До вступления в силу Закона о защите прав потребителей в Калифорнии всего несколько месяцев. Регламент предоставляет права на неприкосновенность частной жизни жителям Калифорнии и дает им контроль над их личной информацией и тем, как компании могут ее использовать.
Любой бизнес, который продает жителю Калифорнии, должен соответствовать требованиям CCPA. Например, если в магазине в штате Массачусетс есть сайт электронной коммерции, и он продается кому-то, живущему в Калифорнии, то и этот розничный продавец, и его онлайн-аналог должны соответствовать требованиям CCPA.
В настоящее время почти в каждом обычном магазине есть сайт электронной коммерции, и в целом количество онлайн-покупок растет. По данным Big Commerce, девяносто шесть процентов американцев совершили хотя бы одну онлайн-покупку.
U.S. По данным Statista, в прошлом году розничные продажи физических товаров через Интернет составили более 500 миллиардов долларов США, и, согласно прогнозам, в 2023 году эта цифра превысит 740 миллиардов долларов США.
Ритейлеры, которые соответствуют определенным пороговым значениям, должны осознавать, что CCPA для них значит, наступит 1 января 2020 года. Те, кто пренебрегает информацией, могут заплатить за это: 2500 долларов за каждое нарушение или 7500 долларов за каждое умышленное нарушение.
Содержание статьи
- 1 Обернуть голову вокруг CCPA
- 2 Потенциальное влияние CCPA на электронную коммерцию
- 3 Что должны делать розничные продавцы сейчас?
- 4 Защита конечных точек на уровне устройства + программное обеспечение безопасности на основе сетевого сервера
- 5 Цифровое управление рисками + меры по управлению, риску и соответствию
- 6 Шифрование в состоянии покоя + Шифрование в движении
- 7 Псевдонимизация + анонимизация
- 8 В заключении
Обернуть голову вокруг CCPA
CCPA была введена в конце июня 2018 года в целях предоставления прав на неприкосновенность частной жизни потребителям из Калифорнии. Постоянные жители штата имеют право знать, какая личная информация о них собирается и как она используется. Они могут запросить его удаление и в конечном итоге не дать компаниям собирать какие-либо дополнительные данные о них.
Хотя его часто сравнивают с Общим регламентом о защите данных — европейским законом о защите и конфиденциальности данных для своих граждан — законодательство CCPA имеет иные элементы по сравнению с европейским аналогом.
С CCPA больше внимания уделяется коммерческому использованию данных, в отличие от всех форм обработки данных; CCPA также функционирует по принципу «отказа», в то время как согласие GDPR требует от человека «согласия».
Потенциальное влияние CCPA на электронную коммерцию
Несмотря на то, что CCPA была разработана для всех типов бизнеса, ритейлеры сталкиваются со многими проблемами, когда речь заходит о регулировании. С начала 2018 года были взломаны как минимум 19 розничных и потребительских компаний — Poshmark в августе 2019 года; Macy's и, в отдельных случаях, Saks Fifth avenue и Lord & Taylor в апреле 2018 года, чтобы назвать несколько — и, вероятно, у них украли информацию.
Многие из этих нарушений были совершены сторонней платежной системой, которую хакеры использовали в своих интересах. Фактически, 80-90 процентов людей, которые заходят на сайт электронной торговли розничной торговли, являются хакерами, использующими украденные данные, согласно отчету Shape Security.
Независимо от того, кто берет на себя ответственность за нарушение, потребители остаются с неприятным вкусом во рту. Девятнадцать процентов потребителей, ответивших на опрос KPMG, заявили, что они прекратят делать покупки в магазине, имеющем нарушение кибербезопасности, даже если компания предпримет необходимые шаги для устранения проблемы.
CCPA затронет как крупные, так и малые предприятия, которые обрабатывают любые данные для жителей Калифорнии. Предприятия должны соблюдать CCPA, если они соответствуют следующим пороговым значениям:
- Годовой валовой доход в размере 25 миллионов долларов США — CCPA не указывает, что доход должен генерироваться только в Калифорнии;
- Коллекция личной информации от 50 000 или более жителей Калифорнии, домашних хозяйств или устройств ежегодно;
- Получение 50 или более процентов годового дохода от продажи личной информации жителей Калифорнии.
Если ваша компания не является крупным ритейлером, как Walmart, у вас, скорее всего, нет сложного ИТ-отдела. По большей части мелкие бутики розничной торговли, скорее всего, передают на аутсорсинг и работают со сторонними фирмами для решения множества задач, таких как маркетинг, реализация, доставка и т. Д., Или они работают в облаке. Наличие данных, казалось бы, «повсюду», дает плохим актерам идеальный способ войти и получить данные.
В настоящее время в нормативных актах отсутствует ясность в отношении методов защиты и концепции де-идентификации (когда информация больше не относится к отдельному потребителю или домашнему хозяйству).
«Более того, закон гласит, что« личная информация »исключает« общедоступную »информацию, которая законно доступна в федеральных записях, документах штата или местных органов власти. Тем не менее, как суды интерпретируют «личную» и «публичную» информацию, еще предстоит выяснить.
Если подумать, почти всю информацию, которую продавец может получить от покупателя, можно считать личной: история покупок потребителя, доход домохозяйства, почтовый адрес, IP-адрес и т. Д.
Еще одна нормативная мера, вызывающая удивление в сообществе безопасности, — это «обязанность» обязанных предприятий поддерживать «разумные процедуры и методы обеспечения безопасности», которые соразмерны чувствительности их данных.
Что именно это означает, можно проанализировать различными способами, поскольку «разумные процедуры и практики безопасности в глазах регулирующих органов» остаются открытыми для интерпретации.
Что должны делать розничные продавцы сейчас?
