企业遵守网络安全实施盾法案将于2020年3月21日生效
随着SHIELD法案的数据安全截止日期于3月21日生效,为企业提供新的和改进的网络安全保障的时间正在流逝, 2020. 纽约的“停止黑客攻击和改善电子数据安全法案”(SHIELD Act), N.Y. Gen Bus. Law§ 899-bb 现在要求对任何收集纽约居民私人信息的企业实施合理的辩护.
这项法案将扩大和重新定义私人信息, breach notification, 并通知组织,包括州外, 以及中小企业主的新职责. 随着风险暴露变得越来越明显,各州实施了更多的保密和数据安全法律,以保护消费者隐私,因此出台了这项立法.
阅读更多关于SHIELD法案改进的见解,以及企业如何加强其组织的数据安全计划,以实现合规并避免违规.
根据SHIELD法案重新定义“私人信息”
Depending on the state, individual or organization, “私人信息”的定义可能相当宽泛. 然而,由于《比较靠谱的赌博软件》,纽约现在将“私人信息”定义为:
- Name, phone number, social security number, 身份证或账号(司机或非司机)
- 信用卡或借记卡号码与任何安全码的组合, access code, 允许访问个人金融账户的密码或任何信息;
- 用户名或电子邮件地址与密码或安全问题和答案的组合,将允许访问在线帐户;
- 或者生物特征信息——包括指纹、声纹或视网膜图像.
扩大数据系统泄露的分类
《比较靠谱的赌博软件》还修订了部分违约通知要求. 此前,违规行为被定义为“未经授权获取计算机数据”.“现在,由于立法的变化,违规行为包括:
- 在个人信息的定义中增加生物特征信息和带有密码的电子邮件地址
- Notifying that information was viewed, communicated with, 擅自使用的未经有效授权的人或未经授权的人使用或改变的.
- 如发现违约影响超过500名纽约居民,则在发现违约后十(10)天内通知纽约州总检察长;
- And increased penalties for violations.
Listen to episode 169, 第169集-企业网络安全作战计划,” featuring Paul Hugenberg, III, on Rea’s award-winning podcast, unsuitable on Rea Radio.
盾法案如何影响州外 & Small–To–Mid-Sized Business Owners?
《比较靠谱的赌博软件》要求任何在州内开展业务的公司对这些新的立法指导方针负责. In other words, 也许是时候评估组织当前的实践并开发数据安全程序了. 此外,您可能会考虑实现定期风险评估. Furthermore, 指派一名专业人员负责组织的安全计划,并采取措施制定一个旨在保护机密性的计划, integrity, 保证公司数据的安全是当务之急.
It’s important to note, however, 该法案确实包括雇员少于50人的小企业主的例外情况, 过去三个财政年度的总收入都不到300万美元, 或者年终总资产少于500万美元. 这些豁免允许组织根据其业务活动的规模和复杂性以及所收集信息的敏感程度来扩展其数据安全程序.
这项豁免是有价值的,因为它允许小企业主在满足新标准的条款时拥有更大的灵活性.
Other notable exceptions include:
- 受《比较靠谱的赌博软件》(GLBA)保护并遵守该法案的实体;
- 健康保险流通与责任法案(HIPAA),
- 和/或纽约州金融服务部网络安全法规是指被认为符合《比较靠谱的赌博软件》的组织.
So let’s take everything into account. 如果你在纽约州做生意的话, 确保你遵守SHIELD法案的新标准, 不迟于3月21日生效. 如果不这样做,您的企业将面临各种违规行为的风险. Lastly, 联系值得信赖的网络安全和数据保护顾问,执行风险评估并实施网络安全保障措施. 当然,你也可以随时给Rea的数据安全专家发邮件 & Associates for assistance.
By Travis Strong, CISA (Wooster, OH)