当前位置:首页 > 合规类 > IAPP > 考试资讯 > 项目动态 >
不同法规如何影响数据合规性?如何提升数据合规能力?
2024-06-13 09:21:05
浏览量:0
关注我们,学习更多隐私合规讯息
不同法规如何影响数据合规性
并非所有数据都是平等的,也并非所有合规框架和法规都要求相同级别的数据保护。
影响企业的一些重要合规标准和法规包括
HIPAA
HIPAA 合规性要求涵盖医院、保险公司或任何与医疗保健服务相关人员的患者医疗保健信息,严格定义合规性涉及受保护的健康信息 (PHI) 或与患者护理相关的信息或与护理相关的付款信息。
根据HIPAA,企业未经严格记录的同意,不得向患者以外的第三方披露 PHI。
这需要有记录良好的第三方风险管理(TPRM) 政策和程序。同样,无论信息位于何处,都必须受到保护以防止泄露 — 包括数据库、工作站/移动设备、服务器,甚至在不同方之间传输时。
2个月习题IAPP AIGP!一起围观学习!
扫码即可立即学习
电脑端观看:http://navo.top/Z3MvEf
大多数合规技术都提供了保护信息使用的方法,因此企业不必依赖加密电子邮件或其他较旧的技术。
PCI DSS
支付卡行业数据安全标准 PCI 合规性主要涵盖信用卡支付和购买期间支付信息的保护。
HIPAA 规定了与 PHI 相关的合规性,而PCI DSS 则专门关注销售点的支付信息,包括信用卡号、姓名、地址、电话号码等。
与联邦和州政府监管的 HIPAA 不同,PCI 是主要信用卡网络(Visa、Mastercard 和 American Express)的发明,并通过对不合规商家或支付处理商处以罚款来执行。
在这种情况下,处罚可能要求对每次不合规事件处以复合罚款并取消商家帐户(这使得处理信用卡交易变得困难甚至不可能)。
GDPR
通用数据保护条例 (GDPR)通常被认为是世界上最严格的信息隐私法之一。GDPR 的管辖范围涵盖整个欧盟和其他几个参与国,它要求企业对用户数据进行严格控制。
这包括要求报告该信息的正确使用情况(并且仅根据严格的业务需求使用消费者数据)、为消费者提供易于访问的方法来访问其信息并请求删除信息,并在消费者每次提交新的消费者信息请求时提供书面同意。
最后一项要求还要求企业向客户提供数据收集的详细理由(无论是出于分析、定期付款、电子邮件营销还是其他几十种情况)。
CCPA
加州消费者隐私法案CCPA 在许多方面都模仿了 GDPR。CCPA 涵盖加州居民和在该州开展业务的公司,它将个人信息定义为日常信息,例如姓名、地址、电话号码、电子邮件地址等。
CCPA 规定企业必须提供选择退出措施,以便消费者可以停止接收或参与商业活动,或者阻止你的企业将这些信息出售给第三方。
GDPR 与 CCPA(以及许多美国法规)之间的一个关键区别是,GDPR 是一项“选择加入”法律,要求公司在处理数据之前必须获得同意。
相比之下,CCPA 和大多数其他商业法规都是“选择退出”,即你的企业可以使用消费者信息,直到收到明确告知停止为止。
SOX
萨班斯-奥克斯利法案SOX 与面向消费者或患者的法规略有不同,它要求公司提供有关公司实施的安全、风险和审计的报告和文件。
具体而言,SOX 要求公司披露其财务和安全信息,特别是其安全计划、政策和实施情况。
FedRAMP
联邦风险与授权管理计划 ( FedRAMP ) 是一套法规,定义云提供商如何保护为联邦机构服务而创建或使用的信息。符合 FedRAMP 要求的企业的数据保护取决于信息的敏感度。
例如,即使是敏感但可公开获取的信息,在存储、共享或通过电子邮件发送时也需要采取特定的保护措施。此外,其他框架下的受保护信息(PHI 或付款信息)也会相应地增加 FedRAMP 要求。
其他框架适用于特定公司或行业,通常由专业组织或公司自己开发。例如,美国国家标准与技术研究所 (NIST) 为联邦政府的不同领域制定了多份合规文件,Adobe 发布了通用控制框架 (CCF) 来支持治理、风险和合规 (GRC)。
此外,国际标准化组织 (ISO) 提供了数百条有关安全性、操作和互操作性的技术指南,合规框架可以借鉴或全面构建这些指南。
虽然每个框架都有特定的要求(如上所列),但大多数法规都包括通用的安全和隐私措施。这些包括:
加密
01
所有消费者、患者或其他受保护的数据类型在存储在服务器中时必须使用(通常)AES-128 或 AES-256 算法加密,在文件传输过程中传输时必须使用 TLS 1.2+ 加密。
电子邮件保护
02
