跳转到主要内容

【PCI DSS合规】您在PCI DSS合规性方面失败的真正原因

十多年来,组织一直在努力实现和维护PCI DSS合规性。问题不在于知识或技术;这是熟练程度。

九年来,Verizon发布了关于支付卡行业数据安全标准(PCI DSS)合规状况的年度支付安全报告。九年来,模式一直保持不变:许多公司不遵守标准,许多遵守标准的公司在审计后不久就不遵守标准。IT组织不会因为缺乏知识或技术而与PCI DSS法规遵从性斗争;问题在于熟练程度。

自2013年以来,该报告的主要作者、Verizon企业解决方案全球安全保障咨询高级经理西斯克·范·奥斯滕(Ciske van Oosten)表示:“熟练是主要主题。”。“有了10年的数据泄露调查报告,您开始认识到模式。”

“这不是一个知识问题,”van Oosten补充道。“那里有丰富的知识。人们几乎被淹没了。这不是真正的技术失败。而是真正的熟练程度:自信、技能和经验。”

PCI DSS合规性状态

在今年早些时候发布的2017年报告中,威瑞森发现,全球企业的整体合规性有所提高-威瑞森评估的企业中,55.4%在2016年通过了中期评估,高于2015年的48.4%。但这意味着,近一半的零售商、餐馆、,酒店和其他接受信用卡支付的企业每年都未能保持合规性。

【美国Cookie合规】美国:加利福尼亚州、弗吉尼亚州、犹他州、科罗拉多州和康涅狄格州的Cookie法规-朝着和谐的方向发展

随着弗吉尼亚州、犹他州、科罗拉多州、加利福尼亚州和康涅狄格州最近都颁布了全面的隐私立法,隐私和消费者数据保护法在美国各地不断上升。这些法律的颁布意味着美国的数据控制者面临新的义务,而消费者则欢迎他们提高数据保护权,以更好地保护消费者隐私。

《2020年加州隐私权法案》(“CPRA”)和《弗吉尼亚州消费者数据保护法案》(“CDPA”)将于2023年1月1日生效,虽然科罗拉多州参议院法案21-190《科罗拉多州隐私法案》(“CPA”)和《康涅狄格州个人数据隐私和在线监控法案》(“CTDPA”)将于2023年7月1日生效,而《犹他州消费者隐私法案》(“《UCPA》”)将于2022年12月31日生效。尽管上述法律并未明确提及Cookie的使用,他们的许多强制性要求影响了组织对Cookie的尊重。

在这篇深入的文章中,我们考察了弗吉尼亚州、犹他州、科罗拉多州、加利福尼亚州和康涅狄格州的隐私法在Cookie方面的趋同和分歧,以期制定出一种协调一致的合规方法。

【美国CPPA】加利福尼亚州:CPPA拟议条例草案——您需要了解的内容

2022年4月21日,《2018年加州消费者隐私法》(“CCPA”)下的规则制定权已正式移交给加州隐私保护局(“CPPA”)。此后不久,在2022年5月5日,现有CCPA最终法规被转移到《加利福尼亚州法规》第11篇第6部分,将其纳入《法规》的一部分,由CPPA管辖。最后,在2022年5月27日,CPPA宣布将于2022年6月8日召开董事会会议,除其他事项外,将讨论其在CCPA下的拟议条例草案(“CPPA拟议条例草案”),该草案与会议通知和议程一起发布。

在本文中,OneTrust数据指南概述了CPPA拟议条例草案、与原始CCPA最终条例相比的关键添加和删除,以及企业下一步可以预期的内容。

关键补充

新的CPPA拟议条例草案涉及多个关键领域,其中包括透明度和通知、消费者权利、服务提供商和第三方合同相关事宜,以及对财务激励等其他主题的澄清。然而,值得注意的是,这套CPPA拟议条例草案只是预期的一套条例中的一套。除其他一些主题外,预计还将对进一步的主题(如数据保护影响评估、自动处理和分析)制定更多法规。

【全球隐私法比较】国际:比较美国ADPPA与澳大利亚隐私法

《美国数据隐私和保护法案1》(“ADPPA”)虽然仍在审查中,但与现有隐私立法有许多相似之处,包括澳大利亚1988年隐私法案(“隐私法案”)。来自Sainty Law的Katherine Sainty和Aisling Hamilton介绍了ADPA的一些主要特征,以及ADPA与隐私法的比较。

什么是ADPPA?

