RELATEED CONSULTING
免费使用
下列产品全部免费使用
服务时间:9:30-18:00
你可能遇到了下面的问题
关闭右侧工具栏
不管是否准备好,呼叫所有零售商,ccpa正在路上
  • 发表时间:2020-08-23 22:02
  • 来源:数度域

离加州消费者隐私法案生效只有几个月了。这项规定给加州居民带来了隐私权,让他们可以控制自己的个人信息以及公司如何使用这些信息。

任何出售给加州居民的业务都需要符合ccpa。例如,如果马萨诸塞州的一家商店有一个电子商务网站,并向居住在加利福尼亚的人销售,那么该零售商及其在线合作伙伴都需要符合ccpa。

如今,几乎每个实体商店都有一个电子商务网站,网上购物总体上呈上升趋势。根据big commerce的数据,96%的美国人至少进行过一次网上购物。

根据statista的数据,去年美国实体商品的网上零售总额超过了5000亿美元,预计2023年这一数字将超过7400亿美元。

满足特定门槛的零售商需要认识到2020年1月1日ccpa对他们意味着什么。那些忽视了解情况的人可能会发现自己为此付出了代价:每次违规2,500美元,或者每次故意违规7,500美元。

[/h/

ccpa于2018年6月下旬推出,旨在赋予加州消费者隐私权。该州的永久居民有权知道关于他们的个人信息被收集了什么,以及这些信息是如何被使用的。他们可以要求删除它,并最终阻止公司收集有关他们的任何进一步数据。

尽管经常与一般数据保护条例——欧洲公民数据保护和隐私法——相比较,但ccpa的立法与欧洲立法有不同的内容。

与所有形式的数据处理相比,ccpa更加注重数据的商业用途;ccpa也在“选择退出”的基础上运作,而gdpr的同意需要个人的“选择加入”。

ccpa对电子商务的潜在影响

虽然ccpa是为所有业务类型设计的,但零售商在监管方面面临许多挑战。自2018年初以来,至少有19家零售商和消费者公司遭到黑客攻击------------------------------------------------------------------2018年4月,梅西百货公司和萨克斯第五大道百货公司和洛德&泰勒百货公司(lord & taylor)也在不同的事件中被偷了信息。

这些违规行为中有许多来自黑客利用的第三方支付系统。shape security的一份报告发现,事实上,登录零售商电子商务网站的人中有80-90%是使用被盗数据的黑客。

不管是谁对这一违规行为负责,消费者都会留下不好的印象。对毕马威调查做出回应的消费者中,有19%的人表示,即使该公司采取了必要的措施来解决问题,他们也会停止在网络安全遭到破坏的零售商那里购物。

ccpa将影响为加州居民处理任何类型数据的大小企业。如果企业达到以下阈值,则必须遵守ccpa:

  • 年收入总额为2500万美元——ccpa没有明确规定只能在加州产生收入;
  • 每年从50,000或更多加州居民、家庭或设备收集个人信息;
  • 从出售加州居民的个人信息中获得50%或更多的年收入。
  • 除非你的公司是像沃尔玛这样的大型零售商,否则你很可能没有一个成熟的it部门。在大多数情况下,小型精品零售商可能会外包并与第三方公司合作,以满足营销、履行、交付等多种需求,或者他们在云中工作。数据看似“无处不在”,这给了不良行为者一个进入并获取数据的绝佳途径。

    目前,该条例在保护方法和身份识别概念(使信息不再属于个人消费者或家庭)方面缺乏明确性。

    此外,法律规定“个人信息”不包括联邦、州或地方政府记录中可合法获取的“公开信息”。然而,法院如何解释“个人”和“公共”信息仍有待观察。

    如果你仔细想想,零售商从购物者那里获得的几乎所有信息都可以被认为是个人信息:消费者的购买历史、家庭收入、邮寄地址、ip地址等等。

    另一项令整个安全界侧目的监管措施是,有义务的企业有“义务”维护与其数据敏感性相称的“合理的安全程序和做法”。

    由于“监管者眼中的合理安全程序和做法”仍有待解释,因此可以用多种方式分析这究竟意味着什么。

    零售商现在应该做什么?

