您现在的位置:新闻首页>中国专利

专利号_中国专利中心_3个工作日

2022-01-11 17:41斐恩版权编辑:mozhe人气:


专利号_中国专利中心_3个工作日

尽管许多公司和服务提供商在即将出台的《加利福尼亚消费者隐私法》(CCPA)中的隐私相关要求上花费了大量的时间和预算,但不出售或交换个人信息的公司面临的最大风险可能是未能定义和维护合理安全的集体诉讼。从2020年1月1日起,消费者将能够根据加利福尼亚州严格的新隐私法起诉因未能保持"合理安全性"而导致的数据泄露。因此,企业应开始审查其现有的安全程序和做法,并采取任何其他措施,以建立防御性安全计划加利福尼亚州在早些时候的芬威克警告中,加利福尼亚消费者隐私法于2020年1月1日生效,是美国最广泛的隐私法。它不仅扩大了个人信息的定义,还为消费者提供了在个人信息被披露时对企业提起私人诉讼和集体诉讼的能力,因为企业未能实施合理的安全措施。加州原告律师毫无疑问将利用这项新法律,因为受影响的公司将受到法定处罚:每名消费者每次事故或实际损害赔偿100至750美元。1此外,加州总检察长办公室可能会对公司处以每起故意违规行为最高7500美元的罚款。与欧盟通用数据保护条例(GDPR)规定的全球收入4%的违约金上限不同,CCPA没有盖。那个"合理"的安全标准在加利福尼亚、联邦贸易委员会和其他地方提供了指导。如果消费者的"非加密或未经注册的个人信息……被未经授权的访问、过滤、窃取,或者由于企业违反了执行和维护合理的安全程序和实践的义务而导致的披露。"2虽然CCPA没有定义什么安全程序和实践是"合理的",但是加利福尼亚州和其他地方都有现有的指导来源。加利福尼亚州关注CIS 20控件。2016年,加州总检察长办公室发布了一份数据泄露报告,其中总检察长将20家互联网安全控制中心(CIS Controls)确定为"所有收集或维护个人信息的组织应达到的最低信息安全级别"。3报告进一步指出,"未能一个组织的安全控制的缺乏构成了一个合理的环境控制作用:控制滴定计数连接操作了解连接到网络控制参考CSC 1,CSC 2安全配置操作实施密钥安全设置。控制参考CSC 3、CSC 11控制用户ActionLimit用户和管理员特权。控制参考CSC 5,CSC 14Update continuouslyaction持续评估漏洞和修补漏洞电流控制参考CSC 4保护关键资产行动保护关键资产和攻击向量。控制参考CSC 7、CSC 10、CSC 13实施防御措施防御恶意软件和边界入侵。控制参考CSC 8,中国专利号查询网,CSC 12块访问ActionBlock易受攻击的访问点。控制参考CSC 9、CSC 15、CSC 18列车运行为员工、承包商和任何供应商提供安全培训访问控制参考CSC 17监控活动ActionMonitor帐户和网络审计日志。控制参考CSC 6、CSC 16测试和计划响应行为测试你的防御能力,准备好迅速有效地应对安全问题事件控制参考CSC 19,CSC 20控制标题控制参考计数连接知道连接到您的网络.CSC1、CSC 2安全配置实施密钥安全设置.CSC三,CSC 11Control UsersLimit用户和管理员特权.CSC5,CSC 14持续更新持续评估漏洞和修补漏洞当前.CSC4保护关键资产保护关键资产和攻击向量.CSC7,CSC 10,CSC 13实施防御,抵御恶意软件和边界入侵.CSC8个,CSC 12Block AccessBlock易受攻击的访问点.CSC9、CSC 15、CSC 18列车员为员工、承包商和任何供应商提供安全培训访问.CSC17监控活动监视器帐户和网络审计日志.CSC6个,CSC 16测试并计划响应测试您的防御措施,并准备对安全性做出及时有效的响应事件.CSC19,CSC 20除了CIS控制,司法部长批准了报告:多因素认证–除员工系统外,面向消费者的在线账户还应提供多因素认证。多因素身份验证将"您知道的东西"(如密码或PIN)与"您是或拥有的东西"(如您的手机或指纹。加密在笔记本电脑和其他便携式设备上使用加密手段。欺诈警报–通知消费者,当出现 突破。