datelor și criptare, stabilind standarde înalte pentru conformitate la nivel global.
Jurisdicție și domeniu geografic de aplicare
PIPL se aplică oricărei organizații care gestionează informații personale ale unor persoane din China. Acoperirea sa depășește granițele Chinei, afectând atât afacerile interne, cât și pe cele internaționale. Dacă o companie colectează, stochează, utilizează sau prelucrează date aparținând unor persoane din China - chiar și fără o prezență fizică în țară - aceasta trebuie să se conformeze. Aceasta include afacerile care furnizează produse sau servicii utilizatorilor chinezi sau care analizează comportamentele acestora.
În ceea ce privește transferurile transfrontaliere de date, legea impune restricții stricte. Companiile trebuie să se asigure că orice destinatar străin al datelor respectă standarde de protecție echivalente cu cele prevăzute în PIPL. În plus, companiile sunt obligate să numească un reprezentant intern în China pentru a supraveghea conformitatea și a aborda orice responsabilități legale.
Cerințe de criptare
Criptarea este o piatră de temelie a măsurilor tehnice de securitate ale PIPL. Organizațiile trebuie să respecte Reglementări privind criptarea comercială, care impun utilizarea algoritmilor de criptare aprobați de guvern. Standardele comune de criptare, cum ar fi AES, nu sunt permise decât dacă sunt certificate în mod specific de autoritățile chineze. În plus, toate datele sensibile criptate și cheile de criptare trebuie stocate în interiorul granițelor Chinei. Pentru companiile multinaționale, acest lucru creează obstacole semnificative, deoarece acestea trebuie să se adapteze la algoritmii de criptare localizați și la sistemele de gestionare a cheilor.
Aplicabilitate la stocarea în întreprinderi
PIPL stabilește, de asemenea, reguli clare pentru stocarea datelor întreprinderilor în China. Informațiile personale sunt, în general, obligate să rămână în țară, cu excepția cazului în care sunt îndeplinite condiții stricte pentru transferurile transfrontaliere. Pentru a fi precaute, companiile clasifică adesea datele incerte drept „date importante”, ceea ce declanșează protocoale de securitate suplimentare, inclusiv cerințe avansate de criptare.
Pentru a se conforma, companiile trebuie să implementeze măsuri precum criptarea și anonimizarea pentru a proteja informațiile personale de încălcări, furt sau ștergere accidentală. Verificările de conformitate de rutină sunt esențiale, inclusiv audituri ale practicilor de criptare, verificarea algoritmilor aprobați și asigurarea că cheile de criptare rămân în jurisdicția chineză. Având în vedere complexitatea acestor cerințe, colaborarea cu experți juridici și de securitate locali este esențială pentru a gestiona provocările legate de conformitate.
Sancțiuni pentru nerespectare
Sancțiunile pentru încălcarea PIPL sunt mari. Administrația Spațiului Cibernetic din China (CAC) aplică legea și poate impune amenzi semnificative sau alte sancțiuni. Încălcările minore pot duce la amenzi de până la 1 milion de yuani (aproximativ $150.000), persoanele responsabile riscând amenzi între 10.000 și 100.000 de yuani ($1.500–$15.000). Încălcările grave pot duce la amenzi de până la 50 de milioane de yuani (aproximativ $7,7 milioane) sau 5% din veniturile companiei din anul precedent, oricare dintre acestea este mai mare. Persoanele implicate în încălcări grave se pot confrunta cu până la 7 ani de închisoare.
Cazuri recente de mare amploare au arătat cât de severe pot fi aceste sancțiuni, cu amenzi de milioane de yuani și pedepse cu închisoarea pronunțate. Pentru a evita astfel de consecințe, companiile trebuie să stabilească cadre de conformitate robuste, inclusiv monitorizare regulată, audituri și proceduri de notificare a încălcărilor de date. Aceste măsuri sunt esențiale pentru a rămâne de partea corectă a acestui peisaj de reglementare riguros.
7. Legea privind reziliența operațională digitală (DORA) – Uniunea Europeană (Sectorul financiar)
Legea privind reziliența operațională digitală (DORA) stabilește standarde stricte de securitate cibernetică și reziliență operațională pentru entitățile financiare care operează în Uniunea Europeană (UE). Scopul său este de a asigura că sectorul financiar poate face față în mod eficient amenințărilor și perturbărilor cibernetice.
