7 лучших законов о шифровании данных для предприятий
Шифрование данных больше не является обязательным. Прогнозируется, что ущерб от киберпреступлений $10,5 трлн к 2025 году и штрафы за несоблюдение, достигающие миллионы долларовПонимание законов о шифровании критически важно для предприятий. В этом руководстве рассматриваются семь ключевых положений, определяющих глобальную защиту данных:
- GDPR (ЕС): Поощряет шифрование персональных данных со штрафами до 20 млн евро или 41 трлн. долл. США годового дохода.
- CPRA (Калифорния, США): Требуется шифрование; утечки незашифрованных данных позволяют подавать иски в суд.
- LGPD (Бразилия): Требуются меры безопасности, такие как шифрование; штрафы до 2% дохода.
- ПИПЕДА (Канада): Рекомендует использовать шифрование для защиты персональных данных.
- DPDPA (Индия): Требует «разумных мер безопасности», включая шифрование.
- ПИПЛ (Китай): Требует одобренного правительством шифрования данных в пределах своих границ.
- ДОРА (финансовый сектор ЕС): Строгие стандарты шифрования для финансовых организаций, охватывающие данные, находящиеся в состоянии покоя, передачи и использования.
Быстрое сравнение:
| Закон | Юрисдикция | Мандат на шифрование | Максимальный штраф |
|---|---|---|---|
| GDPR | Евросоюз | Настоятельно рекомендуется | Выручка 20 млн евро или 4% |
| CPRA | Калифорния, США | Требуется для защиты от взлома | $7,500/нарушение |
| LGPD | Бразилия | Требуются технические меры безопасности | 2% дохода |
| ПИПЕДА | Канада | Поощряется, но не является обязательным | CAD $100,000/нарушение |
| ДПДПА | Индия | «Разумные меры предосторожности» | Оборот 250 рупий или 4% |
| ПИПЛ | Китай | Обязательное одобренное шифрование | Доход 50 млн йен или 5% |
| ДОРА | ЕС (финансовый сектор) | Обязательно для финансовых данных | 2% годового оборота |
Шифрование защищает компании от взломов, штрафов и ущерба репутации. Читайте дальше, чтобы узнать больше об этих законах и о том, как их соблюдать.
9 правил конфиденциальности данных, которые вам нужно знать
1. Общий регламент по защите данных (GDPR) – Европейский Союз
GDPR, вступивший в силу в мае 2018 года, изменил подход к обработке персональных данных во всем мире.
Юрисдикция и географический охват
GDPR действует не только в Европе, но и по всему миру. Любая организация, независимо от своего местонахождения, обязана соблюдать его, если обрабатывает персональные данные резидентов ЕС. Например, компании, базирующиеся в США и обслуживающие клиентов из ЕС, подпадают под действие этих правил. Регламент разграничивает обязанности между контроллеры данных (кто решает, как и почему обрабатываются данные) и процессоры данных (которые обрабатывают данные от имени контролеров). Это различие особенно актуально для хостинг-провайдеров и компаний, использующих услуги размещения оборудования.
Требования к шифрованию (обязательные или желательные)
Хотя GDPR не требует явного использования шифрования, оно настоятельно рекомендуется в качестве ключевого технического средства защиты. Статья 32 предусматривает принятие соответствующих технических и организационных мер для защиты персональных данных, и шифрование часто предлагается как один из наиболее эффективных методов. Это относится как к данные в состоянии покоя а также данные в пути. Такие органы, как Управление комиссара по информации Великобритании, рекомендуют использовать решения для шифрования которые соответствуют таким стандартам, как FIPS 140-2 и FIPS 197.
Одним из важных преимуществ шифрования является его влияние на уведомления об утечках данных. В соответствии с GDPR, организации обязаны сообщать об утечках данных в течение 72 часов. Однако, если зашифрованные данные скомпрометированы и стали нечитаемыми для злоумышленников, это требование может быть отменено.
Применимость к корпоративным хранилищам
Для предприятий, управляющих данными в различных средах хранения, соблюдение требований GDPR может быть сложной задачей. Этот регламент распространяется на персональные данные, хранящиеся в… Выделенные серверы, облачные платформы, или гибридные инфраструктурыКомпаниям необходимо классифицировать данные по степени их конфиденциальности, чтобы определить правильные меры шифрования. Особую осторожность необходимо проявлять при трансграничной передаче данных, поскольку GDPR устанавливает строгие правила передачи персональных данных за пределы ЕС/ЕЭЗ без надлежащих мер защиты. Шифрование критически важно для обеспечения безопасности международной передачи данных. Провайдеры хостинга, включая такие, как Serverion, должны привести свои методы шифрования в соответствие со стандартами GDPR, чтобы поддержать усилия своих клиентов по обеспечению соответствия.
Штрафы за несоблюдение
GDPR устанавливает многоуровневую систему штрафов, которая делает несоблюдение требований болезненным с финансовой точки зрения. Незначительные нарушения могут повлечь за собой штрафы в размере до 11,8 млн TP4T или 2% от мирового годового дохода, в зависимости от того, какая сумма больше. Серьёзные нарушения могут привести к штрафам до 123,6 млн TP4T или 4% от мирового годового дохода. Недавние случаи иллюстрируют строгость регламента. В 2023 году компания Meta была оштрафована на 11,2 млрд TP4T Ирландской комиссией по защите данных за необеспечение защиты передачи данных. Аналогичным образом, в 2020 году компания H&M была оштрафована на 141,8 млн TP4T за незаконную слежку за сотрудниками.
