Seguridad

Llamando a todos los minoristas: listos o no, CCPA está en camino

Estamos a solo unos meses de la entrada en vigor de la Ley de Privacidad del Consumidor de California. El estatuto otorga a los residentes de California el derecho a la privacidad y les da control sobre su información personal y cómo la usan las empresas.

Cualquier negocio que venda productos a los residentes de California debe cumplir con la CCPA. Por ejemplo, si una tienda en Massachusetts tiene un sitio web de comercio electrónico y vende a personas que viven en California, tanto el minorista como su contraparte en línea están sujetos a la CCPA.

Casi todas las tiendas físicas ahora tienen un sitio web de comercio electrónico, y las compras en línea en general están en aumento.El noventa y seis por ciento de los estadounidenses han hecho al menos una compra en líneasegún Gran Comercio.

Ventas minoristas en línea de bienes físicos en EE. UU. Más de $ 500 mil millones el año pasadode acuerdo a estadísticouna cifra proyectada para superar los $ 740 mil millones para 2023.

Los minoristas que alcanzan ciertos umbrales deben darse cuenta de lo que significa para ellos la CCPA del 1 de enero de 2020. Aquellos que se niegan a saber pueden terminar pagando el precio: $2,500 por infracción o $7,500 por infracción deliberada.

Pensando en CCPA

La CCPA se introdujo a finales de junio de 2018 para otorgar derechos de privacidad a los consumidores de California. Los residentes permanentes del estado tienen derecho a saber qué información personal se recopila sobre ellos y cómo se utiliza esa información. Pueden solicitar que se elimine y, en última instancia, evitar que la empresa recopile más datos sobre ellos.

Aunque a menudo se compara con el Reglamento general de protección de datos (la ley europea sobre la protección y privacidad de los datos de los ciudadanos), la legislación de la CCPA tiene elementos diferentes en comparación con sus contrapartes europeas.

La CCPA se enfoca más en el uso comercial de los datos que en todas las formas de procesamiento de datos; la CCPA también opera sobre una base de «exclusión voluntaria», mientras que el consentimiento de GDPR requiere la «opción voluntaria» individual.

Impacto potencial de la CCPA en el comercio electrónico

Si bien la CCPA está diseñada para todo tipo de negocios, los minoristas enfrentan muchos desafíos regulatorios. Al menos 19 minoristas y empresas de bienes de consumo han sido pirateadas desde principios de 2018.Poshmark agosto de 2019; macy’s Y, en otro evento,Saks Fifth Avenue y Lord & Taylor abril de 2018, por nombrar algunos, y es posible que les hayan robado información.

Muchas de estas infracciones provinieron de sistemas de pago de terceros explotados por piratas informáticos.De hecho, el 80-90% de las personas que inician sesión en el sitio de comercio electrónico de un minorista son Los piratas utilizan datos robadosse encontró un informe de Shape Security.

No importa quién sea el responsable de la violación, dejará un mal sabor de boca en los consumidores.El 19% de los consumidores encuestados por KPMG dijeron que dejará de comprar En un minorista hubo una brecha de seguridad cibernética, a pesar de que la empresa tomó las medidas necesarias para remediar el problema.

La CCPA afectará a las empresas grandes y pequeñas que procesan cualquier tipo de datos para los residentes de California. Una empresa debe cumplir con la CCPA si cumple con los siguientes umbrales:

  • Ingreso bruto anual de $25 millones: la CCPA no requiere que los ingresos se generen únicamente en California;
  • Recolectar información personal de 50,000 o más residentes, hogares o dispositivos de California cada año;
  • Obtenga el 50% o más de los ingresos anuales de la venta de información personal de los residentes de California.

A menos que su empresa sea un gran minorista como Wal-Mart, probablemente no tenga un departamento de TI completo. En la mayoría de los casos, los pequeños minoristas boutique pueden subcontratar y asociarse con empresas de terceros para marketing, cumplimiento, entrega, etc., o trabajan en la nube. Tener datos aparentemente «en todas partes» proporciona a los malos actores la vía perfecta para ingresar y obtenerlos.

Las regulaciones actuales carecen de claridad con respecto a los métodos de protección y el concepto de desidentificación (para que la información ya no pertenezca a los consumidores individuales oa los hogares).

“Además, la ley establece que la ‘información personal’ no incluye la información ‘disponible públicamente’ obtenida legalmente en los registros del gobierno federal, estatal o local. Aún así, queda por ver cómo los tribunales interpretan la información «personal» frente a la «pública».

Cuando lo piensa, casi todo lo que un minorista obtiene de un comprador podría considerarse personal: el historial de compras de un consumidor, los ingresos del hogar, la dirección postal, la dirección IP y más.

Otra medida regulatoria que ha llamado la atención en toda la comunidad de seguridad es la «responsabilidad» de las empresas obligadas a mantener «procedimientos y prácticas de seguridad razonables» acordes con la confidencialidad de sus datos.

Lo que eso significa exactamente se puede analizar de varias maneras, ya que aún queda por explicar «procedimientos y prácticas de seguridad razonables a los ojos de los reguladores».

¿Qué deben hacer los minoristas ahora?

En primer lugar, los minoristas deben asignar a alguien para que maneje y administre el cumplimiento de la CCPA (y la seguridad general) exclusivamente. Incluso para los proveedores más pequeños, contar con una persona asegurará una transición sin problemas el primer día del nuevo año.

Posiblemente, la mayor amenaza para un minorista o un sitio web de comercio electrónico es una brecha de seguridad. Ser capaz de mitigar el riesgo con medidas de seguridad de datos de primer nivel es clave. El uso de herramientas antivirus, antispyware o de encriptación puede ayudar a aliviar esta carga de seguridad de datos.