Jurisdicție și domeniu geografic de aplicare
DORA se aplică unei game largi de entități financiare din UE, inclusiv bănci, firme de investiții, instituții de credit, furnizori de servicii de criptoactive și platforme de crowdfunding. De asemenea, se extinde la furnizorii terți de servicii TIC, chiar și la cei cu sediul în afara UE, atâta timp cât aceștia deservesc instituții financiare din UE. Aceasta include furnizorii de servicii esențiale, cum ar fi agențiile de rating de credit și firmele de analiză a datelor. Începând cu 2025, autoritățile europene de supraveghere - ESMA, ABE și EIOPA - vor identifica furnizorii terți de servicii TIC critici pentru o supraveghere sporită. Deși entitățile mai mici pot beneficia de cerințe de conformitate simplificate, majoritatea organizațiilor trebuie să respecte întregul domeniu de aplicare al regulamentului.
Cerințe de criptare
DORA adoptă o abordare cuprinzătoare a criptării datelor, solicitând entităților financiare să securizeze datele în trei stări: în repaus, în tranzit și în utilizareAceastă ultimă cerință, criptarea datelor în uz, este deosebit de remarcabilă, deoarece nu este implementată pe scară largă la nivel global.
Regulamentul impune entităților financiare să stabilească politici de securitate TIC care să acorde prioritate disponibilității, autenticității, integrității și confidențialității datelor. Aceasta include conceperea de strategii de criptare bazate pe riscuri și efectuarea de evaluări periodice pentru a aborda amenințările cibernetice în continuă evoluție.
„Entitățile financiare vor concepe, achiziționa și implementa politici, proceduri, protocoale și instrumente de securitate TIC care vizează asigurarea rezilienței, continuității și disponibilității sistemelor TIC, în special pentru cele care susțin funcții critice sau importante, și menținerea unor standarde ridicate de disponibilitate, autenticitate, integritate și confidențialitate a datelor, indiferent dacă sunt în repaus, în uz sau în tranzit.” – DORA, Art. 9.2
DORA încurajează, de asemenea, entitățile financiare să împărtășească informații despre amenințările și vulnerabilitățile cibernetice în cadrul rețelelor de încredere pentru a consolida reziliența în întregul sector.
Aplicabilitate la stocarea în întreprinderi
Regulamentul pune un accent puternic pe sistemele de stocare pentru întreprinderi, în special pentru instituțiile care gestionează date financiare critice. Organizațiile trebuie să se asigure că soluțiile lor de stocare includ capacități robuste de backup, mecanisme de recuperare și monitorizare continuă a furnizorilor terți.
De exemplu, companiile care utilizează soluțiile de găzduire Serverion – cum ar fi servere dedicate, VPS sau servicii de colocație – trebuie să se asigure că aceste sisteme se aliniază cu cerințele stricte de securitate și reziliență ale DORA. Auditurile regulate și verificările automate de conformitate sunt cruciale pentru menținerea respectării reglementării. Aceste măsuri subliniază importanța stocării securizate și a strategiilor de recuperare în întregul sector financiar.
Sancțiuni pentru nerespectare
Nerespectarea DORA poate duce la amenzi usturătoare. Instituțiile financiare se pot confrunta cu sancțiuni de până la 2% din cifra lor de afaceri anuală globală totală sau 1% din cifra lor de afaceri medie zilnicăPentru organizațiile mari, acest lucru ar putea însemna amenzi de zeci de milioane de dolari. În plus, sancțiunile specifice includ:
- Amenzi de până la $1,09 milioane pentru directori și companii.
- Furnizorii terți de servicii IT critici se pot confrunta cu amenzi de până la $5,45 milioane pentru companii sau $545,000 pentru indivizi.
- Eșecurile în domeniul securității cibernetice pot duce la amenzi de până la $2,18 milioane sau 2% din cifra de afaceri anuală.
- Raportarea întârziată a incidentului poate duce la penalități începând de la $272,000.
„Deși securitatea cibernetică rămâne o prioritate, este nevoie ca instituțiile financiare să ridice responsabilitatea pentru aceste riscuri la un nivel superior. Multe instituții financiare (IF) încă nu înțeleg pe deplin modelul de responsabilitate partajată, crezând în mod eronat că reziliența serviciilor SaaS aparține exclusiv furnizorului.” – Wayne Scott, Director Soluții de Conformitate cu Reglementările la Escode
La 17 ianuarie 2025, analiștii estimează că 99% dintre entitățile financiare aplicabile nu erau pregătite pentru conformitatea cu DORA. Pentru a evita aceste sancțiuni severe, organizațiile trebuie să acorde prioritate criptării, să efectueze audituri regulate de securitate cibernetică, să înființeze echipe de conformitate dedicate, să instruiască directorii cu privire la responsabilitățile lor legale și să colaboreze cu furnizori de servicii de securitate cibernetică cu experiență pentru a asigura reziliența sistemului și raportarea precisă a incidentelor.
