通过更深入地了解有关GDPR、CCPA、LGPD和HIPAA加密的当前行业法规,采取积极主动的方法来保护组织的安全性和合规性。在当今时代,组织正在处理大量数据,包括从个人身份信息(PII)和受保护的健康信息(PHI)到财务记录和其他敏感信息的所有内容。尽管数据被视为组织的资产,但这种数据量被视为一种风险,因为它为黑客攻击和数据蔓延的风险开辟了更多空间。为避免这些风险,组织必须按照全球隐私法规对其数据进行加密。这些加密法规和法律可以帮助组织降低风险并在数据蔓延和网络攻击发生之前阻止它们。但在GDPR加密、HIPAA加密、CCPA加密和LGPD方面,具体的标准和要求是什么?或者称为巴西通用数据保护法?什么是数据加密?在其最简单的形式中,数据加密可以定义为以其他形式转换数据,如果没有特殊密钥的帮助,这些数据将无法解密(解密)。加密的数据称为密文,而未加密的数据可以定义为明文。加密是最常见和最有效的流程之一,组织可以将其纳入以提高数据安全性和促进安全通信。数据加密的主要目的是保护组织数字数据的机密性。使用不安全的互联网或其他可能不安全的计算机网络传输存储在服务器和计算机系统上的数据。存储未加密的数据会危及数据的机密性,并使其成为数据泛滥和黑客攻击的牺牲品。现代加密算法在数据和通信的安全性中起着至关重要的作用。这些算法提供机密性和其他关键安全优势,包括文件完整性确认、身份验证和不可否认性。身份验证有助于验证消息的来源,完整性提供消息内容自发送后未更改的证明,不可否认性确保消息的发送者不能拒绝发送它。那么这一切与欧盟的《通用数据保护法案》(GDPR)、《加利福尼亚消费者隐私法案》(CCPA)、巴西的LGPD、《健康保险携带和责任法案》等隐私法规和数据加密法有什么关系呢?数据隐私法是否需要加密?尽管没有任何数据隐私法律法规明确要求组织在其系统中实施加密,但强烈建议这样做,因为它可以降低与数据泄露相关的风险。IBMSecurity的2019年数据泄露成本报告中的数据显示,数据泄露的平均成本为392万美元。不仅如此,去年还向监管机构报告了约276起健康数据泄露事件,包括黑客攻击事件和未加密设备被盗事件,这些事件已被添加到官方的联邦统计数据中,其中6起最大的事件涉及商业伙伴。如果加密数据遭到破坏,组织将不会面临罚款和处罚,因为数据本身是难以理解的密文,任何掌握它的网络犯罪分子都无法读取。GDPR加密要求GDPR是世界上最大的数据隐私法规之一,旨在保护位于欧盟的人们的隐私。虽然这似乎是欧盟特有的,但事实并非如此。几乎整个世界都以这种或那种方式与欧盟互动,这意味着世界各地的企业也需要遵守GDPR。《通用数据保护条例》认识到加密的重要性,这就是GDPR在第32条“处理的安全性”下规定的原因:考虑到技术水平、实施成本以及处理的性质、范围、上下文和目的,以及自然人的权利和可能性和严重性变化风险的自由,控制者和处理者应采取适当的技术和组织措施,以确保安全处于适当的风险水平。其中包括:个人数据的假名化和加密;保护处理系统和服务的持续机密性、完整性、可用性和弹性;在发生物理或技术事件时及时恢复可用性和访问个人数据的能力;能够定期测试、评估和评估技术和组织措施过程的有效性,以确保过程的安全性。“为了维护安全并防止违反本条例的处理,控制者或处理者应评估处理中固有的风险并采取措施减轻这些风险,例如加密。这些措施应确保适当的安全级别,包括机密性,考虑到与要保护的个人数据的风险和性质相关的最新技术和实施成本。在评估数据安全风险时,处理个人数据所带来的风险,例如意外或非法破坏、丢失、更改、未经授权披露或访问传输、存储或以其他方式处理的个人数据。尤其会导致物理、物质或非物质损害。”GDPR要求组织采用加密来保护消费者的数据并减轻与数据传输相关的风险(例如数据传播或网络攻击)。CCPA加密要求根据《加利福尼亚消费者隐私法案》,虽然组织对要求加密措施是明智的,但有没有明确提到需要加密措施。这是因为,即使可能没有明确的数据加密要求,但涉及“未加密或未编辑的个人信息”的数据泄露可能会导致罚款(每次事件或实际损失每位消费者最高750美元)。如果使用加密,则可以免除这些罚款,因为违规数据是加密的,没有解密密钥就无法破译。为了获得最大的安全性,无论在何处共享数据,都应使用加密来保护数据。组织对消费者负有责任,需要在其数据管理解决方案中对以数据为中心的加密进行分层,以促进数据的安全传输,同时满足数据主体请求(DSR)。根据《加利福尼亚民法典》的第1798.81.5节,满足特定要求并处理加州居民个人数据的组织或企业有义务实施和维护适合其处理的信息性质的合理安全计划和做法。这里必须考虑“合理的安全性”。LGPD加密要求根据国际隐私专家协会(IAPP)的一篇文章,巴西已在联邦层面起草了40多项关于数据隐私的法律规范。这些法律的唯一缺点是它们是部门性的,这意味着它们与特定行业相关,并没有全面涵盖所有方面。这就是起草巴西新数据保护法LGPD(代表LeGeraldeProte??odeDadosPessoais)以提供更全面和全面的监管框架的原因。LeiGeraldeProte??odeDadosPessoais用65篇文章模仿了GDPR。该法案于2018年8月14日获得通过,并于2019年7月获得总统JairBolsonaro的批准。