Em 28 de junho de 2018, Jerry Brown, governador da Califórnia, assinou o Projeto de Lei 375 da Assembleia Legislativa, denominado California Consumer Privacy Act (CCPA)1. A CCPA concede aos mais de 40 milhões de pessoas do estado diversos direitos comparáveis aos direitos concedidos aos cidadãos europeus com o Regulamento Geral de Proteção de Dados (GDPR). As duas legislações não são tão semelhantes, mas compartilham algumas características gerais, o GDPR é uma lei coletiva, enquanto a CCPA é mais limitada.
Desde que o projeto CCPA se tornou lei, houve duas grandes atualizações. A primeira atualização ocorreu em 24 de agosto de 2018, com o Projeto de Lei do Senado 1121 2, que introduziu 45 emendas, em sua maioria de natureza não-substantiva (a maioria abordou erros técnicos), e a segunda ocorreu em 25 de fevereiro, quando o Procurador-Geral da Califórnia introduziu o Projeto de Lei do Senado 56133 para esclarecer e fortalecer ainda mais a lei.
A maior parte da lei está especificamente relacionada com a proteção da privacidade do consumidor. Para entender melhor, leia How to Prepare for the California Consumer Privacy Act.
Parte da CCPA trata especificamente da segurança de dados, e a Thales fornece muitas das soluções que você precisará para cumprir com esta parte da lei.
1 https://www.caprivacy.org/about
2 https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180SB1121
3 https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201920200SB561
1798.150. (a) (1) Qualquer consumidor cujas informações pessoais não criptografadas ou não pré-determinadas, conforme definido no subparágrafo (A) do parágrafo (1) da subdivisão (d) da Seção 1798.81.5, está sujeito ao acesso não autorizado e à exfiltração, roubo ou divulgação como resultado da violação do dever de implementar e manter procedimentos e práticas de segurança razoáveis apropriados à natureza das informações para proteger as informações pessoais, e por isso pode instaurar uma ação civil...4
4 https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201720180SB1121
Além de criptografia e redação, a CCPA ainda não esclarece especificamente o que as empresas sujeitas à CCPA devem fazer para proteger os dados do consumidor contra roubo. Entretanto, o mesmo acontece com a maioria das leis como a CCPA. Em vez disso, essas leis confiam nas "melhores práticas" para acompanhar as constantes mudanças do ambiente de segurança digital. A Thales é líder em segurança digital e, tendo ajudado centenas de empresas a cumprir normas regulatórias em todo o mundo, recomendamos as principais tecnologias de proteção de dados exigidas em praticamente todas as leis.
Isso inclui:
A solução Vormetric Data Security Manager da Thales permite à empresa limitar os privilégios de acesso de usuários aos sistemas de informação que contêm informações sensíveis.
O SafeNet Trusted Access é um serviço de gerenciamento de acesso baseado na nuvem que combina a conveniência do login único na nuvem com segurança de acesso granular. Ao validar identidades, impor políticas de acesso e aplicar logon único inteligente, as empresas podem garantir acesso seguro e conveniente a vários aplicativos baseados na nuvem a partir de um console fácil de ser usado.
Adicionar a solução SafeNet certificate-based authentication (CBA) da Thales como parte integrante da infraestrutura de TI, melhora significativamente a segurança de login do cliente ao exigir autenticação multifator. A adição de múltiplos fatores garante o login seguro nas estações de trabalho e redes corporativas, elimina senhas complexas e caras e reduz significativamente as chamadas ao help desk. O cartão inteligente permite uma identificação visual fácil e confiável do titular do cartão e uma forte comunicação da identidade corporativa. Além disso, a solução baseada em certificados é totalmente integrada em um ambiente Windows quando se utilizam aplicativos da Microsoft.
Com as soluções SafeNet Authentication e Access Management, você pode utilizar uma infraestrutura de autenticação unificada tanto para serviços locais quanto para serviços baseados em nuvem - proporcionando uma forma centralizada e abrangente de gerenciar todas as políticas de acesso. Os usuários podem entrar em serviços corporativos em nuvem como Office 365, Salesforce.com ou GoogleApps através de seus mecanismos de autenticação SafeNet existentes.
A solução Vormetric Transparent Encryption da Thales protege dados com criptografia de dados em repouso de arquivos e volumes, controles de acesso e registro de auditoria de acesso aos dados sem modificar programas, bancos de dados ou infraestrutura. A instalação do software de criptografia transparente de arquivos é simples, dimensionável e rápida, com agentes instalados acima do sistema de arquivos em servidores ou máquinas virtuais para impor segurança de dados e políticas de conformidade. O gerenciamento de políticas e chaves de criptografia é realizado pelo Vormetric Data Security Manager.
