Qué datos se consideran personales y cómo proteger para evitar multas costosas y daño a la reputación.
La información personal de millones de gente se ha visto comprometida en gran medida brechas de datos publicitadas y empresas en el centro están pagando un alto precio tanto monetaria como reputacionalmente.
Con las violaciones de datos en las noticias y un mayor enfoque en la legislación de privacidad de datos, los consumidores son más conscientes de la importancia de la protección de datos. Confianza en los datos la seguridad se está convirtiendo en un factor importante en las decisiones de compra de muchos consumidores. Poniendo procesos, tecnología y gobierno de datos en el lugar reduce el riesgo de exponer información personal información y da tranquilidad a sus clientes.
Requisitos de privacidad de datos
Las normas de privacidad de datos exigen que organizaciones protegen el personal información de clientes y empleados. Las empresas deben tomar medidas razonables para proteger la información personal, administrar cómo se manejan los datos, rastrear la recopilación inicial de información personal y coordinar cómo se almacenará, destruirá y anonimizará.
Si ocurre una violación de datos y se expone información personal, la organización debe informar la exposición a la entidades gubernamentales o reguladoras y a aquellos cuyos datos personales se han visto comprometidos dentro de un plazo determinado de conformidad con la normativa. Las normas de privacidad de datos imponen fuertes multas y sanciones cuando se descubre que una empresa no cumple con las normas.
¿Qué datos están protegidos por la normativa?
Las regulaciones de privacidad de datos existen para proteger personas de la exposición de sus datos personales. Todo atributo de una persona que pueda identificarla está sujeto a regulación por una ley o múltiples leyes. Aquí hay un vistazo rápido a los tipos de datos protegidos bajo cada regulación.
¿Qué datos no son Considerados Información Personal?
Cada reglamento tiene un lenguaje que designa los pasos que una empresa debe tomar para asegurar esa información personal no será expuestos si se produce una brecha en los sistemas. La única forma de garantizar que esto no suceda es no tener datos de identificación personal contenidos en sistemas y procesos. Pero, esto impide la capacidad de usar datos para desarrollo y pruebas. de nuevas aplicaciones, personalización de las experiencias de los clientes y análisis de datos. Como la firma analista Kuppinger Cole recomienda al referirse al cumplimiento de la normativa de protección de datos, “A better alternativa es evitar el problema por completo utilizando técnicas para anonimizar los datos personales en uso no productivo”. Esto se puede lograr anonimizando o desidentificando de forma irreversible los datos.
Una solución de enmascaramiento automatiza las tareas de identificación de información confidencial en fuentes de datos, ejecutando algoritmos de desidentificación y la creación de un historial de privacidad de datos auditable. El enmascaramiento permite empresas para gobernar los datos de acuerdo con las políticas de seguridad y las regulaciones de privacidad de datos.
Regulaciones de un vistazo
GDPR (Reglamento General de Protección de Datos).
El GDPR afecta a las organizaciones de todo el mundo que tienen que tratar datos personales relativos a los residentes en el Unión Europea. GDPR también le da a los sujetos de datos ampliados los derechos de acceso, rectificación y supresión de sus
datos personales, así como retirar el consentimiento para su uso.
¿Cuándo entró en vigor?
» 25 de mayo de 2018
¿A quién cubre?
» Personas residentes en países de la Unión Europea
¿Qué negocios se ven afectados?
» Cualquier negocio, sin importar dónde esté ubicado, que haga negocios con personas residir en países de la Unión Europea
¿Cuáles son las sanciones?
» Hasta el 2% de la facturación mundial anual o 10 millones de euros para asuntos internos, lo que sea mayor
» Hasta el 4% de la facturación mundial anual o 20 millones de euros, lo que sea mayor, por incumplimiento de los principios, consentimiento, derechos de los sujetos o transferencias de datos.
GDPR Definición de lo que no es información personal Considerando el apartado 265:
Por lo tanto, los principios de protección de datos no deben aplicarse información anónima, es decir, información que no no se relacionen con una persona física identificada o identificable o con datos personales anonimizados de tal manera que el el interesado no es o ya no es identificable.