执行日期定为2020年8月15日。与GDPR和CCPA一样,LGPD(巴西通用数据保护法/LeGeraldeProte??odeDadosPessoais)并未明确要求组织对其数据进行加密,但在处理消费者个人信息时仍需要合理的安全级别。实现这一点的最简单和最有效的方法是使用加密。根据LGPD,组织必须纳入个人数据的网络安全和数据安全方面的最佳实践。LGPD指出,该法律不适用于任何加密或匿名的个人数据,只要这些数据难以理解,并且可以被泄露数据的人轻松恢复到其原始状态。HIPAA加密要求《健康保险可移植性和责任制法案》(HIPAA)要求医疗保健提供者(也称为涵盖实体)实施数据安全以保护其患者的信息不被泄露。在理解安全和数据保护方面的要求(或不需要)时,HIPAA加密要求可能会令人困惑。原因是与保护受保护健康信息相关的技术保障被定义为“可寻址”要求。HIPAA对传输安全的加密要求规定,适用的实体应在适当的时候“实施加密PHI的机制”。该指令相当含糊且易于解释,因此会造成混淆。换句话说,HIPAA确实要求组织或涵盖的实体对PHI具有一定的安全级别。组织必须加密数据,除非有充分的理由说明组织不能实施加密并提供等效的选择。与不同加密法律法规相关的处罚根据CCPA、GDPR和LGPD,没有与不实施加密相关的具体罚款。但是,如果实施适当的加密,组织可能能够避免与数据泄露相关的罚款。例如,如果一个组织有适当的加密,在发生数据泄露的情况下,他们很可能不会受到惩罚,因为泄露的数据是加密的。对于HIPAA,法律要求组织为受保护的健康信息设置适当的加密,除非该组织能够提供无法实施加密的充分理由并提供等效的选择......即使在组织确实声称有充分理由的情况下不加密,他们仍然会因不加密而被罚款。例如,罗彻斯特大学医学中心(URMC)因未能加密移动设备而被罚款300美元,以及其他违反HIPAA的行为英国航空公司去年因违反欧盟规定而被罚款1.84亿英镑(2.3亿美元)《通用数据保护条例》。由于该组织在违规时的安全状况不佳,消费者数据遭到泄露。ICO表示:“ICO的调查发现,由于公司安全措施不力,各种信息遭到泄露,包括登录信息、支付卡和旅行预订详细信息以及姓名和地址信息。“数据加密良好实践无论GDPR、CCPA和HIPAA适用于您的组织,还是支付卡行业数据安全标准等其他法规,加密都是任何组织安全不可或缺的一部分。因此,重要的是要记住,实施加密数据的最佳方法,以避免可能使您的组织容易受到数据泄露的各种事故或破坏。1.管理数字证书14证书管理最佳实践,以保持组织的运营、安全和完全合规。2.下载清单以下是组织可以采用的一些良好实践,以拥有有效的加密系统:(1)保持加密密钥的安全第一点看似显而易见,但却很关键。之所以特别提到这一点,是因为这是一个容易导致未授权方访问您的数据的错误。例如,如果您的加密密钥位于您PC上的纯文本文件中,则很有可能有人会找到它并造成损坏。此问题的一些解决方案可能是:将密钥与数据分开,限制用户访问,并按计划轮换密钥。加密所有敏感数据加密所有类型的敏感数据至关重要。你可能认为你的数据是安全的,但你知道有几家公司因为没有加密重要数据而有人可以访问它而受到损害。通过加密您的数据,您可以让那些可能出于恶意破坏您的系统的人变得更加困难。(2)评估数据加密性能有效的数据加密不仅需要让未经授权的人无法读取您的数据,还需要有效利用资源。如果加密数据花费的时间太长或占用过多的CPU时间和内存,请考虑切换到不同的算法或试验数据加密工具中的设置。(3)保护传输中和静止数据加密在数据保护中起着至关重要的作用,用于保护传输中(intransit)和静止(storedforlateruse)的数据。组织通常选择在移动敏感数据之前对其进行加密和/或使用加密连接(HTTPS、SSL、TLS、FTPS等)来保护传输中的数据内容。为了保护静态数据,组织可以在存储敏感文件之前简单地对其进行加密和/或选择对存储驱动器本身进行加密。为了保护传输中的数据,他们可以在服务器上安装SSL/TLS证书。(4)对数据库中的数据进行加密虽然其他安全工具可以保护系统免受入侵或攻击,但对数据库进行加密是应对数据安全的主要防御手段。这意味着即使在系统崩溃的情况下,使用加密密钥的用户仍然只能读取受损数据。(5)实施S/MIME以保护电子邮件通信安全/多用途Internet邮件扩展(S/MIME)允许企业发送端到端加密电子邮件并填补数据蔓延中的任何空白。许多敏感数据是通过电子邮件传送的,这是确保这些电子邮件安全的最佳方式。要点数据加密是任何组织数据安全的重要组成部分,可促进安全通信。一些隐私法规如GDPR、CCPA和LGPD要求加密,而另一些可能没有明确指定使用加密,但仍被推荐。隐私法规通常会在发生数据泄露时对组织进行处罚,但如果对数据进行加密,则可以避免这些处罚,因为如果没有解密密钥,泄露数据的人将无法对其进行解密。每年都会创建泽字节的数据,组织需要采用数据加密的最佳实践,以避免任何形式的数据蔓延或损坏。这可以通过保护您的加密密钥、加密所有敏感数据和评估数据加密性能来实现。在这个加密不再是一种选择的数据隐私时代,公司将做好加密所有敏感数据的工作。
