ABD’de Kaliforniya geleneksel olarak mahremiyet görüşmelerine hakim olmuştur. Bu değişiyor. Artık Virginia, Colorado, Utah ve Connecticut’ta iş yapan kuruluşların hepsinin öğrenmesi ve uyması gereken yeni düzenlemeler var.
Veri ihlallerinin maliyetine yeni bir boyut ekleyen, 2023’te yürürlüğe giren yönetmelik patlaması, uyumsuz işletmelere gerçek maliyetler getirebilir. Mevcut ve gelecek mevzuat hakkında bilgi edinmek ve daha güçlü parola politikaları gibi basit ama etkili değişikliklerle işletmenizi ve kullanıcılarınızı nasıl koruyabileceğinizi öğrenmek için okumaya devam edin.
2023: Veri gizliliği yasalarının yılı
Mevzuat yavaş ilerliyor, ancak 2023’te aşağıdaki düzenlemelerin neredeyse beşinin tamamı yürürlüğe girecek ve bu da onu eyalet veri gizliliği yasaları için çok büyük bir yıl haline getiriyor. Gerekli değişiklikleri bugün uygulamaya başlayın ve gelecekte sorunlardan kaçının.
- Kaliforniya Gizlilik Hakları Yasası (CPRA): daha önce 2018’de kabul edilen Kaliforniya Tüketici Gizliliği Yasası’nda (CCPA) değişiklik yapan, 1 Ocak 2023’te kabul edildi ve 1 Temmuz 2023’te yürürlüğe girmesi gerekiyordu. Son dakika kararıyla, Kaliforniya Yüksek Mahkemesi uygulamayı 29 Mart 2024’ten önce olmayacak şekilde erteledi. CCPA hala tam olarak yürürlükte.
- Virginia Tüketici Verilerini Koruma Yasası (VCDPA): İkinci eyalet gizlilik yasası, Mart 2021’de kabul edildi ve 1 Ocak 2023’te yürürlüğe girdi.
- Connecticut Veri Gizliliği Yasası (CTDPA): Mayıs 2022’de yürürlüğe giren bu yasa, yakın zamanda, 1 Temmuz 2023’te yürürlüğe girdi.
- Colorado Gizlilik Yasası (CPA): Connecticut’a benzer şekilde, 1 Temmuz 2023’te yürürlüğe girdi. Ancak Evrensel Vazgeçme Mekanizması gerekliliği yalnızca 1 Ocak 2024’te yürürlüğe giriyor.
- Utah Tüketici Gizliliği Yasası (UCPA): Arkadan gelen bu yasa nihayet 31 Aralık 2023’te yürürlüğe giriyor. Geçecek son devlet gizlilik yasası olmasa da, UCPA uygulama tarihi hepsinin sonuncusu.
Yönetmelikler kuruluşlardan ne bekliyor?
Tüm yasalar, kuruluşlar tarafından toplanan ve kullanılan tüketici bilgilerinin korunmasına odaklanır. Ancak, yukarıdaki eyaletlerdeki işletmeler için farklı gizlilik yasalarını anlamak zordur. Çok devletli işletmeler için daha da zor.
Her düzenleme, veri toplama ve depolamaya erişme, silme ve bunlardan vazgeçme hakkı sunar. UCPA dışında neredeyse tamamı mevcut bilgileri düzeltme hakkı sunar. Çoğu yasa, eyaletler arasında değişen hassas veri tanımları ile hassas veri işlemenin devre dışı bırakılmasına izin vermez.
Neyse ki, tüm düzenlemeler genellikle hataları düzeltmek için en az 30 günlük bir tedavi süresi sunar.
Düzenlemelerdeki farklılıklar, farklı kuruluşlara nasıl uygulandıklarıdır. Çoğu, büyük hacimli tüketici verilerini işleyen daha büyük işletmeler veya kuruluşlar için geçerlidir. Kuruluşunuz için hangi veri gizliliği yasalarının geçerli olduğunu görmek için aşağıdaki tabloya bakın.
