跳转到主要内容

【PCI DSS合规】您在PCI DSS合规性方面失败的真正原因

十多年来,组织一直在努力实现和维护PCI DSS合规性。问题不在于知识或技术;这是熟练程度。

九年来,Verizon发布了关于支付卡行业数据安全标准(PCI DSS)合规状况的年度支付安全报告。九年来,模式一直保持不变:许多公司不遵守标准,许多遵守标准的公司在审计后不久就不遵守标准。IT组织不会因为缺乏知识或技术而与PCI DSS法规遵从性斗争;问题在于熟练程度。

自2013年以来,该报告的主要作者、Verizon企业解决方案全球安全保障咨询高级经理西斯克·范·奥斯滕(Ciske van Oosten)表示:“熟练是主要主题。”。“有了10年的数据泄露调查报告,您开始认识到模式。”

“这不是一个知识问题,”van Oosten补充道。“那里有丰富的知识。人们几乎被淹没了。这不是真正的技术失败。而是真正的熟练程度:自信、技能和经验。”

PCI DSS合规性状态

在今年早些时候发布的2017年报告中,威瑞森发现,全球企业的整体合规性有所提高-威瑞森评估的企业中,55.4%在2016年通过了中期评估,高于2015年的48.4%。但这意味着,近一半的零售商、餐馆、,酒店和其他接受信用卡支付的企业每年都未能保持合规性。

【区块链】区块链战线:技术、业务和监管

这场战斗的结果对创新的未来有着重大影响。

喜剧演员约翰·奥利弗(John Oliver)打趣道,加密货币是“你对金钱不了解的一切,加上你对技术不了解的所有。”他错过了另一个臭名昭著的混乱领域:法律。庞大的监管机构已经意识到由SEC领导的区块链技术的重要性。

政府确信加密货币必须受到监管,但它面临着一个棘手的问题:加密货币是什么样的资产?安全商品通货还有别的吗?与此同时,技术专家和企业家正在开发影响答案的新应用程序。

加密市场创新的新引擎看起来与我们熟悉的公司股票非常相似,除了中介机构较少和监管较少(你猜到了)。风险投资公司可以制造代表底层技术的代币,从而通过与业务活动直接相关的机制为业务活动提供资金。这推动了创新,因为创新者可以在没有第三方参与的情况下自由开展融资工作,市场能够以最小的干扰奖励成功和惩罚失败。

证券交易委员会并未忽视与股票的相似性。事实上,加密货币作为投资工具的能力是加密行业未来的关键。在联邦法律中,此类车辆作为证券受到监管。因此,我们回到加密货币是一种什么资产的微妙问题上来?

【人工智能合规】人工智能和算法:联邦贸易委员会在严格审查中为公司发布指南

即使在新冠肺炎危机之前,人工智能和算法,特别是在定价方面,也是联邦贸易委员会和司法部反垄断部门的重点。随着新冠肺炎疫情成为网络平台和使用算法定价的卖家关注的焦点,尤其重要的是,公司要了解各机构关于如何确保人工智能的使用不违反反垄断法或消费者保护法的最新指导。

在4月8日大流行期间,联邦贸易委员会消费者保护局局长发布了关于人工智能和算法使用的指导意见,建议“人工智能工具的使用应透明、可解释、公平且符合经验,同时促进问责制。”

在反垄断方面,机构演讲和执法行动提供了关于机构将如何评估人工智能和算法定价使用的见解。

《联邦贸易委员会消费者保护指南》要求人工智能工具透明、公平、经验性强,并将决策传达给消费者

联邦贸易委员会的指导主要旨在帮助企业避免对误导消费者、非法歧视或违反《公平信用报告法》(FCRA)的担忧,最后一项可能适用于收集消费者信息以用于有关信贷、就业、保险、住房或类似福利和交易资格的决策的公司。

【算法合规】美国FTC使用人工智能和算法指导

头条吹捧人工智能技术的快速进步。使用人工智能技术——机器和算法——进行预测、建议或决策,对提高福利和生产率具有巨大潜力。但它也带来了风险,如可能出现不公平或歧视性结果,或现有社会经济差异的持续存在。健康人工智能就是这种紧张关系的一个典型例子。最近发表在《科学》杂志上的研究表明,一种出于良好意图而使用的算法——将医疗干预目标对准病情最严重的患者——最终将资源输送给了更健康的白人人口,而损害了病情更严重的黑人患者。

好消息是,虽然人工智能和机器学习技术的复杂性是新的,但自动化决策并非如此,我们在联邦贸易委员会拥有处理使用数据和算法做出消费者决策所带来的挑战的长期经验。多年来,联邦贸易委员会提出了许多指控违反我们执行的涉及人工智能和自动化决策的法律的案件,并调查了该领域的许多公司。例如,1970年颁布的《公平信用报告法》(FCRA)和1974年颁布的平等信用机会法(ECOA)都涉及自动决策,金融服务公司几十年来一直将这些法律应用于基于机器的信用承销模型。我们还利用《联邦贸易委员会法》授权禁止不公平和欺骗行为,以解决因使用人工智能和自动化决策而造成的消费者伤害。

【GDPR】GDPR同意要求是什么?

