來自世界各地的十大數據隱私和加密法律

身份盜竊正在上升，公司幾乎每天都會成為頭條新聞，因為有關數據洩露事件的消息。因此，隨著技術的不斷髮展和更多生命與數字世界錯綜複雜地交織在一起，對隱私和保護個人信息的擔憂正在成為焦點。這些問題經常出現在數據保護法和隱私法規中。

注意：我們只是涉及這些法律的加密和數據保護方面。這些法律涉及的信息要多得多。有關更深入的信息，應直接瞭解法律或與法律專業人士討論這些法律如何適用於組織和行業。

以下是應該瞭解的10條加密法律或法規。他們都很重要，保護用戶的數據和隱私在世界各地發揮重要作用。

2018年加州消費者隱私法案 - 美國

此加密法適用於哪些人：

該法律適用於與加州客戶和/或其個人數據打交道的組織。一些小公司是免稅的，因為它只適用於以下任何一個組織：

· 分享至少50,000名消費者的個人信息

· 總收入超過2500萬美元

· 通過銷售消費者的個人信息獲得其年收入的50％或更多

它需要什麼：

該法律規定，不加密數據或忽視使用“合理安全程序”的公司可能會被數據受損的消費者起訴。

你應該做什麼：

無論業務位於何處，如果處理加利福尼亞州的數據，應該確保：

· 通過使用傳輸中加密（例如，SSL）和靜態加密來加密所有私有數據。

· 採用合理的安全最佳實踐來保護您擁有的所有非公開數據。

細節：

2018年“加利福尼亞州消費者隱私法”（CCPA）是一項旨在保護美國加利福尼亞州消費者隱私權的立法。該法案是在歐盟通用數據保護條例（GDPR）制定之後產生的。

加密法的目的是：

為加利福尼亞州的消費者提供使用其信息的方式和方式的權利，並讓企業對違反信息的信息負責。

要求企業披露加州消費者個人信息的任何銷售情況，在消費者要求時停止銷售個人信息，並採取“合理步驟”來保護信息。

防止企業歧視加利福尼亞州的消費者，他們要求提供有關如何收集或出售其信息的信息，或拒絕允許企業出售其信息的信息。

作為這些要求的一部分，該法案規定加州消費者的個人信息必須受到保護。根據第1798.150節：

“任何未加密或未編輯的個人信息，如第1798.81.5節（d）段第（1）項（A）項所定義的任何消費者，均可受到未經授權的訪問和洩露，盜竊或披露。企業違反實施和維護合理的安全程序和做法的義務，這些程序和做法適合於保護個人信息的信息性質，可能會提起民事訴訟......“

雖然它沒有指定任何特定的安全方法，但它至少暗示應該使用加密來幫助保護信息。然而，重要的是要注意，不遵守這一規定可能會對每次違規行為處以高達2,500美元的罰款和民事罰款，或者每次故意違規行為將罰款7,500美元。

數據保護條例 - 丹麥

此加密法適用於哪些人：

此數據隱私法規適用於通過電子郵件處理機密和敏感個人數據的任何公共機構以及私人公司和組織。

它需要什麼：

該法規規定，在通過開放式網絡（如互聯網）通過電子郵件傳輸機密和敏感信息時，必須使用加密。

你應該做什麼：

· 只要組織處理敏感的個人數據，就需要確保加密信息。這需要評估組織，以確定哪種加密方法最適合的特定需求。

這可以包括使用：

· 使用傳輸中加密（例如，SSL）加密所有敏感的私有數據。

· 使用端到端加密（例如S / MIME，PGP和將在下面討論的其他方法）加密此類敏感信息。

細節：

丹麥的數據保護局對電子郵件安全非常認真。數據監察局是監測數據保護合規性的國家中央獨立機構，它要求在2019年1月開始對包含個人數據的所有電子郵件使用電子郵件加密。數據保護條例規定，此保護措施需要用於包含敏感信息的所有郵件信息類型。

根據官方通知：

“數據保護局已決定在私營部門通過電子郵件傳播機密和敏感個人數據方面加強實踐。因此，數據監察局的意見是，對於公共和私人行為者而言，通常是一種適當的安全措施，在通過互聯網通過電子郵件傳輸機密和敏感的個人數據時使用加密。

為了實現端到端加密，Data Inspectorate概述了組織可以使用各種加密方法，例如相當好的隱私（PGP），NemID（丹麥的公共自助服務登錄解決方案，在線銀行解決方案等），以及安全/多用途互聯網郵件擴展（S / MIME），或電子郵件簽名和加密證書。