Protección de punto final a nivel de dispositivo + software de seguridad basado en servidor web

Existe una idea errónea popular de que al limitar el acceso de los empleados a las aplicaciones corporativas a una VPN, también elimina la necesidad de instalar protección antivirus en los dispositivos de los empleados.

Si bien una VPN cifra los flujos de datos en línea, incluida la información de identificación personal a la que se puede acceder a través de las aplicaciones de la empresa, no evita que los usuarios de dispositivos descarguen accidentalmente malware.

En un mundo ideal, todos los empleados de una organización tendrían los conocimientos técnicos para reconocer los vectores de ataque comunes, como las estafas de phishing, pero esa simplemente no es la realidad.

El software antivirus y antispyware proporciona la primera línea de defensa contra amenazas cibernéticas maliciosas que pueden conducir a filtraciones de datos. Son fáciles y económicos de implementar, y se actualizan automáticamente, lo que requiere un mantenimiento manual mínimo.

Gestión de Riesgos Digitales + Medidas de Gobernanza, Riesgo y Cumplimiento

Con las soluciones de Gobernanza y gestión de riesgos digitales, Riesgo y cumplimiento, las organizaciones pueden simplificar sus programas de cumplimiento mediante la consolidación de sus actividades de cumplimiento en una plataforma o repositorio digital centralizado.

Ante regulaciones de cumplimiento bien establecidas, como Sarbanes-Oxley, GLBA e HIPAA, muchas organizaciones han adquirido soluciones DRM y GRC, pero con leyes de cumplimiento más amplias, como GDPR y CCPA, estas soluciones son cada vez más populares.

Si bien algunos elementos de las soluciones DRM y GRC están automatizados, muchas tareas de supervisión y monitoreo siguen estando a cargo de personas, lo que significa que las organizaciones deben contratar expertos para realizar el trabajo o subcontratarlo a socios externos.

DRM y GRC permiten a las empresas alinear los objetivos comerciales y de TI mientras cumplen con los requisitos de cumplimiento. Más fácil de demostrar el cumplimiento de cualquier tipo de regulación de seguridad de datos, ya que los registros de actividad de cumplimiento se pueden extraer rápidamente para los auditores.

Cifrado en reposo + Cifrado en movimiento

El cifrado de datos en movimiento se ha convertido en parte del curso, y los certificados de capa de sockets seguros y las VPN son casi un requisito previo para administrar una empresa moderna.

Si bien SSL y VPN cifran los datos en movimiento, estas medidas no cifran los datos en reposo. El cifrado de datos en reposo es una propuesta más complicada porque los dispositivos físicos que almacenan datos confidenciales no están cifrados de forma predeterminada.

Para implementar el cifrado en reposo de los datos almacenados en dispositivos físicos, las organizaciones deben implementar una solución de software de cifrado de disco completo. Para los datos confidenciales en reposo almacenados en la nube, muchos servicios de almacenamiento en la nube, como Google Cloud Platform y Amazon Web Services, proporcionan cifrado en reposo de forma predeterminada.

La desventaja de estos servicios es que el cifrado (proveedor de almacenamiento en la nube) tiene acceso y puede leer sus datos. Las medidas de cifrado son económicas y relativamente fáciles de implementar. Si son robados, los datos encriptados no pueden ser recuperados ni utilizados por actores malintencionados.

seudonimización + anonimización

Para explotar completamente el potencial analítico de sus datos mientras protegen la PII contenida en ellos, las organizaciones necesitan implementar soluciones de desidentificación de datos.

La anonimización es un método para desidentificar datos que mantiene los datos no confidenciales en su estado natural mientras codifica todas las instancias de PII. Dado que la PII se destruye de forma irrevocable, la anonimización se considera la forma más fuerte de desidentificación.

La seudonimización es un método de desidentificación de datos que reemplaza la PII en un conjunto de datos con un identificador artificial o seudónimo que solo puede ser revocado por el titular de la clave de identidad.

Dado que los seudónimos son reversibles, las organizaciones pueden continuar usando su PII en entornos de producción mientras la protegen. La tokenización se considera la forma más poderosa de seudonimización.

La desidentificación de datos es la única medida de seguridad de datos que permite a las organizaciones proteger los datos en todos los estados de su ciclo de vida, incluso cuando se procesan en varios entornos de producción.

Las soluciones de seudonimización, como la tokenización, van un paso más allá al proteger completamente la PII, pero funcionan en entornos de producción (la anonimización hace que la PII no funcione).

Finalmente, los datos tokenizados tienen un mejor rendimiento y las bases de datos y las aplicaciones pueden procesarlos más rápido que los datos cifrados.

clausura

venta al por menor es mayor empleador del sector privado Impulsa la economía de los EE. UU., según la Federación Nacional de Minoristas.

Las ventas en línea en toda la industria representan el 10% de todas las ventas minoristas. Si bien los californianos ahora tienen mejores derechos de privacidad, para el 1 de enero, los minoristas de todo el país (ladrillo y cemento y comercio electrónico) deberán implementar cambios para cumplir.

Dedicar un rol a la seguridad es una forma de comenzar el proceso, e implementar ciertas medidas de seguridad ayudará a que la persona en ese rol tenga éxito. Será interesante ver cómo se desarrolla la CCPA, pero el Lejano Oeste de las compras en línea seguramente cambiará un poco.

LEER  Google promete más privacidad de audio para los usuarios del Asistente

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba