7 найкращих законів про шифрування даних для підприємств
Шифрування даних більше не є необов'язковим. Прогнозується, що кіберзлочинність завдасть збитків $10,5 трильйона до 2025 року а штрафи за невиконання вимог сягають мільйони доларіврозуміння законів про шифрування є критично важливим для підприємств. Цей посібник охоплює сім ключових нормативних актів, що формують глобальний захист даних:
- GDPR (ЄС)Заохочує шифрування персональних даних зі штрафами до 20 млн євро або 41 TP3 т річного доходу.
- CPRA (Каліфорнія, США)Потрібне шифрування; порушення безпеки незашифрованих даних дають змогу подати позови.
- LGPD (Бразилія)Вимагає запобіжних заходів, таких як шифрування; штрафи до 2% доходу.
- PIPEDA (Канада)Рекомендує шифрування для захисту персональних даних.
- DPDPA (Індія)Вимагає «розумних практик безпеки», включаючи шифрування.
- PIPL (Китай)Вимагає схваленого урядом шифрування для даних у межах своїх кордонів.
- DORA (Фінансовий сектор ЄС)Суворі стандарти шифрування для фінансових установ, що охоплюють дані, що зберігаються, передаються та використовуються.
Швидке порівняння:
| Право | Юрисдикція | Мандат на шифрування | Максимальний штраф |
|---|---|---|---|
| GDPR | ЄС | Настійно рекомендується | 20 млн євро або 41 TP3 тис. доходу |
| CPRA | Каліфорнія, США | Необхідно для захисту від порушень | $7,500/порушення |
| LGPD | Бразилія | Необхідні технічні засоби безпеки | 2% доходу |
| ПІПЕДА | Канада | Заохочується, не є обов'язковим | CAD $100 000/порушення |
| ДПДПА | Індія | «Розумні запобіжні заходи» | Оборот ₹250 Cr або 4% |
| ПІПЛ | Китай | Обов'язкове схвалене шифрування | Дохід у розмірі ¥50 млн або 5% |
| ДОРА | ЄС (фінансовий сектор) | Обов'язковий для фінансових даних | 2% річного обороту |
Шифрування захищає бізнес від порушень, штрафів та шкоди репутації. Читайте далі, щоб отримати детальний огляд цих законів та способів їх дотримання.
9 правил конфіденційності даних, які вам потрібно знати
1. Загальний регламент про захист даних (GDPR) – Європейський Союз
GDPR, що діє з травня 2018 року, змінив порядок обробки персональних даних у всьому світі.
Юрисдикція та географічний охоплення
GDPR не обмежується Європою – він має глобальне охоплення. Будь-яка організація, незалежно від того, де вона базується, повинна дотримуватися вимог, якщо вона обробляє персональні дані резидентів ЄС. Наприклад, компанії, що базуються в США та обслуговують клієнтів з ЄС, підпадають під дію цих правил. Регламент розділяє відповідальність між контролери даних (хто вирішує, як і чому обробляються дані) та обробники даних (які обробляють дані від імені контролерів). Це розмежування особливо актуальне для хостинг-провайдерів та компаній, які використовують послуги колокейшн.
Вимоги до шифрування (обов'язкові або рекомендовані)
Хоча шифрування прямо не передбачено GDPR, його наполегливо рекомендується як ключовий технічний запобіжний захід. Стаття 32 закликає до відповідних технічних та організаційних заходів для захисту персональних даних, і шифрування часто пропонується як один із найефективніших методів. Це стосується як дані в стані спокою і дані під час передачіТакі органи влади, як Управління інформаційного комісара Великої Британії, радять використовувати рішення для шифрування що відповідають таким стандартам, як FIPS 140-2 та FIPS 197.
Однією з головних переваг шифрування є його вплив на повідомлення про порушення. Згідно з GDPR, організації повинні повідомляти про порушення безпеки даних протягом 72 годин. Однак, якщо зашифровані дані скомпрометовані та стають нечитабельними для зловмисників, цю вимогу можна скасувати.
Застосовність до корпоративного сховища
Для підприємств, які керують даними в різних середовищах зберігання, дотримання GDPR може бути проблемою. Регламент застосовується до персональних даних, що зберігаються на виділені сервери, хмарні платформи, або гібридні інфраструктуриКомпаніям необхідно класифікувати дані на основі їхньої чутливості, щоб визначити правильні заходи шифрування. Особливої уваги потребує транскордонна передача даних, оскільки GDPR встановлює суворі правила щодо переміщення персональних даних за межі ЄС/ЄЕЗ без належних гарантій. Шифрування має вирішальне значення для забезпечення безпечної міжнародної передачі даних. Хостингові провайдери, зокрема такі Serionion, повинні узгодити свої методи шифрування зі стандартами GDPR, щоб підтримати зусилля своїх клієнтів щодо дотримання вимог.
Штрафи за невиконання вимог
GDPR запроваджує багаторівневу систему штрафів, яка робить невідповідність фінансово болісною. Незначні порушення можуть призвести до штрафів у розмірі до 11,8 млн рупій або 21 рупій,3 млн рупій світового річного доходу, залежно від того, що більше. Серйозні порушення можуть призвести до штрафів у розмірі 23,6 млн рупій або 41 рупій,3 млн рупій світового доходу. Нещодавні випадки ілюструють суворість цього регулювання. У 2023 році Ірландська комісія із захисту даних оштрафувала Meta на 1,2 млрд рупій за нездатність захистити передачу даних. Аналогічно, H&M зіткнулася зі штрафом у розмірі 41,8 млн рупій у 2020 році за незаконне спостереження за співробітниками.
Недотримання вимог може призвести не лише до штрафів. Організації можуть зіткнутися з операційними обмеженнями, такими як накази про припинення обробки даних, а також можуть нести відповідальність за збитки, про які вимагають постраждалі особи.
«Загальний регламент про захист даних (GDPR) – це найжорсткіший у світі закон про конфіденційність та безпеку». – GDPR.EU
Для постачальників хостингу та інфраструктури ці штрафи підкреслюють необхідність надійних стратегій шифрування для захисту своїх операцій та забезпечення дотримання їхніми клієнтами вимог до відповідності.
Далі ми розглянемо Закон Каліфорнії про права на конфіденційність та його відмінності у підході до конфіденційності даних для підприємств.
2. Закон Каліфорнії про права на конфіденційність (CPRA) – Сполучені Штати
З 1 січня 2023 року CPRA посилює Закон Каліфорнії про захист конфіденційності споживачів (CCPA), запроваджуючи суворіші правила для підприємств, які обробляють персональну інформацію, що належить резидентам Каліфорнії.
Юрисдикція та географічний охоплення
CPRA спеціально спрямована комерційні підприємства які збирають особисту інформацію від жителів Каліфорнії та відповідають певним критеріям. До них належать:
- Компанії з річним валовим доходом, що перевищує $25 мільйонів.
- Компанії, які купують, продають або передають особисту інформацію 100 000 або більше Мешканці, домогосподарства або пристрої Каліфорнії.
- Суб'єкти господарювання, що заробляють 50% або більше їхнього річного доходу від продажу або поширення особистої інформації споживачів Каліфорнії.
На відміну від GDPR, який має глобальне охоплення, CPRA зосереджується виключно на компаніях, що обслуговують жителів Каліфорнії, незалежно від їхнього фізичного місцезнаходження. Ключовою особливістю CPRA є його принцип мінімізації даних, що обмежує збір та зберігання даних тим, що суворо необхідно для ведення бізнесу.
Вимоги до шифрування (обов'язкові або рекомендовані)
Розділ 1798.150 Закону про захист персональних даних (CPRA) вимагає від підприємств впроваджувати надійні заходи безпеки для захисту персональної інформації. У разі порушення безпеки незашифрованих даних споживачі мають право подати цивільні позови. У цьому положенні зазначено:
«Будь-який споживач, чия незашифрована та невідредагована особиста інформація… зазнала несанкціонованого доступу та вилучення, крадіжки або розголошення в результаті порушення компанією обов’язку впроваджувати та підтримувати розумні процедури та практики безпеки… може подати цивільний позов».
Законодавчі акти Каліфорнії 128-бітове шифрування як мінімальний стандарт для певних систем, при цьому криптографічні модулі потребують сертифікації відповідно FIPS 140-2 стандарти. CPRA вимагає шифрування як даних під час передачі, так і даних у стані спокою, і підприємствам рекомендується зберігати ключі шифрування окремо від зашифрованих даних. Ці заходи є критично важливими для забезпечення відповідності вимогам та захисту корпоративних систем зберігання даних.
Застосовність до корпоративного сховища
Системи зберігання даних підприємств повинні відповідати суворим вимогам CPRA. Очікується, що підприємства виконуватимуть оцінки захисту даних виявити ризики для конфіденційності та впровадити необхідні заходи безпеки в усіх середовищах зберігання даних.
Закон також вимагає від компаній анонімізації або агрегації персональної інформації, що впливає на те, як дані зберігаються та керуються. Організації, що користуються послугами хостингу, повинні забезпечити відповідність своїх постачальників вимогам CPRA, створюючи ланцюг відповідальності протягом усього життєвого циклу обробки даних. Наприклад, компанії, які покладаються на послуги Serverion, повинні забезпечити дотримання стандартів шифрування у всіх конфігураціях.
Ключовими елементами відповідності є проведення регулярних аудитів безпеки та забезпечення суворого контролю доступу. Крім того, CPRA надає мешканцям Каліфорнії право відмовитися від автоматизованого прийняття рішень, вимагаючи систем, які можуть ідентифікувати та відокремлювати дані, що використовуються для таких цілей.
Штрафи за невиконання вимог
Недотримання CPRA може призвести до штрафів з боку регуляторних органів та приватних позовів. Споживачі, які постраждали від витоків даних, спричинених неадекватними заходами безпеки, можуть вимагати відшкодування збитків, починаючи від від $107 до $799 за інцидент.
Як пояснює Альфред Брунетті, директор компанії Porzio, Bromberg and Newman PC:
«Підприємство, постачальник послуг або інша особа, визнана такою, що порушує CCPA з поправками, внесеними CPRA, підлягає судовій забороні та цивільному штрафу в розмірі не більше $2,500 за кожне порушення та не більше $7,500 за кожне навмисне порушення».
Нещодавні правоохоронні дії підкреслюють важливість дотримання цих правил. Наприклад, у 2022 році Sephora сплатила 1,2 мільйона тандурів для врегулювання позовів про порушення CCPA, а у 2024 році DoorDash зіткнулася з штрафом у розмірі 375 000 тандурів за передачу даних клієнтів без їхньої явної згоди. Примітно, що CPRA скасувала 30-денний період для виправлення недоліків, який раніше був дозволений CCPA, а це означає, що компанії можуть зіткнутися з негайними штрафами, якщо порушення не будуть негайно усунені.
Далі ми розглянемо Lei Geral de Proteção de Dados із Бразилії, щоб дізнатися, як до шифрування підходять у Латинській Америці.
3. Lei Geral de Proteção de Dados (LGPD) – Бразилія
Lei Geral de Proteção de Dados (LGPD) Бразилії встановлює суворі правила захисту персональних даних, які значною мірою натхненні GDPR ЄС.
Юрисдикція та географічний охоплення
LGPD має широкий охоплення, що стосується організацій у будь-якій точці світу, якщо вони обробляють персональні дані фізичних осіб у Бразилії. Це включає обробку даних фізичними або юридичними особами – державними чи приватними. Якщо у вашого бізнесу є клієнти, співробітники, підрядники або партнери в Бразилії, дотримання LGPD є обов’язковим.
Закон застосовується до:
- Діяльність з обробки даних, що здійснюється в Бразилії.
- Дані зібрані в Бразилії.
- Персональні дані фізичних осіб у Бразилії, незалежно від того, де знаходиться обробник даних.
Вимоги до шифрування (обов'язкові або рекомендовані)
Хоча LGPD прямо не вимагає шифрування, він наголошує на необхідності розумні заходи безпеки для захисту персональних даних. Стаття 46 визначає, що організації повинні вживати технічних, безпекових та адміністративних заходів безпеки для запобігання несанкціонованому доступу. Дані, які повністю анонімізовані або зашифровані до неможливості відновлення, не підпадають під дію цих правил.
Щоб дотримуватися вимог, організації повинні впроваджувати поєднання стратегій, таких як:
- Політики безпеки та плани реагування на інциденти.
- Навчання з підвищення обізнаності для працівників.
- Контроль доступу та інші технічні заходи.
Для компаній, що використовують хостингові рішення, такі як Serverion, підтримка надійних протоколів шифрування є критично важливою для дотримання стандартів LGPD. Ці заходи необхідні для захисту даних на різних платформах зберігання даних.
Застосовність до корпоративного сховища
Системи зберігання даних підприємств повинні відповідати вимогам безпеки LGPD. Це означає, що підприємства повинні документувати, як дані збираються, використовуються, зберігаються та поширюються. Вони також повинні оцінювати міжнародну передачу даних, щоб забезпечити дотримання закону.
Ключові кроки включають:
- Встановлення систем захисту даних.
- Проведення регулярних оцінок впливу на захист даних (DPIA).
- Призначення співробітника із захисту даних (DPO) для нагляду за дотриманням вимог.
- Підготовка планів реагування на витік даних.
- Навчання співробітників найкращим практикам захисту даних.
Постачальники послуг також повинні дотримуватися стандартів безпеки, що відповідають LGPD, протягом усього ланцюжка обробки даних.
Штрафи за невиконання вимог
Недотримання LGPD може призвести до значних штрафів – до 2% чистого доходу компанії в Бразилії, обмежених $50 мільйонами рандів за кожне порушення. Додаткові штрафи включають:
- Щоденні штрафи за невирішені проблеми.
- Публічне розкриття інформації про порушення.
- Блокування або видалення персональних даних.
- Призупинення або заборона діяльності з обробки даних.
Нещодавні справи про правозастосування підкреслюють дієвість цього закону. Наприклад, 6 липня 2023 року компанію Telekall Infoservice оштрафували на 14 400 бразильських реалів (приблизно 14 тис. рупій) за численні порушення, зокрема за непризначення співробітника із захисту даних та відсутність належної правової основи для обробки даних. Аналогічно, у жовтні 2023 року Департамент охорони здоров'я штату Санта-Катаріна зіткнувся зі штрафами за такі проблеми, як погані заходи безпеки та несвоєчасне повідомлення про інциденти.
Окрім фінансових штрафів, невиконання вимог може призвести до судових позовів від постраждалих осіб, шкоди репутації компанії та навіть втрати прав на обробку даних. Для компаній, що працюють у Бразилії, дотримання вимог LGPD – це не лише уникнення штрафів, а й важливе для підтримки довіри та безперервності діяльності.
Далі ми розглянемо, як канадська PIPEDA вирішує аналогічні проблеми захисту даних.
4. Закон про захист персональної інформації та електронних документів (PIPEDA) – Канада
Канади Закон про захист персональної інформації та електронних документів (PIPEDA) встановлює правила обробки персональної інформації організаціями приватного сектору. Побудований на принципах справедливої інформації, він спрямований на захист конфіденційності особистої інформації, одночасно підтримуючи ефективну діяльність бізнесу.
Юрисдикція та географічний охоплення
PIPEDA застосовується до підприємств, що працюють у Канаді та керують персональними даними в міжпровінційних або міжнародних транзакціях. Він регулює діяльність організацій приватного сектору по всій країні та включає персональні дані працівників у галузях, що регулюються федеральним законодавством. Якщо ваш бізнес обробляє дані, що перетинають провінційні або міжнародні кордони, дотримання PIPEDA є обов'язковим.
Вимоги до шифрування (обов'язкові або рекомендовані)
PIPEDA не призначає конкретних технологій безпеки, але наполегливо закликає організації впроваджувати запобіжні заходи для захисту персональної інформації. Згідно з Принцип 7 (Захисні заходи), компанії зобов'язані захищати персональні дані від таких ризиків, як втрата, крадіжка або несанкціонований доступ. Шифрування є одним із рекомендованих заходів для захисту конфіденційної інформації під час зберігання та передачі. Однак це лише один елемент пазлу. Комплексна стратегія безпеки також повинна включати такі інструменти, як надійні паролі, брандмауери та регулярні оновлення, у поєднанні з фізичними та організаційними засобами контролю.
Вибір заходів безпеки залежить від таких факторів, як чутливість даних, їх обсяг, спосіб їх розподілу, формат зберігання та потенційні ризики. Для компаній, що використовують хостингові рішення, такі як Serverion, впровадження надійного шифрування під час обробки даних може допомогти задовольнити гнучкі очікування PIPEDA щодо безпеки.
Регулярні перевірки протоколів безпеки є важливими для підтримки ефективного захисту. Ці заходи повинні безперешкодно інтегруватися в ширшу систему управління конфіденційністю, щоб забезпечити відповідність корпоративних систем зберігання даних стандартам відповідності.
