¿Estás listo para el cumplimiento de CCPA?
El 28 de junio de 2018, el gobernador de California, Jerry Brown, promulgó el Proyecto de Ley de la Asamblea No. 375, luego la Ley de Privacidad del Consumidor de California (CCPA).1. La Ley CCPA otorga a los más de 40 millones de personas del estado una gama de derechos comparables a los derechos otorgados a los ciudadanos europeos con el Reglamento General de Protección de Datos (GDPR) (las dos legislaciones no son tan similares, pero comparten algunas características generales, GDPR es una ley general, mientras que la CCPA es más limitada).
Desde que CCPA se convirtió en ley, ha tenido dos actualizaciones importantes. La primera actualización se produjo el 24 de agosto de 2018, con el Proyecto de Ley del Senado 11212, que introdujo 45 enmiendas, en su mayoría de naturaleza no sustantiva (en su mayoría errores técnicos abordados), y la segunda ocurrió el 25 de febrero, cuando el Fiscal General de California presentó el Proyecto de ley del Senado 5613 para aclarar y fortalecer aún más la ley.
La mayor parte del proyecto de ley tiene que ver específicamente con la protección de la privacidad del consumidor. Para una revisión más completa, lea Cómo prepararse para la Ley de Privacidad del Consumidor de California.
Parte de la CCPA aborda la seguridad de los datos específicamente y Thales proporciona muchas de las soluciones que necesitará para cumplir con esta parte de la ley.
1 https://www.caprivacy.org/about
2 https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180SB1121
3 https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201920200SB561
- Regulación
- Cumplimiento
El siguiente texto es un extracto directo de la CCPA:
1798.150. (a) (1) Cualquier consumidor cuya información personal no cifrada o no redactada, según se define en el subpárrafo (A) del párrafo (1) de la subdivisión (d) de la Sección 1798.81.5, esté sujeta a un acceso no autorizado y exfiltración, robo o divulgación como resultado del incumplimiento de la empresa de implementar y mantener procedimientos y prácticas de seguridad razonables y apropiados a la naturaleza de la información para proteger la información personal puede iniciar una acción civil….4
4 https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180SB1121
Resumen del cumplimiento CCPA
Más allá del cifrado y la redacción, la CCPA en este momento no prescribe específicamente qué deben hacer las organizaciones sujetas a la CCPA para proteger los datos de los consumidores contra el robo. Sin embargo, esto es cierto para la mayoría de las regulaciones como la CCPA. En cambio, estas confían en las "mejores prácticas" para mantenerse al día con el entorno de seguridad digital en constante cambio. Thales es líder en seguridad digital y después de haber ayudado a cientos de empresas a cumplir con los regímenes regulatorios en todo el mundo, recomendamos las tecnologías clave de protección de datos requeridas en prácticamente todos los conjuntos de regulaciones.
Entre las cuales se incluyen:
- Controles de acceso a datos
- Cifrado y tokenización (seudonimización) de datos en reposo
- Cifrado de datos en movimiento
- Administración de claves de cifrado
- Mantener y monitorear los registros de acceso de los usuarios
- El uso de módulos de seguridad de hardware para ejecutar procesos de cifrado y proteger las claves de cifrado.
Controles de acceso a datos
Vormetric Data Security Manager de Thales le permite a la organización limitar los privilegios de acceso de los usuarios a sistemas de información que contienen información confidencial.
SafeNet Trusted Access es un servicio de administración de accesos basado en la nube que combina la comodidad de la autentificación única (SSO) en la nube con la seguridad de acceso granular. Al validar identidades, hacer cumplir políticas de acceso y aplicar el inicio de sesión único inteligente, las organizaciones pueden asegurar un acceso cómodo y seguro a numerosas aplicaciones en la web y en la nube desde una consola fácil de navegar.
La incorporación de la solución de tarjeta inteligente de autenticación basada en certificados (CBA) SafeNet de Thales como parte integral de la infraestructura de TI mejora significativamente la seguridad de inicio de sesión del cliente al requerir autenticación de múltiples factores. Agregar múltiples factores garantiza un inicio de sesión seguro en estaciones de trabajo y redes empresariales, elimina contraseñas complejas y costosas y reduce significativamente las llamadas al servicio de asistencia técnica. Además, la tarjeta inteligente permite una identificación visual fácil y confiable del titular de la tarjeta, además de una sólida comunicación en torno a la identidad corporativa. Por otra parte, la solución basada en certificados está completamente integrada en un entorno Windows cuando se utilizan aplicaciones de Microsoft.
Con las soluciones de gestión de identidades y accesos SafeNet, puede aprovechar una infraestructura de autentificación unificada tanto para los servicios locales como para los basados en la nube, lo que permite un modo centralizado e integral de gestionar todas las políticas de acceso. Los usuarios pueden iniciar sesión en servicios empresariales en la nube como Office 365, Salesforce.com o GoogleApps a través de sus mecanismos de autenticación SafeNet existentes.