    首先也是最重要的,零售商应该指定一个人专门处理和管理ccpa合规性(以及整体安全性)的角色。即使对一个小供应商来说,在新的一年的第一天,找一个合适的人将确保平稳过渡。

    零售商或电子商务网站面临的最大威胁可能是安全漏洞。关键是能够通过实施一流的数据安全措施来降低这种风险。使用防病毒、反间谍软件或加密工具有助于减轻数据安全负担。

    设备级端点保护+基于网络服务器的安全软件

    有一种流行的误解,认为通过限制员工访问虚拟专用网络上的公司应用程序,您就不必在员工的设备上安装防病毒保护。

    尽管vpn对在线数据流进行加密,包括可以通过公司应用程序访问的个人身份信息,但它不能防止设备用户意外下载恶意软件。

    在理想情况下,组织中的每个员工都应该具备识别常见攻击媒介(如网络钓鱼诈骗)的技术素养,但这根本不是现实。

    防病毒和反间谍软件为抵御可能导致数据泄露的恶意网络威胁提供了第一道防线。它们易于实现且价格昂贵,并且它们会自动更新,只需要最少的手动维护。

    数字风险管理+治理、风险和合规措施

    通过数字风险管理和治理、风险和法规遵从性解决方案,组织可以通过将其法规遵从性活动整合到一个集中的数字平台或存储库中来简化其法规遵从性计划。

    许多组织已经采购了drm和grc解决方案,以应对既定的合规性法规,如sarbanes-oxley、glba和hipaa,但是随着更广泛的合规性法律(如gdpr和ccpa)的出现,这些解决方案变得越来越受欢迎。

    虽然drm和grc解决方案的一些要素是自动化的,但许多监督和监控职责仍然是以人为主导的,这意味着组织必须雇佣专家来执行这项工作,或者将其外包给第三方合作伙伴。

    drm和grc允许公司调整it和业务目标,同时满足合规性要求。更容易证明遵守了任何数据安全法规,因为审计人员可以快速提取合规活动日志。

    静态加密+动态加密

    运动中的数据加密已经成为理所当然的事情,安全套接字层证书和vpn几乎是运行现代企业的先决条件。

    虽然ssl和vpn加密动态数据,但这些措施不会加密静态数据。加密静态数据是一个棘手的问题,因为存储敏感数据的物理设备默认情况下不会加密。

    为了对存储在物理设备上的数据实现静态加密,企业需要实施全磁盘加密软件解决方案。至于存储在云上的静态敏感数据,许多云存储服务,如谷歌云平台和亚马逊网络服务,默认提供静态加密服务。

    这些服务的缺点是加密(云存储供应商)可以访问和读取您的数据。加密措施成本低,相对容易实施。如果被盗,加密数据将无法恢复,并且无法被恶意行为者使用。

    假名化+匿名化

    为了充分利用其数据的分析潜力,同时保护其中包含的pii,组织需要实施数据身份验证解决方案。

    匿名化是一种数据去识别方法,它将非敏感数据保持在自然状态,同时对所有pii实例进行加扰。由于个人身份信息被不可挽回地销毁,匿名化被认为是最强有力的去识别形式。

    假名化是一种数据去识别方法,它用人工标识符或假名来代替数据集中的pii,这些标识符或假名只能由识别密钥的持有者来反转。

    由于假名是可逆的,组织可以在生产环境中继续使用他们的pii,同时保护它。标记化被认为是最强大的假名化形式。

    数据去识别是唯一的数据安全措施,允许组织在数据生命周期的所有状态下保护数据,包括在各种生产环境中处理数据时。

    假名化解决方案(如令牌化)更进一步,使pii完全受到保护,但它们在生产环境中运行(匿名化使pii无法运行)。

    最后,令牌化数据具有更高的性能,数据库和应用程序可以比加密数据更快地处理这些数据。

    闭幕

    根据全国零售联合会的数据,零售业是推动美国经济的最大私营部门雇主。

    在整个行业范围内,在线销售额占所有零售销售额的10%。虽然加州人现在有了更好的隐私权,但从1月1日起,全国各地的零售商(实体店和电子商务)将需要实施变革以符合规定。

    将一个角色奉献给安全是开始这个过程的一种方式,并且实现某些安全措施将帮助承担该角色的人获得成功。看看ccpa如何发展将会很有趣,但是网上购物狂野西部肯定会有相当大的变化。

    不管是否准备好,呼叫所有零售商,ccpa正在路上 相关的文章:

  • 消费者已经准备好接受“未来”支付技术
  • 营销人员是否低估了他们在2018年的竞争?