Застосовність до корпоративного сховища
Для підприємств узгодження систем зберігання даних з принципами конфіденційності PIPEDA є невід'ємною частиною процесу. Це включає розробку програми управління конфіденційністю, чітке документування цілей обробки даних та забезпечення суворого контролю доступу. Оцінки впливу на конфіденційність (PIA) є критично важливим кроком для оцінки того, як бізнес-операції впливають на конфіденційність особистої інформації. Інші ключові заходи включають встановлення чітких термінів зберігання особистої інформації та навчання співробітників найкращим практикам конфіденційності.
«Організація повинна легко надавати фізичним особам конкретну інформацію про свою політику та практику щодо управління персональними даними». – Розділ 4.8.1 PIPEDA
Організації також повинні встановити суворі процедури моніторингу схем доступу та проведення регулярних аудитів для виявлення несанкціонованої діяльності. Ефективне вирішення скарг щодо конфіденційності та забезпечення точності персональної інформації є однаково важливими для забезпечення відповідності вимогам.
Штрафи за невиконання вимог
Недотримання вимог PIPEDA може призвести до серйозних наслідків, як фінансових, так і репутаційних. Фінансові штрафи можуть сягати… $100 000 канадських доларів за порушення, а справи можуть навіть бути передані Генеральному прокурору Канади для подальшого судового розгляду. Окрім штрафів, неправомірне поводження з персональними даними може серйозно зашкодити репутації компанії, особливо тому, що 92% громадськості висловив стурбованість щодо того, як керується їхньою інформацією.
PIPEDA також вимагає від організацій повідомляти про витоки даних, які становлять реальний ризик значної шкоди. Про такі інциденти необхідно повідомляти до Комісар Канади з питань конфіденційності, а постраждалих осіб необхідно повідомляти за необхідності. Ведення детального обліку всіх порушень має вирішальне значення для ефективного планування реагування на інциденти.
Ці вимоги підкреслюють важливість суворих заходів щодо дотримання вимог для підприємств, що працюють на канадському ринку або обслуговують його. Шифрування, поряд з іншими запобіжними заходами, відіграє вирішальну роль у забезпеченні відповідності корпоративних систем зберігання даних стандартам PIPEDA.
5. Закон про захист цифрових персональних даних (DPDPA) – Індія
Індії Закон про захист цифрових персональних даних (DPDPA) встановлює чіткі правила управління персональними даними, водночас наголошуючи на надійних гарантіях конфіденційності.
Юрисдикція та географічний охоплення
Закон про захист даних Індії (DPDPA) застосовується до всіх організацій, які обробляють персональні дані в Індії, незалежно від того, чи є вони національними, чи міжнародними. Він регулює обробку персональних даних, що належать резидентам Індії та навіть іноземним резидентам, коли їхні дані обробляються в Індії за контрактами з іноземними організаціями. По суті, якщо ваш бізнес працює в Індії або обробляє дані резидентів Індії, дотримання вимог є обов'язковим.
Закон застосовує територіальний підхід, тобто компанії, що базуються за межами Індії, також повинні дотримуватися вимог, якщо вони обробляють персональні дані осіб у межах кордонів Індії. Таке екстериторіальне охоплення робить критично важливим для глобальних компаній, які обслуговують індійських клієнтів або підтримують партнерські відносини в регіоні, пріоритетним завданням дотримання вимог. Шифрування та інші заходи безпеки, описані нижче, відіграють ключову роль у виконанні цих вимог.
Вимоги до шифрування
Мандати DPDPA "розумні заходи безпеки" для захисту персональних даних. До них належать шифрування, обфускація, маскування або використання віртуальних токенів як базових заходів. Організації повинні впроваджувати ці технічні та організаційні заходи безпеки, щоб забезпечити кілька рівнів безпеки конфіденційних даних.
Також потрібен детальний контроль доступу з регулярним переглядом журналів. Крім того, компанії повинні створювати резервні копії даних, щоб забезпечити безперервність у разі втрати даних або збоїв у роботі системи. Для компаній, які використовують рішення для корпоративного хостингу, надійне шифрування відповідає суворим вимогам DPDPA. Організації зобов'язані зберігати дані та журнали доступу протягом щонайменше одного року, щоб допомогти у виявленні, розслідуванні та запобіганні порушенням.
Застосовність до корпоративного сховища
Системи зберігання даних підприємств повинні відповідати вимогам DPDPA, класифікуючи персональні дані та визначаючи вимоги до їх обробки. Ця класифікація є важливою для розробки ефективних стратегій відповідності.
Підприємства також повинні укладати чіткі контракти з обробниками даних, забезпечуючи дотримання заходів безпеки та зобов'язань протягом усього ланцюжка обробки. Ці угоди повинні містити конкретні обов'язки та гарантії, що відображають обов'язки основного довіреного особи даних. Формальні угоди про обробку даних є юридичною вимогою згідно з DPDPA.
«Компанії повинні почати впроваджувати проактивні стратегії дотримання вимог, інвестуючи в технології покращення конфіденційності, проводячи оцінки регуляторних ризиків та впроваджуючи моделі управління даними, орієнтовані на користувача». – Пан Гаурав Бхалла, партнер, Ahlawat & Associates
Процеси реагування на інциденти є ще одним критичним елементом. Організації повинні бути готові повідомляти Рада із захисту даних Індії (DPBI) та постраждалих осіб у разі порушення. Порушення, згідно з визначенням DPDPA, включає будь-який несанкціонований доступ, випадкове розголошення, неправильне використання, зміну, знищення або втрату персональних даних, що ставить під загрозу їх конфіденційність, цілісність або доступність. Ці вимоги відповідають ширшим стратегіям корпоративного дотримання вимог.