Tabel comparativ al legilor privind criptarea datelor
Legile privind criptarea datelor diferă foarte mult în funcție de jurisdicție. Fiecare regulament abordează cerințele de criptare, sancțiunile și tehnicile de aplicare în felul său. Tabelul de mai jos evidențiază detaliile cheie ale acestor legi, oferind o bază utilă pentru strategiile de conformitate abordate în secțiunile ulterioare.
| Drept | Jurisdicție | Cerințe de criptare | Stările de date acoperite | Penalizări maxime | Industrii primare |
|---|---|---|---|---|---|
| GDPR | Uniunea Europeană | „Măsuri tehnice adecvate”, inclusiv criptarea | În repaus, în tranzit | 20 de milioane de euro sau 41 de milioane de euro, cifra de afaceri globală | Toate sectoarele |
| CPRA | California, SUA | „Proceduri de securitate rezonabile” | În repaus, în tranzit | $7.500 per încălcare intenționată | Toate sectoarele |
| LGPD | Brazilia | „Mesaje tehnice de protecție”, inclusiv criptarea | În repaus, în tranzit | Venituri de 21,3 milioane de tone, maxim ~1,4 milioane de tone | Toate sectoarele |
| PIPEDA | Canada | „Măsuri de siguranță adecvate” | În repaus, în tranzit | N / A | Toate sectoarele |
| DPDPA | India | „Practici de securitate rezonabile” | În repaus, în tranzit | N / A | Toate sectoarele |
| PIPL | China | „Măsuri tehnice”, inclusiv criptarea | În repaus, în tranzit | N / A | Toate sectoarele |
| DORA | UE (Finanțar) | Criptare obligatorie | În repaus, în tranzit | N / A | Numai servicii financiare |
Diferențe cheie în abordare
Cerințele de criptare variază în ceea ce privește claritatea cu care sunt definite. De exemplu, GDPR solicită „măsuri tehnice adecvate”, oferind flexibilitate în implementare. Pe de altă parte, DORA impune în mod explicit criptarea, în special pentru serviciile financiare. Această distincție reflectă nivelurile variate de specificitate oferite de diferite reglementări.
Autoritatea Bancară Europeană oferă îndrumări detaliate privind conformitatea, precizând:
„Furnizorii de servicii de telefonie mobilă (PSP) ar trebui să se asigure că, atunci când se schimbă date sensibile prin internet, se aplică o criptare securizată end-to-end între părțile care comunică pe parcursul sesiunii de comunicare respective, pentru a proteja confidențialitatea și integritatea datelor, utilizând tehnici de criptare puternice și larg recunoscute.”
Structuri de penalizare
Consecințele financiare ale neconformității diferă semnificativ. GDPR impune unele dintre cele mai mari sancțiuni, amenzile ajungând până la 20 de milioane de euro sau 4% din cifra de afaceri globală. Între timp, CPRA utilizează un model de sancțiuni per încălcare, care poate duce la creșterea amenzilor pentru încălcări repetate. Pentru alte reglementări, detaliile sancțiunilor sunt mai puțin clar definite, subliniind necesitatea de a înțelege practicile locale de aplicare a legii.
Domeniu geografic și industrial
Deși majoritatea reglementărilor se aplică în toate industriile din jurisdicțiile lor, DORA este o excepție, concentrându-se exclusiv pe serviciile financiare. Această abordare specifică reflectă importanța critică a securității datelor în operațiunile financiare. Interesant este că un studiu realizat de Sectigo a constatat că 25% dintre băncile europene încă nu au Validare Extinsă. Certificate SSL, subliniind provocările continue în ceea ce privește respectarea standardelor de securitate.
Variații de aplicare
Filosofiile de aplicare a legii diferă, de asemenea. Unele legi permit flexibilitate de adaptare la tehnologiile în evoluție, în timp ce altele, precum DORA, oferă îndrumări stricte, cum ar fi impunerea unei criptări securizate end-to-end pentru schimburile de date pe internet. Aceste diferențe subliniază importanța adaptării strategiilor de criptare pentru a se alinia la cerințele de reglementare specifice.
Pentru companiile care operează în mai multe jurisdicții, înțelegerea acestor nuanțe este esențială. Indiferent dacă utilizează servere dedicate, VPS sau servicii de colocație de la furnizori precum Serverion, alinierea practicilor de criptare cu legile locale este un pas esențial către conformitate.