歐洲銀行管理局 - 歐洲銀行 - 歐盟

此加密法適用於哪些人：

該法適用於：

· 歐盟28個成員國的所有“主管當局”，

· 處理互聯網支付服務的歐盟金融機構

· 存儲，處理或傳輸敏感支付數據的第三方電子商戶。

它需要什麼：

該法規規定，必須由確保“安全，端到端加密”的金融機構實施最低安全要求。

你應該做什麼：

無論是金融機構還是處理付款數據的電子商戶，

您都必須確保：

· 正在加密所有可識別和驗證客戶的敏感數據。

· 處理或處理敏感支付數據的任何電子商戶都不會存儲它，者，如果它們存在，它們“有必要的措施來保護這些數據”。

細節：

歐洲銀行管理局（EBA）針對互聯網支付服務和支付服務提供商（PSP）的義務，為金融機構制定了一系列最低安全規定。該文件稱為“互聯網支付安全最終指南”，不影響歐洲中央銀行“互聯網支付安全建議”的有效性。此數據安全法規涵蓋的互聯網支付服務包括：

卡片在互聯網上執行卡片支付，包括虛擬卡支付，以及用於“錢包解決方案”的卡片支付數據的註冊。

信用轉賬——在互聯網上執行信用轉賬（CT）。

電子授權——直接借記電子授權的發佈和修訂; 電子貨幣，通過互聯網在兩個電子貨幣賬戶之間轉移電子貨幣。

是否知道所有歐洲銀行都需要使用擴展驗證（EV）SSL證書？不，我們不是因為SSL Store™碰巧賣掉它們而不是這麼做的。在第4.2節（風險控制和緩解）中，指南規定限制使用虛假網站，“提供互聯網支付服務的交易網站應通過PSP名稱或其他類似認證方法制定的擴展驗證證書來識別。”

考慮到最近Sectigo的一項研究顯示25％的歐洲銀行缺乏EV（儘管其中一些機構可能位於不屬於歐盟的國家），這一點尤為有趣。

在第11節（敏感支付數據的保護）中，指南規定，任何用於識別和驗證客戶的數據都應妥善保護，以防盜竊和未經授權的訪問或修改。

第11.2節還規定：

“PSP應確保在通過互聯網交換敏感數據時，在整個相應通信會話期間在通信方之間應用安全的端到端加密，以便使用強大且廣泛認可的加密來保護數據的機密性和完整性技術“。

這些類型的數據隱私法規還擴展到存儲，處理或傳輸敏感支付數據的第三方電子商務：

“如果電子商務處理，即存儲，處理或傳輸敏感支付數據，此類PSP應合同要求電子商家採取必要措施來保護這些數據。PSP應進行定期檢查，如果PSP發現處理敏感支付數據的電子商務沒有采取必要的安全措施，則應採取措施強制執行此合同義務或終止合同。

當EBA法規於2014年最終確定時，所有歐盟金融機構都將有兩個月的時間來遵守指南或通知EBA他們不遵守的原因。考慮到現在是2019年，每個人都應該遵守這些指導原則。

支付卡行業數據安全標準 - 全球

這些加密標準適用於誰：

這些標準幾乎適用於處理支付卡數據的任何實體或組織，包括金融機構，商家和服務提供商。如果銀行帳號是主帳號（PAN）或包含PAN數字，則這些標準也適用。

他們需要什麼：

這些標準要求不加密數據並採用適當安全程序的公司可能會受到支付卡品牌定義的罰款和處罰。PCI安全標準委員會（PCI SSC）本身不會對違規行為施加後果，罰款或處罰。

你應該做什麼：

由於這些標準是由全球委員會發布的，如果您的企業處理，處理或存儲支付卡數據，您應該確保：

· 使用加密和其他方法使某些信息不可讀，包括靜態數據和傳輸加密方法中的數據。

· 實施適當的政策，流程和程序，以保護您擁有的所有支付卡數據。

細節：

如果是一個處理，傳輸或存儲支付卡數據的組織、借記卡和信用卡，那麼至少熟悉支付卡行業數據安全標準（PCI DSS）v3.2.1。該標準對於幫助保護持卡人和整個支付卡生態系統至關重要。

最新版本的PCI DSS旨在提供補充指導，而不是取代，替換或擴展任何支付卡行業安全標準委員會（PCI SSC）標準中的要求。與我們列表中的許多其他加密法律和法規一樣，它也不支持使用任何特定技術，產品或服務。

PCI DSS規定，支付卡處理中涉及的所有實體必須保護開放的公共網絡上的數據存儲和傳輸。要求3和4分別提供了指導

保護存儲的持卡人數據：

· 通過保留和處置政策，流程和程序;

· 通過使某些類型的信息不可讀;