CCPA (California Consumer Privacy Act)
La CCPA se enfoca en asegurar que las organizaciones proteger y gobernar responsablemente los datos personales sensibles información, al mismo tiempo que da a los consumidores un mayor control sobre cómo se recopilan, procesan y comparten sus datos.
¿Cuándo entró en vigor?
» 1 de enero de 2020
¿A quién cubre?
» Personas que residen en California
¿Qué negocios se ven afectados?
» Cualquier negocio, sin importar dónde esté ubicado, que haga negocios con residentes de California cumplir uno o más de los siguientes criterios:
» La empresa compra, recibe, vende o comparte anualmente la información personal de 50,000 o más consumidores, hogares o dispositivos
» El negocio tiene un ingreso bruto anual de más de $25 millones
» La empresa obtiene el 50 % o más de sus ingresos anuales de la venta de información personal del consumidor
¿Cuáles son las sanciones?
» La CCPA autoriza al Fiscal General de California a recuperar multas de hasta $2,500 por cada violación si no es intencional o $7,500 por cada violación intencional. Estas sanciones podrían ser sustancial cuando múltiples consumidores se ven afectados por una práctica o evento comercial.
» Además, los consumidores pueden hacer valer un derecho privado de acción para recuperar daños hasta $750 por infracción. 02 CCPA (California) Ley de Privacidad del Consumidor).
CCPA Definición de lo que no es informacion personal Título 1798.1406:
(2) «Información personal» no incluye información disponible públicamente información. … «Disponible públicamente» no incluye al consumidor información desidentificada o información agregada del consumidor.
(h) «Desidentificado» significa información que no puede identificar razonablemente, relacionarse con, describir, ser capaz de ser asociado con, o ser vinculado, directa o indirectamente, a un consumidor determinado, siempre que que una empresa que utiliza información anonimizada:
(1) Ha implementado salvaguardas técnicas que prohíben reidentificación del consumidor a quien la información puede pertenecer.
(2) Ha implementado procesos comerciales que específicamente prohibir la reidentificación de la información.
(3) Ha implementado procesos comerciales para prevenir liberación inadvertida de información anonimizada.
(4) No intenta volver a identificar la información.
HIPAA (Salud Portabilidad del seguro y Ley de Responsabilidad)
HIPAA establece normas nacionales para la protección de cierta información de salud que es almacenado o transferido en forma electrónica o impresa y aborda los aspectos técnicos y no técnicos salvaguardas que las organizaciones deben implementar para asegurar la información de salud protegida de las personas.
¿A quién cubre?
» Personas que residen en los Estados Unidos
¿Qué negocios se ven afectados?
» Planes de seguro de salud
» Cámaras de compensación de atención médica
» Proveedores de atención médica que realizan ciertas actividades financieras y administrativas. transacciones electrónicamente
» Proveedores de aplicaciones móviles de salud
» Cualquier entidad que almacene o mueva información personal de atención médica
¿Cuáles son las sanciones?
» Las sanciones por incumplimiento se basan en el nivel de negligencia y pueden variar de $100 a $50,000 por infracción (o por registro), con una multa máxima de $1.5 millones por año por violaciones de una disposición idéntica.
HIPAA Definición de lo que no son datos personales Artículo §164.5147:
(a) Estándar: desidentificación de la información de salud protegida. Información de salud que no identificar a una persona y con respecto a la cual no existe una base razonable para creer que la información puede ser utilizada para identificar a un individuo no es información de salud identificable individualmente.
(b) Especificaciones de implementación: requisitos para la desidentificación de la información de salud protegida. Una entidad cubierta puede determinar que la información de salud no es información de salud identificable individualmente. información solo si:
(1) Una persona con conocimiento y experiencia apropiados en estadísticas generalmente aceptadas. y principios y métodos científicos para hacer que la información no sea identificable individualmente:
(i) Aplicando tales principios y métodos, determina que el riesgo es muy pequeño de que el información podría ser utilizada, sola o en combinación con otra razonablemente disponible información, por un receptor anticipado para identificar a un individuo que es sujeto de la
información.