Несоблюдение требований может повлечь за собой не только штрафы. Организации могут столкнуться с ограничениями в работе, такими как распоряжения о прекращении обработки данных, а также могут быть привлечены к ответственности за ущерб, поданному пострадавшими лицами.
«Общий регламент по защите данных (GDPR) — самый строгий закон о конфиденциальности и безопасности в мире». — GDPR.EU
Для поставщиков хостинга и инфраструктуры эти штрафы подчеркивают необходимость использования надежных стратегий шифрования для защиты своих операций и обеспечения соблюдения их клиентами нормативных требований.
Далее мы рассмотрим Закон Калифорнии о правах на неприкосновенность частной жизни и его особенности в подходе к обеспечению конфиденциальности данных предприятий.
2. Закон штата Калифорния о правах на неприкосновенность частной жизни (CPRA) – США
С 1 января 2023 года CPRA ужесточает Закон штата Калифорния о защите конфиденциальности потребителей (CCPA), вводя более строгие правила для компаний, обрабатывающих персональные данные жителей Калифорнии.
Юрисдикция и географический охват
CPRA специально нацелена коммерческие предприятия которые собирают персональные данные жителей Калифорнии и соответствуют определённым критериям. К ним относятся:
- Компании с годовым валовым доходом, превышающим $25 миллионов.
- Компании, которые покупают, продают или делятся личной информацией 100 000 или более Жители Калифорнии, домохозяйства или устройства.
- Сущности, зарабатывающие 50% или более от годового дохода от продажи или распространения личной информации потребителей Калифорнии.
В отличие от GDPR, который имеет глобальный охват, CPRA ориентирован исключительно на компании, обслуживающие жителей Калифорнии, независимо от их физического местонахождения. Ключевой особенностью CPRA является то, что принцип минимизации данных, который ограничивает сбор и хранение данных только теми, которые строго необходимы для осуществления бизнес-операций.
Требования к шифрованию (обязательные или желательные)
Раздел 1798.150 CPRA требует от компаний принятия строгих мер безопасности для защиты персональных данных. В случае утечки незашифрованных данных потребители имеют право подать гражданский иск. В постановлении говорится:
«Любой потребитель, чья незашифрованная и неотредактированная личная информация… подверглась несанкционированному доступу и утечке, краже или раскрытию в результате нарушения предприятием обязанности по внедрению и поддержанию разумных процедур и методов безопасности… может подать гражданский иск».
Калифорнийские законы устанавливают 128-битное шифрование как минимальный стандарт для некоторых систем, с криптографическими модулями, требующими сертификации ФИПС 140-2 Стандарты. CPRA предписывает шифрование как передаваемых, так и хранящихся данных, и компаниям рекомендуется хранить ключи шифрования отдельно от зашифрованных данных. Эти меры критически важны для обеспечения соответствия требованиям и защиты корпоративных систем хранения данных.
Применимость к корпоративным хранилищам
Корпоративные системы хранения данных должны соответствовать строгим требованиям CPRA. От предприятий ожидается, что они будут выполнять оценки защиты данных для выявления рисков, связанных с конфиденциальностью, и внедрения необходимых мер безопасности во всех средах хранения.
Закон также обязывает компании деидентифицировать или агрегировать персональные данные, что влияет на порядок хранения и управления данными. Организации, использующие услуги хостинга, обязаны гарантировать, что их провайдеры соответствуют требованиям CPRA, создавая цепочку ответственности на протяжении всего жизненного цикла обработки данных. Например, компании, использующие услуги Serverion, должны гарантировать соблюдение стандартов шифрования во всех конфигурациях.
Ключевые элементы соответствия включают проведение регулярных аудитов безопасности и обеспечение строгого контроля доступа. Кроме того, CPRA предоставляет жителям Калифорнии право отказаться от автоматизированного принятия решений, требуя наличия систем, способных идентифицировать и разделять данные, используемые для таких целей.
Штрафы за несоблюдение
Несоблюдение CPRA может привести к штрафам со стороны регулирующих органов и частным искам. Потребители, пострадавшие от утечек данных, вызванных неадекватными мерами безопасности, могут требовать возмещения ущерба в размере от $107–$799 за инцидент.
Как объясняет Альфред Брунетти, директор Porzio, Bromberg and Newman PC:
«Компания, поставщик услуг или иное лицо, нарушившее CCPA с поправками, внесенными CPRA, подлежит судебному запрету и гражданско-правовому штрафу в размере не более $2500 за нарушение и не более $7500 за умышленное нарушение».
Недавние меры по обеспечению соблюдения этих правил подчеркивают важность соблюдения этих правил. Например, в 2022 году компания Sephora выплатила 1,2 млн TP4T для урегулирования претензий по нарушению CCPA, а в 2024 году DoorDash столкнулась со штрафом в размере 1,375 тыс. TP4T за передачу данных клиентов без их явного согласия. В частности, CPRA отменила 30-дневный срок для устранения нарушений, ранее предусмотренный CCPA, что означает, что компании могут быть подвергнуты немедленному штрафу, если нарушения не будут устранены своевременно.
Далее мы рассмотрим бразильский закон Lei Geral de Proteção de Dados, чтобы выяснить, какой подход к шифрованию применяется в Латинской Америке.
3. Лей Жераль де Протексан де Дадос (LGPD) – Бразилия
Бразильский закон Lei Geral de Proteção de Dados (LGPD) устанавливает строгие правила, во многом вдохновленные GDPR ЕС, для защиты персональных данных.