· 通過使用磁盤加密或列級數據庫加密; 和

· 加密開放的公共網絡（包括互聯網，無線技術，蜂窩技術，通用分組無線電服務和衛星通信）上的持卡人數據傳輸。

· 該支付卡行業安全標準委員會，一個全球論壇，是權威負責這些行業標準的制定。但是，他們不負責強制遵守這些規定，這取決於五大支付卡品牌：

美國運通， 發現， JCB國際， 萬事達卡，和 簽證。

PCI SSC還發布了許多其他PCI標準和資源，

包括PCI 3-D（PCI 3DS）SDK安全標準和支付卡行業點對點加密（PCI P2PE）標準。這些文檔提供了有關軟件開發工具包和點對點產品的安全要求，評估程序和過程的其他指導。目前P2PE的行業標準是PCI點對點加密v2.0。

下一版標準PCI P2PE v3.0預計將於2019年第四季度至2020年第一季度發佈。

在粒度級別上，可以涵蓋有關PCI DSS和其他PCI相關標準的更多內容。但是，我們只有這麼多時間（到目前為止我們已經花了很多時間！）。所以，現在，我們將繼續討論來自Great White North的加密法。

“個人信息保護和電子文件法” - 加拿大

此加密法適用於哪些人：

該法適用於處理加拿大消費者個人商業活動數據的私營部門組織。這包括在國內運營但擁有跨越所有省或國家邊界的個人數據的企業 - 除了完全在以下地區運營的組織：

阿爾伯塔 不列顛哥倫比亞省 魁北克。

該法律不適用於不從事商業，營利性活動的組織。

它需要什麼：

法律規定，個人和加拿大隱私專員辦公室（OPC）可以對未按規定使用收集的個人數據的公司提出投訴，或實施適當的安全保障措施。隨後調查的結果可能導致對組織的費用和處罰。

你應該做什麼：

如果企業出於商業目的處理加拿大消費者的個人數據，您應該確保：

· 僅將消費者的個人信息用於收集的特定目的。

· 實施適合信息敏感性的安全保護措施，其中應包括加密。

細節：

加拿大有自己的數據隱私法規：例如“ 個人信息保護和電子文件法”（PIPEDA）。該聯邦隱私法適用於私營部門組織，並概述了企業在商業活動過程中必須如何處理個人信息。雖然這是加拿大的法律，但它也適用於在國內運營並處理跨越省或國界的個人數據的企業。

與GDPR非常相似，法律規定一個人的個人信息只能用於收集的目的，因此公司不能說他們只收集服務相關功能的信息然後轉身使用聯繫人用於營銷目的的信息。相反，他們必須再次獲得同意，同時指定信息將用於該新目的。法律還規定，人們有權訪問其個人信息並質疑其準確性。

所有在PIPEDA下運營的企業都必須遵循10項公平信息原則： 問責制、確定目的、同意、限制收集、限制使用，披露和保留、準確性、保障、透明度、個人訪問、挑戰合規性、貫穿這一密集且措辭奇怪的規則是“通過適合信息敏感性的安全保護來保護信息......”這一條款雖然法規沒有規定特定的保護措施，這可能是由於技術的不斷變化而設計的，可能需要使用加密，防火牆和安全補丁。

不遵守規定應該是受保護組織的關注點。正如全球新聞報道：

“如果聯邦政府決定起訴一個案件，那麼如果個人受到安全漏洞的影響，未能報告可能造成重大損害的行為可能會使私營部門組織面臨高達10萬美元的罰款。”

這些加密法律對您意味著什麼

正如我們在開始時所說，根據行業或地點，其中一些法律可能不適用於的業務。但是，重要的是要知道哪些是有效的，因為一些加密法律和法規，如GDPR和PCI DSS，具有深遠意義，適用於超出其地理邊界的組織。例如，GDPR適用於歐盟內外處理歐盟公民個人信息的組織，PCI DSS幾乎適用於任何處理信用卡付款的人。

可以做些什麼來提高數據安全性？一般而言，有一些保護方法應該全面實施（無論行業或地點），以符合數據隱私和加密法律：

使用SSL / TLS保護傳輸中的數據

當通過互聯網等開放式網絡傳輸信息時，無法控制信息在此過程中將通過哪些服務器和設備。這就是為什麼組織內的所有內容都必須通過網站使用安全的加密連接。

沒有辦法解決這個問題：如果在網站上處理敏感數據的傳輸，例如消費者的個人和財務信息，則需要使用安全的加密協議（HTTPS）。這意味著使用SSL / TLS（安全套接字層/傳輸層安全性）證書。HTTP不安全（即使谷歌也這麼說），並使網站及其訪問者容易受到攻擊。

當在自己的網站上使用SSL時，它會通過顯示掛鎖來向網站訪問者保證，該掛鎖表明該網站是安全的。