ADPPA是一项隐私法案草案,如果获得通过,将赋予美国公民前所未有的数据隐私权。这是一项综合性法案,创建了一个框架,为个人提供更大的隐私保护,并限制实体收集、访问和使用个人数据的方式。

ADPPA是第一个旨在保护美国数据和隐私的主要联邦框架,它代表了一个重要的妥协,因为它得到了民主党和共和党的支持。

ADPA涵盖什么和谁?

ADPA保护覆盖数据“覆盖数据”定义为:

“识别或链接或合理链接到个人或设备的信息,该设备识别或链接到一个或多个个人,包括衍生数据和唯一标识符。”。

覆盖数据特别不包括未识别数据、员工数据和公开可用信息,这些数据在ADPA中分别定义。

【美国ADPPA】美国:ADPA允许的加工目的

《美国数据隐私和保护法案1》(“ADPPA”)如果获得通过,将成为第一个联邦综合数据隐私法案。ADPPA旨在为个人提供特定权利,如同意和反对的权利,加强对儿童和未成年人的保护,并为涵盖实体引入了一系列义务,包括数据最小化和个人数据收集、处理和传输的法律基础。2022年7月20日,众议院能源和商务委员会批准了ADPA,并进行了一些修正,如让加州隐私保护局(“CPPA”)负责在加州执行ADPA,以及将小企业排除在私人行动之外。在公布之时,ADPPA正在接受众议院全体成员的审查,如果获得通过,将随后提交参议院。Maynard Cooper&Gale,LLP的股东Starr Drum概述了ADPA下的数据处理,重点介绍了17个许可目的和同意的作用。

ADPPA下的处理

根据ADPPA§101的数据最小化要求,受保护实体不得处理受保护个人数据,除非处理仅限于提供或维护受保护数据被处理的个人所要求的特定产品或服务的“合理必要和比例”。联邦贸易委员会(Federal Trade Commission)的任务是发布关于“合理必要和相称”的指导意见。ADPPA还允许处理,以实现其他17个列举目的之一:

【CTDPA】康涅狄格州:分析CTDPA

2022年5月10日,康涅狄格州州长内德·拉蒙特签署了参议院法案6《康涅狄克州数据隐私法案》(“CTDPA”),康涅狄格州成为第五个颁布广泛消费者数据隐私立法的州。Husch Blackwell LLP的David M.Stauss和Shelby E.Dolen概述了CTDPA,并将该法案与加利福尼亚、科罗拉多、弗吉尼亚和犹他州的其他州隐私法进行了比较。

涵盖哪些实体?

CTDPA适用于在康涅狄格州开展业务或生产针对康涅狄克州居民的产品或服务的人员,且在上一日历年期间,(1)控制或处理了不少于100000名消费者的个人数据,不包括仅为完成支付交易而控制或处理的个人数据,或(2)控制或处理不少于25000名消费者的个人数据并从个人数据销售中获得超过其总收入25%的个人数据。CTDPA将“消费者”定义为康涅狄格州居民,不从事商业或就业活动。

当该法案的发起人参议员詹姆斯·马罗尼(James Maroney)最初提出该法案时,该法案将消费者门槛设定为65000人,而不是100000人,这反映出康涅狄格州的居民数量少于科罗拉多州和弗吉尼亚州。然而,为了容纳小企业,门槛最终被提高到10万。

【美国数据隐私立法】《美国数据隐私和保护法》:美国第一部联邦隐私法

美国公民很快就能对他们的数据拥有更多的控制权。

在罗伊诉韦德案失败后,对女性在线健康数据安全的新担忧在全国蔓延。此外,尽管隐私倡导者正在敦促放弃时段追踪应用程序,并使用最好的VPN服务确保在线匿名,但立法者正忙于起草一项新的立法,旨在更好地保护所有美国公民的隐私。

在一项罕见的两党合作中,美国数据隐私和保护法案(ADPPA)旨在让互联网用户对其个人数据拥有更多控制权。与自2018年以来受到GDPR保护的欧洲人民不同,《ADPPA》将成为美国第一部全面的联邦隐私法。目前,只有少数几个州实施自己的法规。

然而,雄心勃勃的目标带来了巨大的责任和负担。而且,如果一些评论员对拟议法律的当前版本感到满意,其他人则认为这还不够-只是还不够。

让我们仔细看看ADPA如何保护美国互联网用户。

什么是ADPPA?