Юрисдикция и географический охват
У LGPD есть широкий охват, действующий в любой точке мира, если они обрабатывают персональные данные физических лиц в Бразилии. Это включает обработку данных физическими лицами или организациями, как государственными, так и частными. Если у вашей компании есть клиенты, сотрудники, подрядчики или партнёры в Бразилии, соблюдение LGPD является обязательным.
Закон распространяется на:
- Деятельность по обработке данных осуществляется на территории Бразилии.
- Данные собраны в Бразилии.
- Персональные данные физических лиц в Бразилии, независимо от того, где находится обработчик данных.
Требования к шифрованию (обязательные или желательные)
Хотя LGPD не требует явного шифрования, он подчеркивает необходимость разумные меры безопасности Для защиты персональных данных. Статья 46 определяет, что организации должны принимать технические, защитные и административные меры безопасности для предотвращения несанкционированного доступа. Данные, которые полностью анонимизированы или зашифрованы без возможности восстановления, не подпадают под действие этих правил.
Чтобы соответствовать требованиям, организациям следует реализовать комплекс стратегий, таких как:
- Политики безопасности и планы реагирования на инциденты.
- Информационное обучение сотрудников.
- Контроль доступа и другие технические меры.
Для компаний, использующих хостинговые решения, такие как Serverion, поддержка надежных протоколов шифрования критически важна для соответствия стандартам LGPD. Эти меры необходимы для защиты данных на различных платформах хранения.
Применимость к корпоративным хранилищам
Корпоративные системы хранения данных должны соответствовать рекомендациям LGPD по безопасности. Это означает, что компании должны документировать сбор, использование, хранение и передачу данных. Они также должны оценивать международную передачу данных, чтобы гарантировать соблюдение законодательства.
Ключевые шаги включают в себя:
- Создание структур защиты данных.
- Проведение регулярных оценок воздействия на защиту данных (DPIA).
- Назначение сотрудника по защите данных (DPO) для надзора за соблюдением требований.
- Подготовка планов реагирования на утечку данных.
- Обучение сотрудников передовым практикам защиты данных.
Поставщики услуг также должны соблюдать стандарты безопасности, соответствующие LGPD, на протяжении всей цепочки обработки данных.
Штрафы за несоблюдение
Несоблюдение LGPD может привести к значительным штрафам — до 2% от чистого дохода компании в Бразилии, но не более $50 миллионов рандов за каждое нарушение. Дополнительные штрафы включают:
- Ежедневные штрафы за нерешенные проблемы.
- Публичное раскрытие информации о нарушениях.
- Блокирование или удаление персональных данных.
- Приостановление или запрет деятельности по обработке данных.
Недавние случаи правоприменения наглядно демонстрируют остроту закона. Например, 6 июля 2023 года компания Telekall Infoservice была оштрафована на 14 400 бразильских реалов (примерно $2938) за многочисленные нарушения, включая отсутствие должности специалиста по защите данных и отсутствие надлежащих правовых оснований для обработки данных. Аналогичным образом, в октябре 2023 года Департамент здравоохранения штата Санта-Катарина был оштрафован за такие нарушения, как ненадлежащие меры безопасности и несвоевременное сообщение об инцидентах.
Помимо финансовых штрафов, несоблюдение требований может привести к судебным искам со стороны пострадавших лиц, ущербу репутации компании и даже потере прав на обработку данных. Для компаний, работающих в Бразилии, соблюдение требований LGPD — это не только способ избежать штрафов, но и залог сохранения доверия и непрерывности деятельности.
Далее мы рассмотрим, как канадская PIPEDA решает аналогичные проблемы защиты данных.
4. Закон о защите личной информации и электронных документах (PIPEDA) – Канада
Канады Закон о защите персональной информации и электронных документах (PIPEDA) Устанавливает правила обработки персональной информации организациями частного сектора. Основанный на принципах справедливого использования информации, он направлен на защиту конфиденциальности персональных данных и одновременно на поддержку эффективной работы бизнеса.
Юрисдикция и географический охват
Закон PIPEDA распространяется на компании, работающие в Канаде и управляющие персональными данными в рамках межпровинциальных или международных транзакций. Он распространяется на организации частного сектора по всей стране и включает персональные данные сотрудников в отраслях, регулируемых федеральным законодательством. Если ваша компания обрабатывает данные, передаваемые через границы провинций или государств, соблюдение требований PIPEDA является обязательным.
Требования к шифрованию (обязательные или желательные)
PIPEDA не предписывает использование конкретных технологий безопасности, но настоятельно рекомендует организациям внедрять меры безопасности для защиты персональных данных. Принцип 7 (Гарантии)Компании обязаны защищать персональные данные от таких рисков, как потеря, кража или несанкционированный доступ. Шифрование — одна из рекомендуемых мер защиты конфиденциальной информации при хранении и передаче. Однако это лишь один из компонентов. Комплексная стратегия безопасности должна также включать такие инструменты, как надёжные пароли, межсетевые экраны и регулярные обновления, а также физические и организационные меры контроля.
Выбор мер защиты зависит от таких факторов, как конфиденциальность данных, их объём, способ распространения, формат хранения и потенциальные риски. Для компаний, использующих такие решения для хостинга, как Serverion, внедрение надёжного шифрования на всех этапах обработки данных может помочь удовлетворить гибкие требования PIPEDA к безопасности.
Регулярный пересмотр протоколов безопасности имеет решающее значение для обеспечения эффективной защиты. Эти меры должны быть органично интегрированы в более широкую систему управления конфиденциальностью, чтобы гарантировать соответствие корпоративных систем хранения данных стандартам.
Применимость к корпоративным хранилищам
Для предприятий согласование систем хранения данных с принципами конфиденциальности PIPEDA не подлежит обсуждению. Это включает в себя разработку программы управления конфиденциальностью, четкое документирование целей обработки данных и обеспечение строгого контроля доступа. Оценки воздействия на конфиденциальность (PIA) Это критически важный шаг для оценки влияния бизнес-операций на конфиденциальность персональных данных. Другие важные меры включают установление четких сроков хранения персональных данных и обучение сотрудников передовым практикам обеспечения конфиденциальности.
«Организация должна предоставлять отдельным лицам доступ к конкретной информации о своей политике и практике управления персональными данными». – Раздел 4.8.1 PIPEDA
Организации также должны установить строгие процедуры мониторинга доступа и проводить регулярные аудиты для выявления несанкционированной деятельности. Эффективное рассмотрение жалоб на нарушение конфиденциальности и обеспечение точности персональных данных не менее важны для соблюдения требований.
Штрафы за несоблюдение
Несоблюдение требований PIPEDA может привести к серьёзным последствиям, как финансовым, так и репутационным. Финансовые штрафы могут достигать суммы до CAD $100,000 за нарушение, и дела могут быть даже переданы Генеральному прокурору Канады для дальнейшего судебного разбирательства. Помимо штрафов, ненадлежащее обращение с персональными данными может нанести серьёзный ущерб репутации компании, особенно учитывая, что 92% общественности выразил обеспокоенность по поводу того, как управляется их информация.
Закон PIPEDA также требует от организаций сообщать об утечках данных, представляющих реальный риск причинения значительного ущерба. Информация о таких инцидентах должна быть направлена в Комиссар по вопросам конфиденциальности Канады, и пострадавшие лица должны быть уведомлены при необходимости. Ведение подробной документации всех нарушений имеет решающее значение для эффективного планирования реагирования на инциденты.
Эти требования подчеркивают важность строгих мер по обеспечению соответствия для компаний, работающих на канадском рынке или обслуживающих его. Шифрование, наряду с другими мерами безопасности, играет важнейшую роль в обеспечении соответствия корпоративных систем хранения данных стандартам PIPEDA.
5. Закон о защите цифровых персональных данных (DPDPA) – Индия
Индии Закон о защите цифровых персональных данных (DPDPA) устанавливает четкие правила управления персональными данными, подчеркивая при этом надежные гарантии конфиденциальности.
Юрисдикция и географический охват
Закон о защите персональных данных (DPDPA) распространяется на все организации, обрабатывающие персональные данные в Индии, как внутренние, так и международные. Он регулирует обработку персональных данных резидентов Индии и даже иностранных резидентов, когда их данные обрабатываются в Индии по контрактам с зарубежными организациями. По сути, если ваша компания ведет деятельность в Индии или обрабатывает данные резидентов Индии, соблюдение этого закона является обязательным.
Закон имеет территориальный характер, то есть компании, находящиеся за пределами Индии, также обязаны соблюдать его, если обрабатывают персональные данные лиц, находящихся на территории Индии. Этот экстерриториальный охват делает крайне важным для международных компаний, обслуживающих индийских клиентов или поддерживающих партнёрские отношения в регионе, уделять первоочередное внимание соблюдению требований. Шифрование и другие меры безопасности, описанные ниже, играют ключевую роль в выполнении этих требований.
Требования к шифрованию
Мандаты DPDPA «разумные гарантии безопасности» для защиты персональных данных. К ним относятся шифрование, обфускация, маскировка или использование виртуальных токенов в качестве базовых мер. Организации должны внедрять эти технические и организационные меры безопасности для обеспечения многоуровневой защиты конфиденциальных данных.
Также требуется детальный контроль доступа с регулярным просмотром журналов. Кроме того, компании должны создавать резервные копии данных для обеспечения непрерывности работы в случае потери данных или сбоев в работе системы. Для компаний, использующих решения корпоративного хостингаНадёжное шифрование соответствует строгим требованиям DPDPA. Организации обязаны хранить данные и журналы доступа не менее одного года для выявления, расследования и предотвращения нарушений.
Применимость к корпоративным хранилищам
Корпоративные системы хранения данных должны соответствовать требованиям DPDPA, классифицируя персональные данные и определяя требования к их обработке. Эта классификация необходима для разработки эффективных стратегий соответствия.
Компании также должны заключать чёткие договоры с обработчиками данных, обеспечивая соблюдение мер безопасности и обязательств на протяжении всей цепочки обработки. Эти соглашения должны включать конкретные обязанности и гарантии, аналогичные обязанностям основного доверительного управляющего. Официальные соглашения об обработке данных являются юридическим требованием в соответствии с Законом о защите персональных данных (DPDPA).
«Компаниям следует начать внедрять проактивные стратегии обеспечения соответствия требованиям, инвестируя в технологии повышения конфиденциальности, проводя оценку нормативных рисков и внедряя модели управления данными, ориентированные на пользователя». – Г-н Гаурав Бхалла, партнер Ahlawat & Associates
Процессы реагирования на инциденты являются еще одним критически важным элементом. Организации должны быть готовы уведомить Совет по защите данных Индии (DPBI) и пострадавшим лицам в случае нарушения. Согласно определению DPDPA, нарушение включает в себя любой несанкционированный доступ, случайное раскрытие, неправомерное использование, изменение, уничтожение или потерю персональных данных, которые ставят под угрозу их конфиденциальность, целостность или доступность. Эти требования согласуются с более широкими стратегиями обеспечения соответствия требованиям компании.
Штрафы за несоблюдение
Финансовые санкции за несоблюдение требований очень высоки, штрафы достигают 250 крор рупий (около 130 млн рупий) или 413,3 млрд рупий мирового оборотаЭти наказания подчеркивают важность соблюдения закона и принятия надежных мер безопасности.
Помимо штрафов, несоблюдение требований может привести к репутационному ущербу и потере доверия клиентов на индийском рынке. Чтобы снизить эти риски, компаниям следует применять комплексный подход, включая назначение Сотрудник по защите данных (DPO) Компания базируется в Индии и выполняет функции посредника в сфере регулирования. Автоматизированные системы обнаружения угроз и шаблоны уведомлений о нарушениях также помогут обеспечить быстрое реагирование на инциденты.
Регулярные оценки уязвимостей и технические и организационные меры, основанные на оценке рисков, имеют решающее значение. Компаниям также необходимо оценивать потенциальные ограничения на трансграничную передачу данных и рассматривать такие варианты, как локальное зеркалирование или хранение данных, чтобы полностью соответствовать требованиям. Понимание и выполнение этих требований имеет ключевое значение для соответствия корпоративных систем хранения данных как локальным, так и глобальным стандартам защиты данных.
sbb-itb-59e1987
6. Закон о защите персональной информации (PIPL) – Китай
Закон Китая о защите персональных данных (PIPL) устанавливает строгие правила защиты и шифрования данных, устанавливая высокую планку соответствия во всем мире.
Юрисдикция и географический охват
Закон PIPL распространяется на любую организацию, обрабатывающую персональные данные физических лиц в Китае. Его сфера действия выходит за пределы Китая, затрагивая как внутренний, так и международный бизнес. Если компания собирает, хранит, использует или обрабатывает данные физических лиц в Китае, даже без физического присутствия в стране, она обязана соблюдать его. Это касается компаний, предоставляющих товары или услуги китайским пользователям или анализирующих их поведение.
Закон устанавливает строгие ограничения на трансграничную передачу данных. Компании обязаны гарантировать, что любой зарубежный получатель данных соблюдает стандарты защиты, эквивалентные предусмотренным PIPL. Кроме того, компании обязаны назначить своего представителя в Китае для контроля за соблюдением требований и решения любых юридических вопросов.
Требования к шифрованию
Шифрование — краеугольный камень технических мер безопасности PIPL. Организации должны соблюдать Правила коммерческого шифрования, которые предписывают использование алгоритмов шифрования, одобренных правительством. Распространенные стандарты шифрования, такие как AES, не допускаются без специальной сертификации китайскими властями. Более того, все зашифрованные конфиденциальные данные и ключи шифрования должны храниться на территории Китая. Для многонациональных компаний это создает значительные препятствия, поскольку им необходимо адаптироваться к локальным алгоритмам шифрования и системам управления ключами.
Применимость к корпоративным хранилищам
В PIPL также изложены чёткие правила хранения корпоративных данных в Китае. Персональные данные, как правило, должны храниться в пределах страны, за исключением случаев, когда соблюдаются строгие условия трансграничной передачи. В целях перестраховки компании часто классифицируют неопределённые данные как «важные», что приводит к применению дополнительных протоколов безопасности, включая расширенные требования к шифрованию.
Чтобы соответствовать требованиям, компании должны внедрять такие меры, как шифрование и деидентификация, для защиты персональных данных от утечки, кражи или случайного удаления. Регулярные проверки соответствия требованиям крайне важны, включая аудит методов шифрования, проверку утверждённых алгоритмов и обеспечение сохранности ключей шифрования в пределах юрисдикции Китая. Учитывая сложность этих требований, сотрудничество с местными экспертами в области права и безопасности имеет решающее значение для решения проблем, связанных с соблюдением требований.
Штрафы за несоблюдение
Штрафы за нарушение PIPL очень суровые. Администрация киберпространства Китая (CAC) Обеспечивает соблюдение закона и может налагать значительные штрафы и другие санкции. Незначительные нарушения могут повлечь за собой штрафы до 1 миллиона юаней (примерно 150 000 юаней), а виновные – от 10 000 до 100 000 юаней (примерно 1500–15 000 юаней). Серьёзные нарушения могут повлечь за собой штрафы в размере до 50 миллионов юаней (примерно 7,7 млн юаней) или 51 трлн трлн выручки компании за предыдущий год, в зависимости от того, какая сумма больше. Лицам, замешанным в серьёзных нарушениях, грозит до 7 лет лишения свободы.
Недавние громкие дела показали, насколько суровыми могут быть эти наказания: штрафы и тюремное заключение исчисляются миллионами юаней. Чтобы избежать подобных последствий, компаниям необходимо создать надежную систему соответствия требованиям, включая регулярный мониторинг, аудит и процедуры уведомления об утечках данных. Эти меры крайне важны для соблюдения строгих нормативных требований.
7. Закон о цифровой операционной устойчивости (DORA) – Европейский союз (финансовый сектор)
Закон о цифровой операционной устойчивости (DORA) устанавливает строгие стандарты кибербезопасности и операционной устойчивости для финансовых организаций, работающих в Европейском союзе (ЕС). Его цель — обеспечить финансовому сектору возможность эффективно противостоять киберугрозам и сбоям.