A Vormetric Vaultless Tokenization com mascaramento dinâmico de dados reduz drasticamente o custo e o esforço necessários para cumprir as políticas de segurança e leis como a CCPA. A solução oferece recursos de tokenização de banco de dados e segurança de exibição dinâmica. As empresas podem abordar com eficiência seus objetivos de segurança e pseudonímia de ativos sensíveis - quer residam em centro de dados, big data, container ou nuvem.
A Vormetric Application Encryption oferece serviços de gerenciamento de chaves, assinatura e criptografia que permitem a proteção abrangente de arquivos, banco de dados, seleções de big data ou dados em ambientes de plataforma como serviço (PaaS). A solução tem certificação FIPS 140-2 de nível 1 baseada no padrão PKCS#11 e totalmente documentada com diversas extensões práticas baseadas em casos de uso da norma. A Vormetric Application Encryption elimina o tempo, a complexidade e o risco de desenvolver e implementar uma solução interna de criptografia e gerenciamento de chaves, com opções de desenvolvimento incluindo um kit de desenvolvimento de software abrangente e tradicional para diversos idiomas e sistemas operacionais, bem como uma coleção de APIs RESTful para o mais amplo suporte de plataforma.
Os SafeNet High-Speed Encryptors são uma poderosa proteção para dados em movimento que oferecem recursos de criptografia de dados em movimento de alta segurança e certificados que atendem às demandas de desempenho de rede segura para baixa latência em tempo real e sobrecarga quase zero para fornecer segurança sem comprometer os dados em movimento através da rede.
A Vormetric Enterprise Key Management da Thales unifica e centraliza o gerenciamento local de chaves de criptografia e fornece gerenciamento seguro de chaves para soluções de armazenamento de dados. Os produtos de gerenciamento de chaves em nuvem incluem o CipherTrust Cloud Key Manager para visibilidade e gerenciamento centralizado do ciclo de vida de chaves em nuvem múltipla com FIPS-140-2, e tecnologia Bring Your Own Key em nuvem.
Os registros de inteligência de segurança da plataforma Vormetric permite que sua empresa identifique tentativas de acesso não autorizado e crie padrões de comportamento de acesso de usuários autorizados. A Vormetric Security Intelligence se integra aos principais sistemas de gerenciamento de informações de segurança e eventos (SIEM) que tornam estas informações acionáveis. A solução permite escalabilidade e resposta automáticas e imediatas a tentativas de acesso não autorizado. O produto também fornece todos os dados necessários para especificar os padrões de comportamento necessários para identificar o uso suspeito de usuários autorizados, bem como para treinamento.
Os módulos de segurança de hardware da Thales fornecem o mais alto nível de segurança de criptografia, pois sempre armazenam chaves criptográficas em hardware. Os HSMs Thales fornecem uma base criptográfica segura, porque as chaves nunca deixam o dispositivo resistente à intrusão, inviolável e com validação FIPS. Controles de acesso poderosos impedem que usuários não autorizados acessem material criptográfico confidencial, uma vez que todas as operações criptográficas ocorrem dentro do HSM. Além disso, a Thales implementa operações que facilitam ao máximo a implantação de HSMs seguros, e nossos HSMs são integrados com o SafeNet Crypto Command Center para compartilhamento de recursos criptográficos, relatórios e monitoramento rápidos e fáceis.
A premiada solução Data Protection on Demand da Thales é uma plataforma baseada em nuvem que oferece diversos HSM e serviços de gerenciamento de chaves em nuvem em um simples local de compra online. Incluindo HSM on Demand e Key Management on Demand.
Talvez o padrão de privacidade de dados mais abrangente até o momento, o GDPR afeta qualquer organização que processa dados pessoais de cidadãos da UE - independentemente de onde a organização está sediada.
Qualquer organização que desempenhe uma função no processamento de pagamentos com cartão de crédito e débito deve cumprir os rígidos requisitos de conformidade do PCI DSS para o processamento, armazenamento e transmissão de dados da conta.
Os requisitos de notificação de violação de dados após a perda de informações pessoais foram promulgados por países em todo o mundo. Eles variam de acordo com a jurisdição, mas quase universalmente incluem uma cláusula de “porto seguro”.