如上所述,《美国数据隐私和保护法》(ADPPA)(在新选项卡中打开)标志着一项里程碑式的成就。这是因为-如果它成为法律-它将是美国第一部全面的联邦隐私法,以对比目前保护互联网用户的零散局面。

【数据跨境传输】挪威希望Facebook因非法数据传输被罚款

欧洲监管机构正在敲定一项阻止Meta向美国传输数据的决定。

挪威数据保护局告诉其同行监管机构,Facebook所有者Meta Platform应因继续将欧洲人的个人信息发送到美国而被罚款,这违反了一项具有里程碑意义的欧盟法院裁决。

挪威权威机构Datatilsynet在POLITICO根据信息自由法获得的一份部分修订的文件中表示,如果监管机构不对这家美国科技巨头处以罚款,那么“按照欧盟数据传输法行事的动机将很小,甚至没有”。

爱尔兰数据保护委员会(Irish Data Protection Commission)于7月发布了一项决定草案,命令Meta停止使用一种称为标准合同条款(SCC)的法律工具,在大西洋彼岸传输数据-从家庭照片到工资单信息,该局是为数不多的欧洲监管机构之一。

爱尔兰的决定草案实施了2020年的一项法院裁决,欧洲法院在该裁决中否决了欧盟与美国之间的一项名为“隐私保护”的数据传输协议,并加强了使用其他数据传输机制(如SCCs)的要求,因为这些机制将使欧洲人受到美国的侵入性监视。

【CCPA】您需要了解的有关 CCPA 的一切不出售规则

虽然消费者隐私法传统上在美国很少见,但加州消费者保护法 (CCPA) 以美国最严格的消费者隐私规则颠覆了这一范式,为其他州效仿奠定了基础。 CCPA 的通过赋予了加州居民几项新的数字权利,其中最主要的是有权出于营销目的选择不出售其信息。这被称为“不出售规则”。该规则保护用户的数据不会被科技公司出售和使用,它为加州居民保护他们的数据提供了法律依据。

什么是不卖规则?

禁止出售规则,也称为禁止出售要求,是 CCPA 的一项规定,赋予消费者选择不出售个人信息的权利。这意味着任何在加利福尼亚开展业务的组织都必须为消费者提供一个页面,让他们选择不出售他们的信息。此页面称为“请勿出售我的信息”页面。如果企业以任何方式出售消费者数据,则该页面必须在其网站上易于访问;这通常放置在页面的底部,该网站的所有其他链接都位于该页面的底部。

GDPR 执法行动同比增长 70%。获取报告。

要满足“不销售规则”还有其他特定要求。一些要求包括:

【ADPPA】美国:ADPPA允许的加工目的

《美国数据隐私和保护法案1》(“ADPPA”)如果获得通过,将成为第一个联邦综合数据隐私法案。ADPPA旨在为个人提供特定权利,如同意和反对的权利,加强对儿童和未成年人的保护,并为涵盖实体引入了一系列义务,包括数据最小化和个人数据收集、处理和传输的法律基础。2022年7月20日,众议院能源和商务委员会批准了ADPA,并进行了一些修正,如让加州隐私保护局(“CPPA”)负责在加州执行ADPA,以及将小企业排除在私人行动之外。在公布之时,ADPPA正在接受众议院全体成员的审查,如果获得通过,将随后提交参议院。Maynard Cooper&Gale,LLP的股东Starr Drum概述了ADPA下的数据处理,重点介绍了17个许可目的和同意的作用。

ADPPA下的处理

根据ADPPA§101的数据最小化要求,受保护实体不得处理受保护个人数据,除非处理仅限于提供或维护受保护数据被处理的个人所要求的特定产品或服务的“合理必要和比例”。联邦贸易委员会(Federal Trade Commission)的任务是发布关于“合理必要和相称”的指导意见。ADPPA还允许处理,以实现其他17个列举目的之一:

订阅 美国