Юрисдикция и географический охват
DORA распространяется на широкий круг финансовых организаций в ЕС, включая банки, инвестиционные компании, кредитные организации, поставщиков услуг криптоактивов и краудфандинговые платформы. Он также распространяется на сторонних поставщиков ИКТ, даже находящихся за пределами ЕС, при условии, что они обслуживают финансовые учреждения ЕС. К ним относятся поставщики важнейших услуг, такие как рейтинговые агентства и компании по анализу данных. Начиная с 2025 года, европейские надзорные органы – ESMA, EBA и EIOPA – будут определять критически важных сторонних поставщиков ИКТ-услуг для усиления надзора. Хотя малые предприятия могут воспользоваться упрощёнными требованиями к соблюдению требований, большинство организаций должны соблюдать весь объём регулирования.
Требования к шифрованию
DORA применяет комплексный подход к шифрованию данных, требуя от финансовых организаций защищать данные в трех штатах: в состоянии покоя, в пути и в использовании. Последнее требование — шифрование используемых данных — особенно важно, поскольку оно не получило широкого распространения в мире.
Регламент обязывает финансовые организации разрабатывать политики безопасности ИКТ, уделяя первостепенное внимание доступности, подлинности, целостности и конфиденциальности данных. Это включает в себя разработку стратегий шифрования с учётом рисков и проведение регулярных оценок для противодействия меняющимся угрозам кибербезопасности.
«Финансовые организации должны разрабатывать, закупать и внедрять политики, процедуры, протоколы и инструменты безопасности ИКТ, направленные на обеспечение устойчивости, непрерывности и доступности ИКТ-систем, в частности тех, которые поддерживают критически важные или важные функции, а также на поддержание высоких стандартов доступности, подлинности, целостности и конфиденциальности данных, независимо от того, находятся ли они в состоянии покоя, используются или передаются». – DORA, ст. 9.2
DORA также призывает финансовые организации обмениваться информацией о киберугрозах и уязвимостях в доверенных сетях для повышения устойчивости всего сектора.
Применимость к корпоративным хранилищам
В постановлении особое внимание уделяется корпоративным системам хранения данных, особенно для учреждений, управляющих критически важными финансовыми данными. Организации должны обеспечить, чтобы их решения для хранения данных включали надежные возможности резервного копирования, механизмы восстановления и непрерывный мониторинг сторонних поставщиков.
Например, компании, использующие хостинговые решения Serverion, такие как выделенные серверы, VPS или услуги колокейшн, должны обеспечить соответствие своих систем строгим требованиям DORA к безопасности и отказоустойчивости. Регулярные аудиты и автоматизированные проверки соответствия имеют решающее значение для соблюдения требований законодательства. Эти меры подчеркивают важность стратегий безопасного хранения и восстановления данных в финансовом секторе.
Штрафы за несоблюдение
Несоблюдение требований DORA может повлечь за собой крупные штрафы. Финансовым учреждениям могут грозить штрафы в размере до 2% от их общего годового мирового оборота или же 1% от их среднего дневного оборотаДля крупных организаций это может означать штрафы в десятки миллионов долларов. Кроме того, предусмотрены следующие санкции:
- Штрафы до $1,09 миллиона для руководителей и компаний.
- Важнейшим сторонним поставщикам ИКТ могут грозить штрафы в размере до $5,45 миллиона для компаний или $545,000 для частных лиц.
- Ошибки в кибербезопасности могут привести к штрафам в размере до $2,18 миллиона или 2% годового оборота.
- Несвоевременное сообщение об инциденте может повлечь за собой штрафы, начиная с $272,000.
«Хотя кибербезопасность остаётся приоритетом, финансовым учреждениям необходимо повысить ответственность за эти риски до высшего уровня. Многие финансовые учреждения (ФУ) до сих пор не в полной мере осознают модель совместной ответственности, ошибочно полагая, что устойчивость SaaS-сервисов зависит исключительно от поставщика». – Уэйн Скотт, руководитель отдела решений по обеспечению соответствия нормативным требованиям в Escode.
По оценкам аналитиков, по состоянию на 17 января 2025 года 99% соответствующих финансовых организаций не были готовы к соблюдению требований DORA. Чтобы избежать этих суровых санкций, организациям необходимо уделять шифрование приоритетное внимание, проводить регулярные аудиты кибербезопасности, создавать специальные группы по обеспечению соответствия требованиям, обучать руководителей их юридическим обязанностям и сотрудничать с опытными поставщиками услуг кибербезопасности для обеспечения устойчивости систем и точной отчетности об инцидентах.
Сравнительная таблица законов о шифровании данных
Законы о шифровании данных существенно различаются в зависимости от юрисдикции. Каждый нормативный акт по-своему подходит к требованиям шифрования, наказаниям и методам обеспечения соблюдения нормативных требований. В таблице ниже представлены ключевые положения этих законов, которые служат полезной основой для разработки стратегий обеспечения соответствия, описанных в последующих разделах.
| Закон | Юрисдикция | Требования к шифрованию | Охваченные состояния данных | Максимальные штрафы | Первичные отрасли промышленности |
|---|---|---|---|---|---|
| GDPR | Евросоюз | «Соответствующие технические меры», включая шифрование | В состоянии покоя, в пути | 20 миллионов евро или 4% мирового оборота | Все сектора |
| CPRA | Калифорния, США | «Разумные процедуры безопасности» | В состоянии покоя, в пути | $7,500 за умышленное нарушение | Все сектора |
| LGPD | Бразилия | «Технические меры безопасности», включая шифрование | В состоянии покоя, в пути | 2% дохода, макс. ~$9,3 млн. | Все сектора |
| ПИПЕДА | Канада | «Соответствующие меры предосторожности» | В состоянии покоя, в пути | Н/Д | Все сектора |
| ДПДПА | Индия | «Разумные меры безопасности» | В состоянии покоя, в пути | Н/Д | Все сектора |
| ПИПЛ | Китай | «Технические меры», включая шифрование | В состоянии покоя, в пути | Н/Д | Все сектора |
| ДОРА | ЕС (финансовый) | Обязательное шифрование | В состоянии покоя, в пути | Н/Д | Только финансовые услуги |
Ключевые различия в подходе
Требования к шифрованию различаются по степени чёткости. Например, GDPR предусматривает «соответствующие технические меры», обеспечивая гибкость в реализации. С другой стороны, DORA прямо предписывает шифрование, особенно для финансовых услуг. Это различие отражает разную степень детализации, предусмотренную различными нормативными актами.