Штрафи за невиконання вимог
Фінансові покарання за невиконання вимог є значними, а штрафи сягають ₹250 крор (близько 1 мільйона TP4T30) або 41 TP3T світового оборотуЦі штрафи підкреслюють важливість дотримання закону та впровадження надійних заходів безпеки.
Окрім штрафів, невиконання вимог може призвести до репутаційної шкоди та втрати довіри клієнтів на індійському ринку. Щоб пом'якшити ці ризики, компанії повинні застосувати комплексний підхід, включаючи призначення Спеціаліст із захисту даних (DPO) базується в Індії, щоб діяти як регуляторний зв'язок. Автоматизовані системи виявлення загроз та шаблони сповіщень про порушення також можуть допомогти забезпечити швидке реагування на інциденти.
Регулярні оцінки вразливостей та технічні й організаційні заходи на основі ризиків є надзвичайно важливими. Підприємства також повинні оцінювати потенційні обмеження на транскордонну передачу даних та розглядати такі варіанти, як локальне дзеркалювання даних або зберігання, щоб повністю відповідати вимогам. Розуміння та врахування цих вимог є ключовим для узгодження корпоративних систем зберігання даних з місцевими та глобальними стандартами захисту даних.
sbb-itb-59e1987
6. Закон про захист персональної інформації (PIPL) – Китай
Закон Китаю про захист персональних даних (PIPL) запроваджує суворі правила захисту даних та шифрування, встановлюючи високу планку дотримання вимог у всьому світі.
Юрисдикція та географічний охоплення
Закон про захист персональних даних (PIPL) застосовується до будь-якої організації, яка обробляє персональні дані фізичних осіб у Китаї. Його дія виходить за межі Китаю, впливаючи як на внутрішній, так і на міжнародний бізнес. Якщо компанія збирає, зберігає, використовує або обробляє дані, що належать фізичним особам у Китаї, навіть без фізичної присутності в країні, вона повинна дотримуватися вимог. Це стосується також компаній, які надають продукти чи послуги китайським користувачам або аналізують їхню поведінку.
Коли йдеться про транскордонну передачу даних, закон накладає жорсткі обмеження. Компанії повинні забезпечити, щоб будь-який закордонний одержувач даних дотримувався стандартів захисту, еквівалентних тим, що передбачені PIPL. Крім того, компанії зобов'язані призначити місцевого представника в Китаї для контролю за дотриманням вимог та виконання будь-яких юридичних зобов'язань.
Вимоги до шифрування
Шифрування є наріжним каменем технічних заходів безпеки PIPL. Організації повинні дотримуватися Правила комерційного шифрування, які вимагають використання затверджених урядом алгоритмів шифрування. Загальні стандарти шифрування, такі як AES, не дозволені, якщо вони спеціально не сертифіковані китайською владою. Крім того, всі зашифровані конфіденційні дані та ключі шифрування повинні зберігатися в межах Китаю. Для багатонаціональних компаній це створює значні перешкоди, оскільки їм потрібно адаптуватися до локалізованих алгоритмів шифрування та систем управління ключами.
Застосовність до корпоративного сховища
Закон про PIPL також визначає чіткі правила зберігання корпоративних даних у Китаї. Персональна інформація, як правило, повинна залишатися в країні, якщо не дотримано суворих умов для транскордонної передачі. З міркувань обережності компанії часто класифікують невизначені дані як «важливі», що активує додаткові протоколи безпеки, включаючи розширені вимоги до шифрування.
Щоб дотримуватися вимог, компанії повинні впроваджувати такі заходи, як шифрування та анонімізація, щоб захистити персональну інформацію від порушень, крадіжки або випадкового видалення. Регулярні перевірки відповідності є важливими, включаючи аудит методів шифрування, перевірку затверджених алгоритмів та забезпечення того, щоб ключі шифрування залишалися в межах юрисдикції Китаю. З огляду на складність цих вимог, співпраця з місцевими експертами з права та безпеки має вирішальне значення для подолання проблем, пов'язаних з дотриманням вимог.
Штрафи за невиконання вимог
Штрафи за порушення PIPL є значними. Адміністрація кіберпростору Китаю (CAC) забезпечує дотримання закону та може накладати значні штрафи або інші санкції. Незначні порушення можуть призвести до штрафів у розмірі до 1 мільйона юанів (приблизно 140 000 фунтів стерлінгів), а відповідальні особи можуть бути оштрафовані на суму від 10 000 до 100 000 юанів (1500–1415 000 фунтів стерлінгів). Серйозні порушення можуть призвести до штрафів у розмірі до 50 мільйонів юанів (приблизно 7,7 мільйона фунтів стерлінгів) або 513 фунтів стерлінгів від доходу компанії за попередній рік, залежно від того, що більше. Особам, причетним до серйозних порушень, може загрожувати до 7 років позбавлення волі.
Нещодавні гучні справи показали, наскільки суворими можуть бути ці покарання, зокрема, винесені багатомільйонні штрафи та тюремне ув'язнення. Щоб уникнути таких наслідків, компанії повинні запровадити надійні системи дотримання вимог, включаючи регулярний моніторинг, аудити та процедури повідомлення про порушення безпеки даних. Ці заходи є важливими для того, щоб залишатися на правильному боці цього суворого регуляторного ландшафту.
7. Закон про цифрову операційну стійкість (DORA) – Європейський Союз (фінансовий сектор)
Закон про цифрову операційну стійкість (DORA) встановлює суворі стандарти кібербезпеки та операційної стійкості для фінансових установ, що працюють у межах Європейського Союзу (ЄС). Його метою є забезпечення того, щоб фінансовий сектор міг ефективно протистояти кіберзагрозам та збоям.