由于信息必须加密,因此电子邮件通常也受到同等监管。由于通过加密实现电子邮件合规性对用户体验和业务灵活性构成挑战,因此许多企业使用安全链接返回到内部受保护的服务器。
审计日志
03
数据保护几乎总是包括控制人们如何访问信息以及记录系统和文件访问事件的要求。大多数合规性将包括有关如何使用、移动和存储信息的审计日志。
如何学习审计、风控与合规?学习CIPM课程,适用于风险管理、隐私操作、审计、隐私分析、职责划分等相关的从业人员。
不过,在准备合规性审计时,你不必从头开始。一些准备步骤包括:
提前准备:如果你知道自己将定期接受审计,则应提前做好准备。这包括整理文件、技术措施和管理报告。即使你不是 100% 合规,为审计做准备也会显示你需要在哪些方面调整基础设施。
培训和继续教育:你的团队应始终接受正确的培训,以便在特定基础设施内实施合规性控制并根据需要执行审计。 同样,你必须支持继续培训,以确保他们始终了解任何合规性或技术变化。这包括强大的TPRM计划。
*文章来源:kiteworks.com
*整理编辑:A隐小私(yinxiaosi00)
*转发请备注出处,或联系隐小私(yinxiaosi00)开白名单
最新直播预约
分享内容:
IAPP协会新宠AIGP证书介绍
继CIPM&CIPPE=FIP后为何再战AIGP
如何挑战2个月通过AIGP
浅谈AI(人工智能)&持有AIGP优势
特邀嘉宾: WEI
超十年数据合规工作经验
CIPM/CIPPE持证者
Fellow of Information Privacy(FIP)
直播时间:
北京时间:6月13日(周四)下午19:30-21:00
直播间福利:
最低至8折优惠
法律、合规类课程全套考试备考指南
预约前10名可获涉外法律英语免费体验课程,还可享受旗下指定指定课程套餐
更多神秘大礼包,请添加:隐小私(yinxiaosi00),立即激活!
扫码预约直播
电脑端观看:http://navo.top/Z3MvEf
更多课程/直播疑惑,扫描下方二维码解答 或+yinxiaosi00
如何学习信息技术数据合规?一起了解注册信息隐私管理师IAPP CIPT!
注册信息隐私技术专家CIPT
基本概念:
CIPT面向IT从业者开展隐私保护认证,可证明专业人员在IT产品和服务的开发、工程、部署与审计方面,对于隐私和数据保护实践的理解程度,以及管理和建立隐私保护要求和控制措施的能力。
学习内容:
Foundational Principles基本原则
The Role of IT in Privacy信息技术在隐私中的作用
Privacy Threats and Violations隐私威胁和侵犯
Technical Measures and Privacy Enhancing Technologies技术措施和隐私增强技术
Privacy Engineering隐私工程
Privacy by Design Methodology隐私设计方法
Technology Challenges for Privacy隐私的技术挑战
适用于以下人群:
主要适用于信息技术、信息安全、软件工程、隐私设计、合规审计等相关的从业人员。
更多课程疑惑,扫描下方二维码解答 或+yinxiaosi00
往期直播回顾
扫码即可立即学习
电脑端观看:http://navo.top/YJFBfq
扫码即可立即学习
电脑端观看:http://navo.top/eQvUfi
扫码即可立即学习
电脑端观看:http://navo.top/VRru6z
扫码即可立即学习
电脑端观看:http://navo.top/yYJRFn
更/多/GDPR/文章
DPO企业合规官为什么必须学GDPR?GDPR 是否会取代 DPA?
GDPR如何影响在中国的公司?如何影响中国?
GDPR和PPL差距在哪?!分享欧盟委员会支持11项充分性决定
中国网络安全与数据保护:中国修订了自己的“GDPR”——你需要了解的变化
解析GDPR及对中国涉欧企业的影响,涉外法务/律师必须成为合规官吗?
学员经验
往/期/回/顾
更多课程在线听讲
更多课程疑惑,扫描下方二维码解答 或+yinxiaosi00
-END-
中国有DPO数据保护管吗?年薪百万的数据合规律师需要考哪些合规证书?一起听听老师的分享
国际隐私专业协会究竟是什么?点击下方视频,听老师讲述一下国际隐私协会的起源及发展,以及IAPP证书在隐私行业的影响力
感觉不错你就赞赞我吧!
点分享
点点赞
点在看
戳这个,领取IAPP备考资料