在2014年,总检察长在"金州网络安全"报告中提到了类似的安全措施清单。2014年的报告还建议各组织绘制数据图,并决定哪些存储的消费者信息对其业务实际是必要的。尽管目前或未来的总检察长是否会认可这两份报告中的立场尚不确定,但这两份报告建议可能是企业在"合理"处理个人信息时应采取的最低步骤安全。其他指导有关综合安全的案例。美国联邦贸易委员会(FTC)已经采取了500多项保护消费者信息隐私的执法行动,包括75起一般隐私诉讼和65起针对公司的案件,这些公司从事不公平或欺骗行为,未能充分保护消费者的个人数据。4这些过去的行动和由此产生的同意令提供了一些关于什么是"合理"安全的见解。例如,2002年联邦贸易委员会的第一批案件之一要求礼来公司"建立和维持一个四阶段的信息安全计划,旨在建立和维持合理和适当的行政、技术和,专利信息查询,在任何未经授权的情况下,FTWICK都有合理的保护措施,以保护消费者不受任何未经授权的信息安全和信息泄露的影响在本案诉讼过程中代表公司的专家证人,作为公司的独立评估人,并通过此类评估为公司提供咨询。我们团队的经验包括十多个全面的隐私和信息安全案例,包括与全球技术、金融和医疗保健公司的重大案例。通过这一经验,我们发现大多数公司将其安全实践与公认的框架保持一致,如国际标准化组织(ISO)27001系列、国家标准与技术研究所(NIST)网络安全框架和PCI数据安全标准(PCI DSS)。医疗保健公司还可能与特定于医疗保健的框架和法规保持一致,查询申请专利,如HIPAA安全规则。其他行业框架。与CIS 20相比,大多数公司可能更熟悉这些传统框架,尤其是在公司使用政府数据的情况下。为确保其为CCPA合规性建立了合理的安全性,公司可选择在最适合其业务的框架下运营(如ISO),但根据CIS 20评估其框架和控制措施,以确认在数据泄露的情况下能够满足控制标准,图片维权,融资交易或并购尽职调查。我们看到使用的其他框架包括微软安全开发生命周期(MS-SDL)、《gram-Leach-Bliley法案保障规则》(Gramm-Leach-Bliley Act-securities Rule),以及在较小程度上使用的COBIT、ITIL和州指南,如马萨诸塞州的201cmr17。所有框架的一个共同主题是,"合理安全"是一个过程,个人肖像权,包括确定要保护的数据、评估风险、实施控制以及监测和更新控制。最好实践。另外,联邦贸易委员会还出版了一份最佳实践指南,"从安全开始:商业指南",在该指南中,联邦贸易委员会鼓励各组织在与供应商。五个公司现在应该采取的措施是采用公认的信息安全框架。采用ISO、NIST、PCI DSS或基于贵公司行业最佳实践的CIS控制等框架。根据我们的经验,ISO是普通。创建数据清单和风险评估。列出个人信息数据的敏感度和位置。根据这些清单,公司可以确定安全计划的范围,然后评估风险。公司可以遵循既定的风险评估程序,如NIST SP 800-53A。建立基本的安全流程。即使一个公司处于早期阶段,并没有实现框架的所有方面,重要的是,所有程序都通用的关键程序构建块已经到位,其中:采用书面信息安全政策培训员工保护和限制对包含个人信息的数据存储的访问实施事故响应行动计划并实施行动计划,以便在发生事故时成为例行程序发生。实施或者加强关键控制。除了关键的程序构建块和20个关键的CI控件外,mo

(来源:斐恩版权)

  • 凡本网注明"来源:斐恩版权的所有作品,版权均属于中斐恩版权,转载请必须注明中斐恩版权,http://jmsit.cooou.com。违反者本网将追究相关法律责任。
  • 本网转载并注明自其它来源的作品,目的在于传递更多信息,并不代表本网赞同其观点或证实其内容的真实性,不承担此类作品侵权行为的直接责任及连带责任。其他媒体、网站或个人从本网转载时,必须保留本网注明的作品来源,并自负版权等法律责任。
  • 如涉及作品内容、版权等问题,请在作品发表之日起一周内与本网联系,否则视为放弃相关权利。





最新热点

更多>>
中国版权交易中心_侵犯他人肖像权_流程

中国版权交易中心_侵犯他人肖像权_流程


返回首页