Юрисдикція та географічний охоплення
DORA застосовується до широкого кола фінансових установ у ЄС, включаючи банки, інвестиційні фірми, кредитні установи, постачальників послуг з криптоактивами та краудфандингові платформи. Він також поширюється на сторонніх постачальників ІКТ, навіть тих, хто базується за межами ЄС, за умови, що вони обслуговують фінансові установи ЄС. Це включає постачальників основних послуг, таких як кредитні рейтингові агентства та фірми з аналізу даних. Починаючи з 2025 року, європейські наглядові органи – ESMA, EBA та EIOPA – визначатимуть критичних сторонніх постачальників ІКТ-послуг для посиленого нагляду. Хоча менші організації можуть скористатися спрощеними вимогами до дотримання вимог, більшість організацій повинні дотримуватися повної сфери застосування цього регламенту.
Вимоги до шифрування
DORA застосовує комплексний підхід до шифрування даних, вимагаючи від фінансових установ захищати дані у трьох штатах: у стані спокою, під час транспортування та під час використанняЦя остання вимога, шифрування даних під час використання, є особливо помітною, оскільки вона не отримала широкого поширення в усьому світі.
Цей регламент зобов'язує фінансові установи запровадити політики безпеки ІКТ, які надають пріоритет доступності, автентичності, цілісності та конфіденційності даних. Це включає розробку стратегій шифрування на основі ризиків та проведення регулярних оцінок для реагування на постійні загрози кібербезпеці.
«Фінансові установи повинні розробляти, закуповувати та впроваджувати політики, процедури, протоколи та інструменти безпеки ІКТ, спрямовані на забезпечення стійкості, безперервності та доступності систем ІКТ, зокрема тих, що підтримують критично важливі функції, а також на підтримку високих стандартів доступності, автентичності, цілісності та конфіденційності даних, незалежно від того, чи знаходяться вони в стані спокою, під час використання чи під час передачі». – DORA, ст. 9.2
DORA також заохочує фінансові установи обмінюватися інформацією про кіберзагрози та вразливості в межах надійних мереж для зміцнення стійкості в усьому секторі.
Застосовність до корпоративного сховища
У цьому регламенті робиться особливий акцент на корпоративних системах зберігання даних, особливо для установ, які керують критично важливими фінансовими даними. Організації повинні забезпечити, щоб їхні рішення для зберігання даних включали надійні можливості резервного копіювання, механізми відновлення та постійний моніторинг сторонніх постачальників.
Наприклад, компанії, що використовують хостингові рішення Serverion, такі як виділені сервери, VPS або послуги колокейшн, повинні забезпечити відповідність цих систем суворим вимогам безпеки та стійкості DORA. Регулярні аудити та автоматизовані перевірки відповідності мають вирішальне значення для дотримання нормативних вимог. Ці заходи підкреслюють важливість безпечних стратегій зберігання та відновлення у всьому фінансовому секторі.
Штрафи за невиконання вимог
Недотримання вимог DORA може призвести до значних штрафів. Фінансовим установам можуть загрожувати штрафи до 2% від їхнього загального річного світового обороту або 1% їхнього середньодобового оборотуДля великих організацій це може означати штрафи у розмірі десятків мільйонів доларів. Крім того, конкретні штрафи включають:
- Штрафи до $1,09 мільйона для керівників та компаній.
- Критично важливим стороннім постачальникам ІКТ-послуг можуть бути накладені штрафи на суму до $5,45 мільйона для компаній або $545,000 для фізичних осіб.
- Порушення кібербезпеки можуть призвести до штрафів у розмірі до $2,18 мільйона або 2% річного обороту.
- Затримка повідомлення про інцидент може призвести до штрафів, починаючи з $272,000.
«Хоча кібербезпека залишається пріоритетом, фінансовим установам необхідно підняти відповідальність за ці ризики на вищий рівень. Багато фінансових установ (ФУ) досі не повністю розуміють модель спільної відповідальності, помилково вважаючи, що стійкість SaaS-послуг залежить виключно від постачальника». – Вейн Скотт, керівник відділу рішень з нормативно-правової відповідності в Escode
Станом на 17 січня 2025 року, за оцінками аналітиків, 99% відповідних фінансових установ були неготові до дотримання вимог DORA. Щоб уникнути цих суворих санкцій, організації повинні надавати пріоритет шифруванню, проводити регулярні аудити кібербезпеки, створювати спеціальні групи з дотримання вимог, навчати керівників їхнім юридичним обов'язкам та співпрацювати з досвідченими постачальниками послуг з кібербезпеки для забезпечення стійкості системи та точного звітування про інциденти.
Порівняльна таблиця законів шифрування даних
Закони про шифрування даних значно відрізняються залежно від юрисдикції. Кожен нормативний акт по-своєму підходить до вимог до шифрування, покарань та методів забезпечення його виконання. У таблиці нижче висвітлено ключові деталі цих законів, що забезпечує корисну основу для стратегій дотримання вимог, розглянутих у наступних розділах.
| Право | Юрисдикція | Вимоги до шифрування | Охоплені стани даних | Максимальні штрафи | Основні галузі промисловості |
|---|---|---|---|---|---|
| GDPR | Європейський Союз | «Відповідні технічні заходи», включаючи шифрування | У спокої, в дорозі | 20 мільйонів євро або 41 TP3 т світового обороту | Усі сектори |
| CPRA | Каліфорнія, США | "Розумні процедури безпеки" | У спокої, в дорозі | $7 500 за навмисне порушення | Усі сектори |
| LGPD | Бразилія | «Технічні засоби захисту», включаючи шифрування | У спокої, в дорозі | 2% доходу, максимум ~$9,3 млн | Усі сектори |
| ПІПЕДА | Канада | «Належні запобіжні заходи» | У спокої, в дорозі | N/A | Усі сектори |
| ДПДПА | Індія | "Розумні заходи безпеки" | У спокої, в дорозі | N/A | Усі сектори |
| ПІПЛ | Китай | «Технічні заходи», включаючи шифрування | У спокої, в дорозі | N/A | Усі сектори |
| ДОРА | ЄС (фінансовий) | Обов'язкове шифрування | У спокої, в дорозі | N/A | Тільки фінансові послуги |
Ключові відмінності в підході
Вимоги до шифрування різняться за тим, наскільки чітко вони визначені. Наприклад, GDPR вимагає «відповідних технічних заходів», що забезпечує гнучкість у впровадженні. З іншого боку, DORA чітко вимагає шифрування, особливо для фінансових послуг. Ця різниця відображає різні рівні специфічності, що надаються різними нормативними актами.