Cifrado y tokenización
La solución Vormetric Transparent Encryption de Thales protege los datos con cifrado de archivo y datos en reposo a nivel de volumen, controles de acceso y registro de auditorías de acceso sin volver a diseñar aplicaciones, bases de datos ni infraestructura. El empleo del software de cifrado de datos transparente es simple, rápido y escalable, con agentes instalados sobre el sistema de archivos en servidores o máquinas virtuales para aplicar las políticas de cumplimiento y seguridad de datos. La administración de las políticas y cifrado de claves se da por medio del Vormetric Data Security Manager.
Vormetric Vaultless Tokenization con enmascaramiento de datos dinámico reduce de forma dramática el costo y esfuerzo necesario para cumplir con las políticas de seguridad y obligaciones reglamentarias como CCPA. La solución ofrece capacidades para la tokenización de bases de datos y seguridad para una visualización dinámica. Las compañías pueden atender de forma eficiente sus objetivos para la protección y la seudonimización de los recursos confidenciales, ya sea que residan en un entorno de centro de datos, Big Data, contenedor o nube.
Vormetric Application Encryption ofrece servicios de administración de claves, firma y cifrado que permiten una protección integral de archivos, campos de bases de datos, selecciones de Big Data, o en entornos de datos en plataformas como servicio (PaaS, por sus siglas en inglés). La solución cuenta con la certificación FIPS 140-2 nivel 1 basada en el estándar PKCS#11 y completamente documentada con una variedad de extensiones prácticas basadas en casos de uso estándar. Vormetric Application Encryption elimina el tiempo, la complejidad y el riesgo de desarrollar e implementar una solución de cifrado y administración de claves, con opciones de desarrollo que incluyen un paquete integral y tradicional de desarrollo de software para una amplia gama de lenguajes y sistemas operativos, así como una colección de APIs RESTful para el más amplio soporte de plataforma.
Cifrado de datos en movimiento
Una potente protección para los datos en movimiento, los cifradores de alta velocidad SafeNet High-Speed Encryptors ofrecen capacidades de cifrado de datos en movimiento certificadas de alta garantía que satisfacen las demandas de rendimiento de red segura para una latencia baja en tiempo real y una sobrecarga casi nula para brindar seguridad sin comprometer los datos en movimiento a través de la red.
Administración de claves de cifrado
Vormetric Integrated Key Management de Thales unifica y centraliza la administración de claves de cifrado en las instalaciones, además de facilitar una administración segura de claves para soluciones de almacenamiento de datos. Los productos de administración de claves en la nube incluyen CipherTrust Cloud Key Manager para visibilidad y administración del ciclo de vida centralizado en nubes múltiples con almacenamiento de claves seguro con FIPS-140-2 y traiga su propia clave en la nube.
Registros de acceso de usuario
La plataforma de Vormetric de Registros de inteligencia de seguridad permite que su organización identifique intentos de acceso no autorizado y el desarrollo de criterios básicos de patrones de acceso para usuarios autorizados. La inteligencia de seguridad de Vormetric se integra con los más importantes sistemas de información de seguridad y gestión de eventos que hacen que sea posible procesar esta información. La solución permite una escalada y una respuesta automáticas inmediatas a los intentos de acceso no autorizados. También proporciona todos los datos necesarios para especificar los patrones de comportamiento necesarios para identificar el uso sospechoso por parte de los usuarios autorizados, así como para capacitaciones.
Módulos de seguridad de hardware
Los Módulos de seguridad de hardware de Thales proporcionan el nivel más alto de seguridad de cifrado almacenando siempre las claves criptográficas en el hardware. Los HSMs de Thales proporcionan una base de cifrado segura, porque las claves nunca abandonan el dispositivo validado por FIPS a prueba de intrusiones y manipulaciones indebidas. Los estrictos controles de acceso evitan que usuarios no autorizados accedan a material criptográfico confidencial, ya que todas las operaciones criptográficas ocurren dentro del HSM. Adicionalmente, Thales implementa operaciones que hacen que la implementación de HSMs seguros sea lo más fácil posible y nuestros HSMs están integrados con SafeNet Crypto Command Center para una partición, informes y monitoreo de recursos criptográficos rápidos y fáciles.
La solución premiada Data Protection on Demand de Thales es una plataforma basada en la nube que ofrece una amplia gama de servicios de HSMs basados en la nube y administración de claves por medio de un mercado en línea simple. Entre las soluciones se incluyen HSMs on Demand y Key Management on Demand.
Otras normativas clave de protección de datos y seguridad
RGPD
REGLAMENTO
ACTIVA AHORA
El RGPD es tal vez la norma de privacidad de datos más completa hasta la fecha. Afecta a cualquier organización que procese los datos personales de los ciudadanos de la UE, independientemente de la ubicación de la sede de la organización.
PCI DSS
MANDATO
ACTIVA AHORA
Cualquier organización que desempeñe un papel en el procesamiento de pagos con tarjetas de crédito y débito debe cumplir con los estrictos requisitos de cumplimiento de PCI DSS para el procesamiento, el almacenamiento y la transmisión de datos de cuentas.
Leyes de notificación de brechas de datos
REGLAMENTO
ACTIVA AHORA
Los países de todo el mundo han promulgado requisitos de notificación de brechas de datos tras la pérdida de información personal. Varían según la jurisdicción, pero casi siempre incluyen una cláusula de "safe harbour".
Póngase en contacto con un especialista en cumplimiento normativo
¿Está usted preparado para el RGPD?