避免大额GDPR罚款的一个简单方法是在使用用户的个人数据之前始终获得用户的许可。本文解释了GDPR同意要求,以帮助您遵守。

与普遍的看法相反,欧盟GDPR(一般数据保护条例)并不要求企业在将个人信息用于商业目的之前获得他人的同意。相反,同意只是GDPR第6条概述的六个法律基础之一。企业必须确定其数据处理的法律依据。

同意是最容易满足的,因为它允许你对数据做任何事情-只要你清楚地解释你要做什么并获得数据主体的明确许可。然而,正如谷歌最近通过5000万欧元的罚款得知的那样,你不能偷工减料。法国数据保护部门表示,该公司关于获得同意的说法既不“知情”,也不“明确”和“具体”

本文将重点讨论如何满足GDPR对作为法律基础的同意的要求。

有关GDPR的更多信息,请阅读我们的文章“什么是GDPR?”它提供了法律的概念概述。我们还发布了GDPR的全文。

GDPR要求数据处理有法律依据

GDPR在序言40中解释道:“为了使处理合法,应在相关数据主体的同意或其他合法基础上处理个人数据。”换句话说,同意只是你可以用来证明收集、处理和/或存储个人数据的合法依据之一。第6条提出了其他五个理由。

【审计报告】利用AWS SOC 2:如何构建符合SOC 2的SaaS

因此,您已经在AWS或其他基础设施即服务提供商的基础上构建了软件即服务(SaaS)应用程序。您这样做的原因之一可能是为了利用符合AWS SOC 2的基础设施。AWS等服务组织收到SOC 2报告,向投资者和客户等利益相关者证明AWS基础设施是安全和可用的。此外,AWS的用户希望知道AWS的控件设计合理,运行有效。利用AWS SOC 2创建您自己的符合SOC 2的应用程序在我们的客户中很常见。

偶尔,我们会收到客户的询问,

“AWS已经有了SOC 2,我们也需要自己的SOC 2吗?”

答案是,这取决于您的客户和利益相关者。仅仅因为AWS负责某些控制以满足SOC 2标准,并不意味着贵公司不负责其他控制以满足SOC 2标准。如果你的客户有精明的审计师,他们也会要求保证你公司负责的控制措施设计和运行有效。

如果您在AWS或Azure上构建应用程序,您公司的SOC 2将不包括AWS或Azure负责的控制。这些都是从报告中分离出来的,报告仅涵盖您的SaaS公司为满足适用的SOC 2信任服务标准而实施的控制。

【美国隐私立法】美国联邦隐私立法在众议院的进展

SPB合作伙伴Beth Goldstein也为这篇文章做出了贡献。

随着强大的能源和商业委员会以53票对2票通过了一项全面的跨党派隐私法案,经过十多年的辩论,美国众议院距离批准历史性隐私立法又近了一步。在正式向众议院报告立法之前,委员会通过了一项替代修正案,解决了几周前在小组委员会提出的问题。除其他规定外,替代修正案包括以下变更:

【LGPD】巴西的一般数据保护法/Lei Geral de Proteção de Dados(LGPD)-概述

Lei Geral de Proteção de Dados或英语通用数据保护法(LGPD)是规范个人数据收集和使用的法律框架。该法于2020年8月16日在巴西生效。该法由国家数据保护局(ANPD)通过并将强制执行。

LGPD不是南美洲第一部或唯一一部数据隐私法,但它可能是该地区宣传最好的一部。LGPD受到欧盟《一般数据保护条例》(GDPR)的影响,并根据GDPR的参数扩大了其在某些领域的覆盖范围。ANPD也将有助于其参数的演变。

巴西的一般数据保护法(LGPD)是什么?

《通用数据保护法》(LGPD)(葡萄牙语)是巴西的一项联邦法律,旨在统一40项现有法律,以规范个人个人数据的处理。该法案于2020年9月18日通过,并被追溯,于2020年8月16日生效。处罚于2021 8月1日生效,数据主体和公共机构可以自2020年9.18日起强制执行其权利。

LGPD由65篇文章组成。第17-22条涉及数据主体的权利,即其数据被收集和/或处理的主体,因此主要是个人或自然人。它有10个处理个人数据的法律依据,比GDPR多4个。

第2条列出了个人数据保护的法律基础:

【数据隐私】数据隐私执法行动加强

监管机构最近几天忙于对 Twitter、Meta (Facebook) 和 Clearview AI 等一些最知名的科技公司对违反数据隐私的行为采取执法行动和罚款。

虽然数据分析和包括机器学习在内的人工智能等高级分析可以改变业务结果的游戏规则,但作为客户数据的管家也有很多责任。贵组织的数据治理负责人是否有效地跟踪最近有关数据隐私的执法行动?有哪些教训值得学习?

一些备受瞩目的执法行动、和解和其他事件再次表明,企业组织需要密切关注其内部实践,以防止罚款、法律诉讼和声誉受损。

推特

Twitter 已与联邦贸易委员会达成和解,同意因违反 2011 年 FTC 禁止该公司歪曲其隐私和安全做法的命令而支付 1.5 亿美元的罚款。 Twitter 收集了有关手机号码和电子邮件地址的信息,称这些数据将仅用于 2 因素身份验证。根据 FTC 的说法,这些信息还被用于定向广告。 Twitter 将为 2 因素身份验证收集的数据与公司已经拥有的数据或从数据经纪人处获得的数据进行匹配。从 2014 年到 2019 年,超过 1.4 亿 Twitter 用户向公司提供了此类信息。

订阅 合规