Європейське банківське управління пропонує детальні рекомендації щодо дотримання вимог, зазначаючи:
«Постачальники платних послуг повинні забезпечити, щоб під час обміну конфіденційними даними через Інтернет між сторонами зв’язку протягом відповідного сеансу зв’язку застосовувалося безпечне наскрізне шифрування, щоб захистити конфіденційність та цілісність даних, використовуючи надійні та широко визнані методи шифрування».
Структури штрафів
Фінансові наслідки недотримання вимог суттєво відрізняються. GDPR передбачає одні з найвищих штрафів, розмір яких сягає 20 мільйонів євро або 4% світового обороту. Тим часом CPRA використовує модель штрафів за кожне порушення, що може призвести до збільшення штрафів за повторні порушення. Для інших нормативних актів деталі штрафів визначені менш чітко, що підкреслює необхідність розуміння місцевої практики правозастосування.
Географічний та галузевий охоплення
Хоча більшість правил застосовуються до всіх галузей у межах їхніх юрисдикцій, DORA є винятком, зосереджуючись виключно на фінансових послугах. Такий цілеспрямований підхід відображає критичну важливість безпеки даних у фінансових операціях. Цікаво, що дослідження Sectigo виявило, що 25% європейських банків досі не мають розширеної перевірки. SSL сертифікати, що висвітлює поточні проблеми у дотриманні стандартів безпеки.
Варіанти правозастосування
Філософії правозастосування також відрізняються. Деякі закони дозволяють гнучко адаптуватися до технологій, що розвиваються, тоді як інші, як-от DORA, містять суворі правила, такі як вимога безпечного наскрізного шифрування для обміну даними в Інтернеті. Ці відмінності підкреслюють важливість адаптації стратегій шифрування до конкретних регуляторних вимог.
Для компаній, що працюють у кількох юрисдикціях, розуміння цих нюансів є надзвичайно важливим. Незалежно від того, чи використовуються виділені сервери, VPS чи послуги колокейшн-розміщення від таких постачальників, як Serverion, узгодження практик шифрування з місцевим законодавством є критично важливим кроком до дотримання вимог.
Як підприємства можуть відповідати вимогам до відповідності
Щоб дотримуватися вимог щодо шифрування, підприємствам потрібно більше, ніж просто передові інструменти безпеки – їм потрібна структурована система відповідності. Це включає постійний моніторинг, регулярні аудити, ретельну документацію та послідовне застосування політик. Ось як організації можуть ефективно відповідати цим вимогам.
Встановлення регулярної аудиторської практики
Аудити є основою будь-якої стратегії дотримання вимог. Як внутрішні, так і зовнішні аудити відіграють життєво важливу роль. Внутрішні аудити використовують глибокі знання організації для виявлення потенційних прогалин, тоді як зовнішні аудити пропонують свіжий, неупереджений погляд, який може виявити непомічені вразливості. Разом ці аудити гарантують, що заходи безпеки не лише впроваджені, але й залишаються ефективними з часом.
Створення надійних систем документації
Чітка та детальна документація має вирішальне значення для дотримання нормативних вимог. Як зазначає Пітер Шавакер, бізнес-інноватор і стратег у сфері кіберстафінгу та рекрутингу, а також колишній директор з інформаційної безпеки:
«Політика — це чітке твердження про наміри керівництва. Це Полярна зірка організації. Без неї досягти узгодженості важко або неможливо. А підзвітність стає дуже складним питанням, якщо взагалі можна притягнути людей до відповідальності».
Організаціям необхідно документувати управління ключами шифрування, протоколи обробки даних та плани реагування на інциденти. Наприклад, належним чином дотримані плани реагування на інциденти можуть значно скоротити час простою та пом'якшити наслідки порушень. Це особливо важливо, оскільки, за прогнозами, до 2025 року світові витрати на кіберзлочинність сягнуть 140,5 трильйонів рупій щорічно.
Послідовне забезпечення дотримання політик
Послідовність у забезпеченні дотримання політик є ключовим фактором для уникнення прогалин у дотриманні вимог. Залучення співробітників різних відділів до розробки політики гарантує, що рекомендації є практичними та актуальними. Регулярні оновлення цих політик допомагають організаціям бути в курсі змін у загрозах та нормативних актах, що робить дотримання вимог безперервним процесом, а не одноразовим зусиллям.
Вибір правильної інфраструктури
Правильна інфраструктура може зробити дотримання вимог більш керованим. Хостинг-провайдери з вбудованими функціями безпеки, такими як захист від DDoS-атак, SSL-сертифікати та безпечна робота центрів обробки даних, пропонують міцну основу. Наприклад, глобальна інфраструктура Serverion підтримує дотримання його надійних практик безпеки та варіантів зберігання даних, що полегшує підприємствам дотримання нормативних стандартів.
Навчання та впровадження безпеки в культуру
Регулярні навчальні програми гарантують, що співробітники розуміють свою роль у підтримці стандартів шифрування та дотримання вимог. Сприяючи розвитку культури, де безпека є спільною відповідальністю, організації можуть створити середовище, де дотримання вимог стає другою натурою.