Европейское банковское управление предлагает подробные рекомендации по соблюдению требований, в которых говорится:
«Провайдеры услуг связи должны гарантировать, что при обмене конфиденциальными данными через Интернет между взаимодействующими сторонами на протяжении всего сеанса связи применяется безопасное сквозное шифрование, чтобы защитить конфиденциальность и целостность данных, используя надежные и общепризнанные методы шифрования».
Структуры штрафов
Финансовые последствия несоблюдения требований значительно различаются. GDPR предусматривает одни из самых высоких штрафов, достигающих 20 миллионов евро или 4% мирового оборота. В то же время CPRA использует модель штрафов за каждое нарушение, что может привести к увеличению штрафов при повторных нарушениях. В отношении других нормативных актов детали штрафов определены менее четко, что подчеркивает необходимость понимания местной правоприменительной практики.
Географический и отраслевой охват
Хотя большинство нормативных актов распространяются на все отрасли в пределах их юрисдикции, DORA является исключением, поскольку фокусируется исключительно на финансовых услугах. Этот целенаправленный подход отражает критическую важность безопасности данных в финансовых операциях. Интересно, что исследование Sectigo показало, что 25% европейских банков по-прежнему не имеют расширенной проверки. SSL-сертификаты, подчеркивая сохраняющиеся проблемы в соблюдении стандартов безопасности.
Варианты исполнения
Философия правоприменения также различается. Некоторые законы допускают гибкость для адаптации к развивающимся технологиям, в то время как другие, например, DORA, устанавливают строгие правила, например, требуют безопасного сквозного шифрования при обмене данными в интернете. Эти различия подчёркивают важность адаптации стратегий шифрования к конкретным нормативным требованиям.
Для компаний, работающих в нескольких юрисдикциях, понимание этих нюансов крайне важно. Независимо от того, используете ли вы выделенные серверы, VPS или услуги размещения оборудования у таких провайдеров, как Serverion, согласование методов шифрования с местным законодательством — важнейший шаг к обеспечению соответствия требованиям.
Как предприятия могут соблюдать требования соответствия
Чтобы соответствовать требованиям шифрования, предприятиям нужны не просто передовые инструменты безопасности, а структурированная система соответствия. Это включает в себя постоянный мониторинг, регулярные аудиты, тщательное документирование и последовательное применение политик. Вот как организации могут эффективно выполнять эти требования.
Внедрение практики регулярного аудита
Аудиты – основа любой стратегии обеспечения соответствия требованиям. Как внутренние, так и внешние аудиты играют важнейшую роль. Внутренние аудиты используют глубокие знания организации для выявления потенциальных пробелов, в то время как внешние аудиты предоставляют свежий, беспристрастный взгляд, позволяющий обнаружить ранее не выявленные уязвимости. В совокупности эти аудиты гарантируют не только реализацию мер безопасности, но и их эффективность в долгосрочной перспективе.
Создание надежных систем документации
Чёткая и подробная документация критически важна для соблюдения нормативных требований. Как отмечает Питер Шавакер, специалист по киберштаффингу и рекрутингу, а также бывший руководитель службы информационной безопасности:
«Политика — это чёткое изложение намерений руководства. Это путеводная звезда организации. Без неё достичь согласованности действий трудно или невозможно. А подотчётность становится очень сложной задачей, если вообще удаётся привлечь людей к ответственности».
Организациям необходимо документировать управление ключами шифрования, протоколы обработки данных и планы реагирования на инциденты. Например, правильно составленные планы реагирования на инциденты могут значительно сократить время простоя и смягчить последствия нарушений. Это особенно важно, поскольку, по прогнозам, к 2025 году глобальные потери от киберпреступности достигнут 10,5 трлн долларов в год.
Последовательное применение политик
Последовательность в применении политик — ключ к предотвращению пробелов в соблюдении требований. Вовлечение сотрудников различных отделов в разработку политик гарантирует практичность и актуальность рекомендаций. Регулярное обновление этих политик помогает организациям соответствовать меняющимся угрозам и изменениям в нормативных требованиях, делая соблюдение требований непрерывным процессом, а не разовой акцией.
Выбор правильной инфраструктуры
Правильная инфраструктура может облегчить соблюдение нормативных требований. Хостинг-провайдеры со встроенными функциями безопасности, такими как защита от DDoS-атак, SSL-сертификаты и безопасные операции в центрах обработки данных, обеспечивают надежную основу. Например, глобальная инфраструктура Serverion поддерживает соблюдение нормативных требований благодаря своим надежным методам обеспечения безопасности и вариантам размещения данных, что упрощает для предприятий соблюдение нормативных требований.
Обучение и внедрение безопасности в культуру
Регулярные обучающие программы помогают сотрудникам понимать свою роль в поддержании стандартов шифрования и соблюдении требований. Формируя культуру, в которой безопасность — это общая ответственность, организации могут создать среду, в которой соблюдение требований становится неотъемлемой частью жизни.