(ii) Documenta los métodos y resultados del análisis que justifican tal determinación. Según HIPAA Journal, “la PHI solo se considera PHI cuando se puede identificar a una persona de la información Si se eliminan todos los identificadores de los datos de salud, deja de ser salud protegida información y las restricciones de la regla de privacidad de HIPAA sobre usos y divulgaciones ya no se aplican.”
PCI DSS (Pago – Datos de la industria de tarjetas estándar de seguridad)
PCI-DSS fue introducido por la industria de tarjetas de crédito para Proteja los datos y números de los titulares de tarjetas en todas las industrias.
¿Cuándo entró en vigor?
» 15 de diciembre de 2004
¿A quién cubre?
» Titulares de tarjetas de crédito en cualquier parte del mundo
¿Qué negocios se ven afectados?
» El PCI DSS se aplica a CUALQUIER organización, independientemente del tamaño o la cantidad de transacciones, que acepte, transmita o almacene datos de titulares de tarjetas o números de tarjetas de crédito.
¿Cuáles son las sanciones?
» Las multas varían de $5,000 a $100,000 por mes hasta que los comerciantes cumplan.
PCI DSS Definición de lo que no es información personal Requisito 3.310:
Al mostrar el PAN (Número de cuenta principal), a menos que absolutamente necesita el número completo (y puede justificar esto como una necesidad comercial documentada), debe enmascararse (3.3) mostrando, como máximo, los primeros 6 dígitos y los últimos 4 dígitos (algo así como 4444 44* *** 1234).
De PCI Security Standards.org11:
En el contexto de PCI DSS, [enmascarar] es un método para ocultar un segmento de datos cuando se muestra o se imprime. Se utiliza el enmascaramiento cuando no hay un requisito comercial para ver la totalidad SARTÉN. El enmascaramiento se relaciona con la protección de PAN cuando se muestra o impreso. Consulte Truncamiento para la protección de PAN cuando se almacena en archivos, bases de datos, etc.
Entornos de datos que representan el mayor riesgo
Entornos no productivos para desarrollo, pruebas, análisis, ML/AI, y los informes representan tanto como 80% de la superficie de ataque para datos infracciones y, a menudo, son menos examinados desde una perspectiva de seguridad. Además, los datos utilizados en estos entornos a menudo se copian una y otra vez y muchos más las personas tienen acceso a los datos que los entornos de producción. A menudo, los datos residen en dispositivos desprotegidos, como computadoras portátiles, que pueden robarse fácilmente o dejarse sin protección.
Los equipos de seguridad empresarial se centran con láser en la protección de datos en sistemas back-end y aplicaciones orientadas al cliente, pero a menudo los entornos que no son de producción son una ocurrencia tardía. Sin embargo, las filtraciones de datos son cada vez más comunes en entornos que no son de producción.
La capacidad de enmascaramiento del Delphix DevOps Data Platform representa una enfoque automatizado para proteger entornos que no son de producción, incluidos desarrollo y pruebas, análisis y LA/IA, al sustituir información confidencial tales como números de seguro social, paciente registros e información de tarjetas de crédito con datos ficticios, pero realistas.
El enmascaramiento de Delphix descubre automáticamente la información confidencial dondequiera que resida, incluso en entornos de nube pública, privada o híbrida, luego enmascara de forma irreversible los valores de datos confidenciales. Los algoritmos de enmascaramiento producen valores realistas con integridad referencial en sistemas dispares ya sea en las instalaciones o en la nube. Delphix también integra a la perfección el enmascaramiento con los datos virtualización para entregar datos seguros a objetivos que no son de producción a un ritmo acelerado.
Delphix permite a las empresas definir de forma centralizada las políticas de seguridad al mismo tiempo que les brinda la capacidad para descubrir y asegurar automáticamente cualquier valor de datos sujeto a requisitos reglamentarios. el delphix Solución de enmascaramiento
Descubrir datos Sensibles
Enmascaramiento de Datos
Bases de Datos Virtuales