Cum pot întreprinderile să îndeplinească cerințele de conformitate
Pentru a respecta cerințele de conformitate privind criptarea, întreprinderile au nevoie de mai mult decât simple instrumente avansate de securitate – ele necesită un cadru de conformitate structurat. Aceasta implică monitorizare continuă, audituri regulate, documentație amănunțită și aplicarea consecventă a politicilor. Iată cum pot organizațiile să îndeplinească eficient aceste cerințe.
Stabilirea unor practici de audit regulate
Auditurile sunt coloana vertebrală a oricărei strategii de conformitate. Atât auditurile interne, cât și cele externe joacă roluri vitale. Auditurile interne valorifică cunoștințele aprofundate ale organizației pentru a identifica potențialele lacune, în timp ce auditurile externe aduc o perspectivă proaspătă și imparțială, care poate descoperi vulnerabilități trecute cu vederea. Împreună, aceste audituri asigură că măsurile de securitate nu sunt doar implementate, ci rămân eficiente în timp.
Construirea unor sisteme de documentație puternice
Documentația clară și detaliată este esențială pentru conformitatea cu reglementările. După cum spune Peter Schawacker, inovator și strateg de afaceri în domeniul cibernetic de recrutare și personal de recrutare, fost CISO:
„O politică este declarația explicită a intenției conducerii. Este Steaua Polară a organizației. Fără ea, alinierea este dificil sau imposibil de realizat. Iar responsabilitatea devine o chestiune foarte dificilă dacă poți trage oamenii la răspundere.”
Organizațiile trebuie să documenteze gestionarea cheilor de criptare, protocoalele de gestionare a datelor și planurile de răspuns la incidente. De exemplu, planurile de răspuns la incidente întreținute corespunzător pot reduce semnificativ timpul de nefuncționare și pot atenua impactul încălcărilor. Acest lucru este deosebit de important, deoarece se preconizează că costurile globale ale criminalității cibernetice vor ajunge la 10,5 trilioane de trilioane anual până în 2025.
Aplicarea consecventă a politicilor
Consecvența în aplicarea politicilor este esențială pentru evitarea lacunelor în conformitate. Implicarea angajaților din diverse departamente în dezvoltarea politicilor asigură că liniile directoare sunt practice și relevante. Actualizările regulate ale acestor politici ajută organizațiile să rămână aliniate la amenințările în continuă evoluție și la schimbările de reglementare, făcând din conformitate un proces continuu, mai degrabă decât un efort singular.
Alegerea infrastructurii potrivite
Infrastructura potrivită poate face conformitatea mai ușor de gestionat. Furnizorii de găzduire cu funcții de securitate încorporate, cum ar fi protecția DDoS, certificatele SSL și operațiunile securizate ale centrelor de date, oferă o bază solidă. De exemplu, infrastructura globală a Serverion susține conformitatea cu practicile sale robuste de securitate și opțiunile de rezidență a datelor, facilitând întreprinderilor respectarea standardelor de reglementare.
Instruire și integrarea securității în cultură
Programele regulate de instruire asigură că angajații înțeleg rolul lor în menținerea standardelor de criptare și a conformității. Prin promovarea unei culturi în care securitatea este o responsabilitate comună, organizațiile pot crea un mediu în care conformitatea devine o a doua natură.
Monitorizare și îmbunătățire continuă
Monitorizarea continuă este esențială pe măsură ce atât sistemele, cât și amenințările cibernetice evoluează. Aceasta include revizuirea controalelor de acces, gestionarea rotațiilor cheilor de criptare și reînnoirea certificatelor de securitate. Instrumentele automate pot semnala potențialele probleme de conformitate în timp real, permițând echipelor să ia măsuri corective rapide și să își consolideze continuu postura de securitate.
Concluzie
Navigarea prin legile globale privind criptarea datelor nu înseamnă doar bifarea căsuțelor de selectare legale - este un pas esențial în protejarea afacerii dvs. de lovituri financiare masive și daune la adresa reputației. Cifrele vorbesc de la sine: companiile pot pierde până la 25% din cota lor de piață în urma unui atac cibernetic, iar costurile de neconformitate sunt uriașe de 2,71 ori mai mare decât cheltuielile necesare pentru a respecta reglementările. Dacă acest lucru nu subliniază urgența, nimic nu o va face.
Autoritățile de reglementare își dublează eforturile în ceea ce privește aplicarea legii, iar consecințele neîndeplinirii obligațiilor sunt mai dure ca niciodată. Cazurile recente evidențiază prețul piperat al neglijării. Luați, de exemplu, Solara Medical Supplies – după ce au expus date sensibile despre sănătate a peste 114.000 de persoane, s-au confruntat cu... Amendă de $3 milioane în ianuarie 2025. Acest caz este o reamintire gravă a faptului că omiterea conformității nu economisește bani; costă mult mai mult pe termen lung.