Kaliforniya (CCPA ve CPRA) |
25 milyon $ veya daha fazla brüt gelir ve en az 100.000 tüketicinin işlem verileri veya brüt gelirin en az %50’sinin veri paylaşımından veya satışından elde edilmesi. |
Virjinya (VCDPA) |
Bu, en az 100.000 tüketicinin veya 25.000 tüketicinin verilerini işleyen ve brüt gelirlerinin en az %50’sini satışlardan elde eden işletmeler için geçerlidir. |
Connecticut (CTDPA) |
Tamamen patent işlemleri hariç olmak üzere, en az 25.000 tüketicinin verilerini işleyen işletmeler ve veri satışından elde edilen brüt gelirin en az %50’si veya 100.000 tüketici için hizmet. |
Colorado (EBM) |
En az 100.000 veya 25.000 tüketicinin verilerini işleyen ve kişisel verilerin satışından gelir elde eden veya indirim alan işletmeler. |
Utah (UCPA) |
Yıllık brüt geliri 25 milyon ABD doları olan ve en az 100.000 tüketicinin verisini işleyen veya en az 25.000 tüketicinin verisini işleyen ve satışlardan en az %50 brüt gelir elde eden işletmeler. |
Bir ihlalin sonuçları
İtibar zedelenmesinin ötesinde, her gizlilik yasasının başarısızlığa bağlı gerçek parasal maliyeti vardır. Hepsi aynı olmasa da, ihlal başına cezalar Connecticut’ta 5.000 ABD Doları ile Colorado’da 20.000 ABD Doları arasında değişmektedir. Çoğu eyalette, küçük farklılıklar dışında 7.500 dolarlık sivil cezalar vardır.
Kimlik avı girişimlerinden kaynaklanan son tavizlerin birkaçtan fazla örneği var. Örnekler arasında 2022’nin sonundaki Activision İhlali veya Ocak başında bir çalışanın daha önce güvenliği ihlal edilmiş hesabını kullanarak Norton müşteri hesaplarında oturum açarak veri kaybına neden olan Norton LifeLock güvenlik ihlali sayılabilir.
BT sistemleriniz, güvenliği ihlal edilmiş kullanıcı kimlik bilgileri nedeniyle ihlal edilirse ve kullanıcı verileri çalınırsa, özellikle birden çok eyaleti kapsayan daha büyük şirketler için cezalar hızla artabilir.
Güçlü bir savunma oluşturmak, bir ihlalin itibar ve gerçek dolar maliyetlerini azaltabilir. Saldırganların çoğu, tahmin etmesi kolay parolalar veya önceden sızdırılmış kimlik bilgileri gibi kolay anlaşılır meyveler arar.
Doğal olarak işletmeler, uyumluluk yoluyla müşterilerini, kendilerini para cezalarından ve itibarlarını kötü basından en iyi şekilde nasıl koruyabileceklerini sorabilirler. Proaktif bir şirket, verilerini korumaya odaklanır.
Kendilerini korumanın en iyi yollarından biri, güçlü bir parola politikası, çok faktörlü kimlik doğrulama ve güvenliği ihlal edilmiş parolalardan kaçınmaktır.
Parola güvenliği işletmenizi ve müşterilerinizi korur
Güvenliği ihlal edilmiş parolalar, potansiyel altyapı güvenlik açıklarına ve farklı eyalet veri koruma düzenlemelerini ihlal edebilecek müşteri verilerinin kaybına yol açabilir. Koşullara bağlı olarak, uyumsuzluk, farklı eyalet veri koruma yasaları kapsamında potansiyel sorumluluk ve yüksek maliyetler anlamına gelir.
Kuruluşunuzun parolalarını güvence altına almak için iki yönlü bir yaklaşım, güvenlik açıklarını önlemede uzun bir yol kat eder.
Öncelikle, kuruluşunuz içinde kullanılan mevcut parolaları denetleyin. Specops Password Auditor, güvenliği ihlal edilmiş 940 milyondan fazla parola dahil olmak üzere Active Directory’nizi parola güvenlik açıklarına karşı tarayan ücretsiz bir yüklemedir.
Ardından, İhlal Edilmiş Parola Korumalı Specops Parola Politikası gibi bir araçla gelecekteki parola değişikliklerini güvenceye alın ve en son mevzuata uyun.
Specops Parola İlkesi, Grup İlkesi’nin işlevini genişletir, kuruluşların daha güçlü bir parola ilkesi uygulamasına, uyumluluk standartlarını karşılamasına ve bilinen 3 milyardan fazla güvenliği ihlal edilmiş parolayı engellemesine yardımcı olan kullanımı kolay bir arabirime sahiptir.
Güvenliği ihlal edilmiş parolaları engelleyerek, kuruluşunuzu olası veri ihlallerinden ve yakın zamanda çıkarılan veri gizliliği mevzuatından kaynaklanan kapsamlı para cezalarından koruyabilirsiniz.
Veri gizliliği konusunda ciddileşen daha fazla istatistik ile kuruluşunuzu güvende tutmak hiç bu kadar önemli olmamıştı.
Sponsorlu ve Specops Software tarafından yazılmıştır