Недавно губернатор Колорадо подписал законопроект HB18-1128, озаглавленный «Защита конфиденциальности потребительских данных».
Он потребует от организаций уведомлять клиентов и государственные органы об утечках данных в течение 30 дней с момента возникновения таких инцидентов.
Ниже под катом наш краткий обзор этого законопроекта с учетом общей ситуации вокруг введения GDPR. 
/Фликр/ Чад Купер / CC BY
Что они требуют?
30 дней — это самый короткий срок уведомления в любом штате.Это касается всех компаний без исключения, но с одной поправкой.
Компании не могут сообщать об утечках, если это необходимо в интересах расследования [стр.
9, пункт (c) в текст счет].
В этом случае правоохранительные органы должны заранее предупредить компанию.
Как только ограничения по их требованию будут сняты, 30-дневный период уведомления возобновляется.
Кроме того, закон обязывает компании предоставлять пострадавшим жителям Колорадо информацию о дате утечки и о том, какие данные были скомпрометированы, а также контакты представителей компании для уточнения всей информации об инциденте.
Все это необходимо предоставить владельцам ПД следующим образом (в зависимости от имеющихся данных):
- отправить уведомление по почте;
- сообщить по телефону;
- отправить электронное письмо.
(или количество пострадавших превышает 250 тыс.
человек, либо компания не располагает необходимой информацией для использования таких способов связи с клиентами, уведомить владельцев ПДн можно с помощью :
- сообщения на странице сайта компании (если таковой имеется);
- региональные СМИ, вещающие на всю территорию штата.
Ситуация
Ужесточение правил работы с персональными данными связано с рядом громких дел.Например, с делом Эквифакс .
Согласно новому законопроекту, это подпадает под массовую утечку и требует публичного оповещения пострадавших через СМИ.
Напомним, что в случае с Equifax общественность узнала об утечке только через полтора месяца после инцидента.
Более того, в организации признали, что о проблемах с информационной безопасностью было известно еще в марте того же года, но «закрыть» уязвимость им не удалось (и промолчали об этом).
Более свежий случай — взлом сервиса мероприятий Ticketfly. продал Eventbrite за 200 миллионов долларов в 2017 году.
Трой Хант, создатель Have I Been Pwned, посчитал что жертвами утечки стали 26 миллионов пользователей сайта.
В переписке с Motherboard предполагаемый киберпреступник заявил , что он предупредил Ticketfly об уязвимостях и попросил 1 биткоин за дополнительную информацию, но компания не проявила интереса.
В результате сервис был недоступен несколько дней, и только через неделю после инцидента компания опубликовано сообщение с информацией об утечке, возобновлении работы сервиса.
/Фликр/ Корона Лакасс / CC BY
Чтобы предотвратить подобные случаи, сенаторы начали «пропагандировать» счет , который устанавливает штрафы для компаний, допустивших утечку персональных данных.
Например, штраф для Equifax составит 1,5 миллиарда долларов.
Законопроект о штрафах пока не утвержден, но можно предположить, что новые сроки уведомлений являются шагом к его активному рассмотрению.
Где еще
Колорадо — не первый штат, который обновил свои требования к обработчикам данных.Например, в 2017 году Мэриленд ввел 45-дневный срок для уведомления владельцев ПД.
Этот - средний в США период уведомления.
С другой стороны, в Луизиане это 60 дней ( текст законопроекта , стр.
3, пункт Е).
Здесь законопроект расширяет само понятие ПД (персонально идентифицирующие сведения).
Например, теперь в него будут входить биометрические данные и номер паспорта (стр.
2).
Если говорить о понятии оператора персональных данных, то уже в Вермонте предлагалось распространить его на те компании, которые обрабатывают персональные данные без ведома их владельцев.
Счет должен присоединиться вступит в силу с 1 января 2019 года и обяжет такие компании ежегодно отчитываться: предоставлять общие сведения о себе, раскрывать способы получения ПДн и информацию о произошедших утечках и их масштабах.
Кстати, европейские требования к уведомлению устанавливают более строгие рамки - 72 часа с момента обнаружения утечки.
В статья 33 В официальном документе указано, что уведомление надзорных органов должно содержать:
- описание характера утечки с указанием примерного количества владельцев ПД;
- описание возможных последствий и мер, принимаемых для их смягчения;
- а также контактную информацию компании, вызвавшей утечку.
То, что они говорят
К слова Один из составителей законопроекта о Колорадо, штат выбрал оптимальный срок, соответствующий потенциальным рискам и здравому смыслу.Однако этот законопроект вызвал возмущение среди компаний, которые были ориентированы на HIPAA (Закон о переносимости и подотчетности медицинского страхования) при работе, например, с медицинским номером.
страхование.
Им придется сократить период уведомления с 60 дней (как того требует HIPAA) до 30 дней.
Представители юридических компаний примечание что тридцатидневный период уведомления о нарушениях — это требование, к которому организации еще не привыкли.
Однако мало кто сомневается, что со временем требования к операторам ПД будут только ужесточаться.
Многие государства могли бы перенять европейский подход и сократить сроки до десятков часов.
О чем еще мы пишем в корпоративном блоге 1cloud:
- Материалы для знакомства с IaaS, мероприятия из сферы информационной безопасности и регулирования ИТ
- Как обеспечить безопасность данных в облаке
- Все, что вам нужно знать о принципах сетевого нейтралитета
- Meltdown и Spectre: новогодняя уязвимость процессора
- Что такое SSL-сертификат и зачем его покупать
Дзен:
- Почему не нужно нанимать дополнительных сотрудников для работы с облаком
- «Зеленые замки»: зачем нужны SSL-сертификаты
- Что IaaS-провайдер может предложить франчайзи 1С
-
Изучение Фактов Хостинга Linux
19 Oct, 24 -
Vds Сервер В Амстердаме За 150 Руб/Мес.
19 Oct, 24 -
Учет Личных Финансов
19 Oct, 24 -
Осторожно, Комиссия!
19 Oct, 24