Постійний моніторинг та вдосконалення
Постійний моніторинг є важливим, оскільки розвиваються як системи, так і кіберзагрози. Це включає перегляд засобів контролю доступу, керування ротацією ключів шифрування та поновлення сертифікатів безпеки. Автоматизовані інструменти можуть виявляти потенційні проблеми відповідності в режимі реального часу, що дозволяє командам швидко вживати коригувальних заходів та постійно зміцнювати свою безпеку.
Висновок
Орієнтування у світових законах про шифрування даних — це не просто позначка юридичних пунктів, це важливий крок у захисті вашого бізнесу від масштабних фінансових втрат та репутаційної шкоди. Цифри говорять самі за себе: компанії можуть втратити до 25% їхньої частки ринку після кібератаки, а витрати на недотримання вимог є приголомшливими у 2,71 рази вище ніж витрати, необхідні для забезпечення відповідності вимогам. Якщо це не підкреслює терміновість, то ніщо не підкреслить.
Регулятори подвоюють заходи щодо забезпечення дотримання законодавства, а наслідки за його недотримання суворіші, ніж будь-коли. Нещодавні випадки підкреслюють високу ціну нехтування. Візьмемо, наприклад, Solara Medical Supplies – після розкриття конфіденційних даних про здоров'я понад 114 000 осіб вони зіткнулися з... Штраф у розмірі $3 мільйонів у січні 2025 року. Цей випадок є відрезвляючим нагадуванням про те, що ігнорування вимог не заощаджує гроші; у довгостроковій перспективі це коштує набагато дорожче.
Адвокат Джоан Врабец чудово це висловила: конфіденційність перестала бути просто юридичною вимогою та стала центральна бізнес-стратегія, а шифрування тепер слугує ключовою відмінною рисою для лідерів ринку.
Щоб пом’якшити ці ризики, підприємствам потрібно діяти зараз, інвестуючи в безпечну інфраструктуру. Це означає партнерство з хостинг-провайдерами які забезпечують вбудовані функції безпеки, такі як Захист від DDoS, SSL сертифікати, та безпечні центри обробки даних з глобальним покриттям. Наприклад, Serverion пропонує надійні заходи безпеки та гнучкі варіанти зберігання даних, допомагаючи компаніям задовольняти складні нормативні вимоги без шкоди для операційної ефективності.
Оскільки уряди запроваджують суворіші правила захисту даних, організації, які надають пріоритет шифруванню та безпечним рішенням для зберігання даних, позиціонуватимуть себе як лідери в сучасній цифровій економіці.
поширені запитання
Чим відрізняються вимоги до шифрування даних GDPR та CPRA?
The Загальний регламент про захист даних (GDPR) і Закон Каліфорнії про права на конфіденційність (CPRA) застосовують різні підходи, коли йдеться про шифрування даних та їх загальну спрямованість. GDPR встановлює суворіші вимоги, зобов'язуючи організації впроваджувати технічні та організаційні заходи, як-от шифрування, для захисту персональних даних та запобігання порушенням. Його сфера застосування широка, охоплює всі персональні дані резидентів ЄС, і він наголошує на проактивній позиції щодо безпеки даних.
На противагу цьому, CPRA більше схиляється до права споживачів та прозорість для жителів Каліфорнії. Хоча це заохочує шифрування як належну практику, це не робить його суворою вимогою. Натомість, CPRA значною мірою зосереджується на повідомленні про порушення та управлінні ризиками після інциденту, а не на забезпеченні суворих превентивних заходів. Ці відмінності підкреслюють основні пріоритети кожного регламенту – GDPR спрямований на надійний захист даних, тоді як CPRA надає пріоритет контролю та відповідальності споживачів після порушень.
Які кроки повинні вжити підприємства, щоб забезпечити відповідність своїх методів шифрування міжнародним законам про захист даних?
Щоб дотримуватися міжнародних законів про захист даних, підприємствам необхідно впроваджувати надійні стандарти шифруванняДля симетричного шифрування AES-256 є надійним вибором, тоді як RSA з ключами довжиною 2048 біт або більше добре працює для асиметричного шифрування. Не менш важливим є управління ключами шифрування, що включає безпечне створення, зберігання, розповсюдження та скасування ключів для запобігання несанкціонованому доступу.
Також важливо бути в курсі конкретних правових норм, таких як GDPR, який підкреслює безпечну обробку даних і визнає шифрування життєво важливим технічним засобом захисту. Регулярний перегляд та оновлення протоколів шифрування відповідно до поточні галузеві практики забезпечує відповідність бізнесу вимогам у різних регіонах. Зосередження уваги на безпеці та гнучкості є ключовим для того, щоб не відставати від постійно мінливого ландшафту правил захисту даних.
Які ризики існують для підприємств, які не дотримуються законів про шифрування даних, таких як DORA та PIPL?
Недотримання законів про шифрування даних, таких як ДОРА і ПІПЛ може призвести до серйозних наслідків для бізнесу. Наприклад, згідно з DORA, компанії можуть зіткнутися зі штрафами, що сягають 2% їхнього світового річного обороту. Аналогічно, порушення PIPL можуть призвести до штрафів у розмірі до 50 мільйонів єн (близько $7,2 мільйона) або 5% річного доходу.
Але наслідки не обмежуються фінансовими штрафами. Компанії також можуть зіткнутися з судові позови, призупинення дії ліцензій та збої в роботі, що може підірвати фінансове здоров’я та заплямувати їхню репутацію. Дотримання вимог — це не лише уникнення цих ризиків, це також спосіб зміцнити довіру з клієнтами та партнерами, демонструючи тверду відданість захисту даних.