Avocata Joan Wrabetz o exprimă perfect: confidențialitatea a trecut de la a fi o simplă cerință legală la a deveni o strategie centrală de afaceri, criptarea servind acum drept factor cheie de diferențiere pentru liderii pieței.
Pentru a atenua aceste riscuri, companiile trebuie să acționeze acum investind în infrastructuri sigure. Aceasta înseamnă parteneriatul cu furnizorii de găzduire care oferă funcții de securitate încorporate, cum ar fi Protecție DDoS, Certificate SSLși centre de date securizate cu acoperire globală. De exemplu, Serverion oferă măsuri robuste de securitate și opțiuni flexibile de rezidență a datelor, ajutând companiile să îndeplinească cerințele complexe de reglementare fără a sacrifica eficiența operațională.
Pe măsură ce guvernele aplică reguli mai stricte de protecție a datelor, organizațiile care prioritizează criptarea și soluțiile de stocare securizată se vor poziționa ca lideri în economia digitală de astăzi.
Întrebări frecvente
Cum diferă cerințele de criptare a datelor din GDPR și CPRA?
The Regulamentul general privind protecția datelor (RGPD) și Legea privind drepturile la confidențialitate din California (CPRA) adoptă abordări diferite în ceea ce privește criptarea datelor și obiectivul lor general. GDPR impune cerințe mai stricte, obligând organizațiile să adopte măsuri tehnice și organizatorice, la fel ca criptarea, pentru a proteja datele cu caracter personal și a preveni încălcările securității datelor. Domeniul său de aplicare este larg, acoperind toate datele cu caracter personal ale rezidenților din UE și pune accent pe o poziție proactivă în ceea ce privește securitatea datelor.
În schimb, CPRA se înclină mai mult spre drepturile consumatorilor și transparența pentru rezidenții din California. Deși încurajează criptarea ca o bună practică, nu o transformă într-o cerință strictă. În schimb, CPRA se concentrează în mare măsură pe notificarea încălcărilor de securitate și pe gestionarea riscurilor după producerea unui incident, mai degrabă decât pe aplicarea unor măsuri preventive riguroase. Aceste diferențe evidențiază prioritățile de bază ale fiecărei reglementări - GDPR vizează o protecție robustă a datelor, în timp ce CPRA prioritizează controlul și responsabilitatea consumatorilor după încălcări.
Ce măsuri ar trebui să ia întreprinderile pentru a se asigura că metodele lor de criptare respectă legile internaționale privind protecția datelor?
Pentru a respecta legile internaționale privind protecția datelor, companiile trebuie să implementeze standarde puternice de criptarePentru criptarea simetrică, AES-256 este o alegere fiabilă, în timp ce RSA cu chei de 2048 de biți sau mai mari funcționează bine pentru criptarea asimetrică. La fel de important este gestionarea cheilor de criptare, care implică generarea, stocarea, distribuirea și revocarea în siguranță a cheilor pentru a preveni accesul neautorizat.
De asemenea, este esențial să rămâneți la curent cu cadrele juridice specifice, cum ar fi GDPR, care evidențiază prelucrarea securizată a datelor și recunoaște criptarea ca o garanție tehnică vitală. Revizuirea și actualizarea periodică a protocoalelor de criptare în conformitate cu practicile actuale din industrie asigură că firmele rămân conforme în diferite regiuni. Concentrarea pe securitate și flexibilitate este esențială pentru a ține pasul cu peisajul în continuă schimbare al reglementărilor privind protecția datelor.
Care sunt riscurile pentru companiile care nu respectă legile privind criptarea datelor, precum DORA și PIPL?
Nerespectarea legilor privind criptarea datelor, cum ar fi DORA și PIPL poate duce la repercusiuni grave pentru întreprinderi. De exemplu, în temeiul DORA, companiile s-ar putea confrunta cu amenzi de până la 2% din cifra lor de afaceri anuală globală. În mod similar, încălcările PIPL pot duce la penalități de până la 50 de milioane de yeni (aproximativ $7,2 milioane) sau 5% din venitul anual.
Dar consecințele nu se opresc la penalități financiare. Companiile s-ar putea confrunta și cu acțiuni legale, suspendări de licențe și întreruperi operaționale, toate acestea putând submina sănătatea financiară și păta reputația lor. Respectarea reglementărilor nu înseamnă doar evitarea acestor riscuri – este, de asemenea, o modalitate de a consolida încrederea clienților și partenerilor, demonstrând un angajament ferm față de protejarea datelor.