Постоянный мониторинг и совершенствование
Постоянный мониторинг крайне важен, поскольку как системы, так и киберугрозы развиваются. Он включает в себя проверку контроля доступа, управление ротацией ключей шифрования и обновление сертификатов безопасности. Автоматизированные инструменты могут выявлять потенциальные проблемы соответствия требованиям в режиме реального времени, позволяя командам оперативно принимать корректирующие меры и постоянно укреплять свою систему безопасности.
Заключение
Разбираться в международных законах о шифровании данных — это не просто проверка юридических пунктов. Это важный шаг в защите вашего бизнеса от крупных финансовых потерь и репутационного ущерба. Цифры говорят сами за себя: компании могут потерять до 25% их доли рынка после кибератаки, и расходы из-за несоблюдения требований ошеломляют в 2,71 раза выше чем расходы, необходимые для соблюдения требований. Если это не подчёркивает срочность, то ничто не подчёркивает.
Регуляторы усиливают контроль, и последствия несоблюдения правил стали суровее, чем когда-либо. Недавние случаи демонстрируют высокую цену халатности. Возьмём, к примеру, Solara Medical Supplies: после раскрытия конфиденциальных данных о здоровье более 114 000 человек они столкнулись с… $3 миллиона штрафа в январе 2025 года. Этот случай — отрезвляющее напоминание о том, что игнорирование требований не экономит деньги; в долгосрочной перспективе это обходится гораздо дороже.
Адвокат Джоан Врабец прекрасно это выразила: конфиденциальность превратилась из простого требования закона в центральная бизнес-стратегия, и шифрование теперь становится ключевым фактором отличия лидеров рынка.
Чтобы снизить эти риски, компаниям необходимо действовать уже сейчас, инвестируя в безопасную инфраструктуру. Это означает: партнерство с хостинг-провайдерами которые обеспечивают встроенные функции безопасности, такие как Защита от DDoS-атак, SSL-сертификатыи безопасные центры обработки данных с глобальным покрытием. Например, Serverion предлагает надежные меры безопасности и гибкие варианты размещения данных, помогая компаниям соблюдать сложные нормативные требования без ущерба для операционной эффективности.
Поскольку правительства ужесточают правила защиты данных, организации, отдающие приоритет шифрованию и безопасным решениям для хранения данных, будут позиционировать себя как лидеры в современной цифровой экономике.
Часто задаваемые вопросы
Чем отличаются требования GDPR и CPRA к шифрованию данных?
The Общий регламент по защите данных (GDPR) и Закон штата Калифорния о правах на неприкосновенность частной жизни (CPRA) Применяются различные подходы к шифрованию данных и их общей направленности. GDPR предъявляет более строгие требования, обязывая организации принимать технические и организационные меры, например, шифрование, для защиты персональных данных и предотвращения нарушений. Его сфера применения широка и охватывает все персональные данные резидентов ЕС, а также подчёркивает необходимость проактивной позиции в вопросах безопасности данных.
Напротив, CPRA больше склоняется к права потребителей и прозрачность для жителей Калифорнии. Хотя GDPR поощряет шифрование как надлежащую практику, это не делает его строгим требованием. Вместо этого CPRA уделяет большое внимание уведомлению о нарушениях и управлению рисками после инцидента, а не обеспечению соблюдения строгих превентивных мер. Эти различия подчеркивают основные приоритеты каждого регламента: GDPR нацелен на надёжную защиту данных, в то время как CPRA отдаёт приоритет контролю и ответственности потребителей после нарушений.
Какие шаги следует предпринять предприятиям, чтобы гарантировать соответствие их методов шифрования международным законам о защите данных?
Чтобы соответствовать международным законам о защите данных, предприятиям необходимо внедрить надежные стандарты шифрованияДля симметричного шифрования AES-256 — надёжный выбор, а RSA с ключами длиной 2048 бит или больше хорошо подходит для асимметричного шифрования. Не менее важно управление ключами шифрования, что включает в себя безопасное создание, хранение, распространение и отзыв ключей для предотвращения несанкционированного доступа.
Также важно быть в курсе конкретных правовых норм, таких как GDPR, которые подчеркивают безопасную обработку данных и признают шифрование важнейшей технической мерой безопасности. Регулярный пересмотр и обновление протоколов шифрования в соответствии с текущая отраслевая практика Обеспечивает соблюдение компаниями нормативных требований в разных регионах. Сосредоточение внимания на безопасности и гибкости — ключ к тому, чтобы идти в ногу с постоянно меняющимся ландшафтом нормативных требований по защите данных.
Каковы риски для предприятий, которые не соблюдают законы о шифровании данных, такие как DORA и PIPL?
Несоблюдение законов о шифровании данных, таких как ДОРА а также ПИПЛ Нарушение закона может иметь серьёзные последствия для бизнеса. Например, согласно закону DORA, компании могут быть оштрафованы на сумму до 21 TP3T от их годового оборота. Аналогично, нарушения PIPL могут повлечь за собой штрафы в размере до 50 миллионов иен (около 1 TP4T7,2 млн) или 51 TP3T от годового дохода.
Но последствия не ограничиваются финансовыми штрафами. Компании также могут столкнуться с судебные иски, приостановка действия лицензий и сбои в работеВсё это может подорвать финансовое положение и нанести ущерб репутации компании. Соблюдение нормативных требований — это не только способ избежать этих рисков, но и способ укрепить доверие клиентов и партнёров, продемонстрировав твёрдую приверженность защите данных.