Прежде всего, розничные продавцы должны посвятить себя и назначить роль для кого-то, чтобы конкретно заниматься и контролировать соответствие CCPA (и безопасность в целом). Даже для более мелкого поставщика, привлечение индивидуума на место обеспечит плавный переход в начале нового года.
Самая большая угроза для розничных продавцов или сайтов электронной коммерции, вероятно, является нарушением безопасности. Возможность снизить этот риск путем принятия первоклассных мер безопасности данных является ключевым фактором. Использование средств защиты от вирусов, программ-шпионов или шифрования может помочь справиться с этим бременем безопасности данных.
Защита конечных точек на уровне устройства + программное обеспечение безопасности на основе сетевого сервера
Существует распространенное заблуждение, что, ограничивая доступ сотрудника к корпоративным приложениям в виртуальной частной сети, вы также избавили от необходимости устанавливать антивирусная защита на устройстве сотрудника.
Хотя VPN шифрует поток данных в режиме онлайн, включая личную идентифицируемую информацию, которая может быть доступна через корпоративные приложения, она не препятствует пользователю устройства случайно загружать вредоносное ПО.
В идеальном мире каждый сотрудник организации имел бы техническую грамотность для распознавания распространенных векторов атак, таких как фишинг-мошенничество, но это просто не реальность.
Антивирус и антишпионское ПО предлагают первую линию защиты от вредоносных киберугроз, которые могут привести к взлому данных. Их легко внедрить, они недорогие и обновляются автоматически, что требует минимального ручного обслуживания.
Цифровое управление рисками + меры по управлению, риску и соответствию
Посредством решений по цифровому управлению рисками и управлению рисками и соответствию организации могут оптимизировать свои программы обеспечения соответствия, объединяя свою деятельность по обеспечению соответствия в централизованную цифровую платформу или хранилище.
Многие организации уже приобрели решения DRM и GRC вопреки устоявшимся правилам соответствия, таким как Sarbanes-Oxley, GLBA и HIPAA, но с появлением более широких законов соответствия, таких как GDPR и CCPA, эти решения становятся все более популярными.
Хотя некоторые элементы решений DRM и GRC автоматизированы, многие из обязанностей по надзору и мониторингу остаются за человеком, что означает, что организации должны нанимать экспертов для выполнения этой работы или передавать ее сторонним партнерам.
DRM и GRC позволяют компаниям согласовывать задачи ИТ и бизнеса с соблюдением требований соответствия. Проще продемонстрировать соответствие любым видам правил безопасности данных, поскольку для аудиторов можно быстро получить журнал действий по обеспечению соответствия.
Шифрование в состоянии покоя + Шифрование в движении
Шифрование данных в движении стало нормой, поскольку сертификаты уровня защищенных сокетов и VPN являются почти необходимыми условиями для работы современного предприятия.
Хотя SSL и VPN шифруют данные в движении, эти меры не шифруют данные в состоянии покоя. Шифрование данных в состоянии покоя является более хитрым предложением, поскольку физические устройства, на которых хранятся конфиденциальные данные, по умолчанию не будут шифроваться.
Чтобы обеспечить шифрование в состоянии покоя для данных, хранящихся на физических устройствах, предприятиям необходимо внедрить программные решения для шифрования всего диска. Что касается конфиденциальных данных в состоянии покоя, которые хранятся в облаке, многие облачные службы хранения, такие как Google Cloud Platform и Amazon Web Services, по умолчанию предлагают службу шифрования в покое.
Недостатком этих служб является то, что шифрование (поставщик облачного хранилища) имеет доступ и возможность считывать ваши данные. Меры шифрования являются дешевыми и относительно простыми в реализации. В случае кражи зашифрованные данные необратимы и непригодны для злоумышленников.
Псевдонимизация + анонимизация
Чтобы полностью использовать аналитический потенциал своих данных и одновременно защитить PII, содержащуюся в нем, организации необходимо внедрить решение для деидентификации данных.
Анонимизация — это метод де-идентификации данных, который сохраняет нечувствительные данные в естественном состоянии, одновременно скремблируя все экземпляры PII. Поскольку PII уничтожается безвозвратно, анонимизация считается самой сильной формой де-идентификации.
Псевдонимизация — это метод деидентификации данных, который заменяет PII в наборе данных искусственными идентификаторами или псевдонимами, которые могут быть изменены только владельцем идентификационного ключа.
Поскольку псевдонимы обратимы, организации могут продолжать использовать свои PII в производственных средах, сохраняя их защищенными. Токенизация считается наиболее надежной формой псевдонимизации.
Де-идентификация данных является единственной мерой безопасности данных, которая позволяет организациям сохранять данные защищенными во всех состояниях их жизненного цикла, в том числе во время их обработки в различных производственных средах.
Решения для псевдонимизации, такие как токенизация, делают шаг вперед, сохраняя PII полностью защищенным, но работают в производственных средах (анонимность делает PII неработоспособным).
Наконец, токенизированные данные имеют более высокую производительность и могут обрабатываться базами данных и приложениями намного быстрее, чем зашифрованные данные.
В заключении
Розничная торговля является крупнейшим работодателем частного сектора, движущим в экономике США, согласно Национальной федерации розничной торговли.
Отраслевые онлайн-продажи составляют 10 процентов всех розничных продаж. В то время как калифорнийцы теперь имеют лучшие права на неприкосновенность частной жизни, 1 января, розничные продавцы (обычные и электронные коммерции) по всей стране должны будут внести изменения, чтобы соответствовать требованиям.
Выделение роли безопасности является одним из способов запуска процесса, а реализация определенных мер безопасности поможет человеку, который выполняет эту роль, добиться успеха. Будет интересно посмотреть, как закончится CCPA, но в онлайн-магазинах Wild West наверняка произойдут значительные изменения. 
