SHIELD Act di New York: cosa significa per le aziende

Lo Shield Act di New York è l'ultima legge sulla privacy dei dati che le aziende di tutto il paese devono tenere in considerazione, in particolare per le aziende con clienti attuali o potenziali che risiedono nello stato. Che effetto avrà sulle organizzazioni e come possono prepararsi per le future normative e standard di conformità?

Che cos'è lo SHIELD Act di New York?

Lo SHIELD Act di New York è entrato in vigore ufficialmente il 21 ^marzo ed è progettato per ampliare le normative esistenti proteggendo un maggior numero di informazioni sui consumatori e ridefinendo ciò che costituisce una violazione dei dati.

• Copertura: lo SHIELD Act amplia chi ricade sotto la giurisdizione della legge. In precedenza, le imprese che dovevano rispettare la legge erano società che operavano all'interno dello stato. Il nuovo atto lo espande per includere qualsiasi cliente che risieda a New York, indipendentemente dal fatto che l'attività abbia sede lì o meno.
• Definizione: la definizione di ciò che costituisce una violazione della sicurezza è stata ridefinita ai sensi della legge. Prima, i dati e le informazioni personali dovevano essere stati acquisiti da una parte non autorizzata, rivolta a hacker e criminali informatici. Ora, i consumatori devono essere avvisati quando una parte non autorizzata ha avuto accesso alle informazioni, indipendentemente dal fatto che siano state rubate o meno.
• Tipi di dati: in precedenza, il tipo di informazione protetta era qualsiasi dato utilizzato insieme al numero di previdenza sociale, alla patente di guida o ad altri numeri di conto di una persona che potevano essere utilizzati con password o codici di accesso che consentivano l'accesso a un account. Questo è stato ampliato per includere quanto segue:
  • Numeri di conto finanziario che possono essere utilizzati per accedere a un conto, ad esempio un numero di carta di credito
  • Nomi utente account, password, e-mail e domande di sicurezza
  • Informazioni biometriche utilizzate per identificare gli individui

Le aziende devono essere conformi a queste nuove normative ora.

“È fondamentale che le nostre leggi tengano il passo con il mondo in rapida evoluzione della tecnologia. Lo SHIELD Act innalza gli standard di sicurezza in modo che i newyorkesi non siano più vittime inutilmente di violazioni dei dati e attacchi informatici". – Il senatore Kevin Thomas, presidente della commissione per la protezione dei consumatori

Perché le aziende dovrebbero preoccuparsi?

Multe

Ovviamente la considerazione più ovvia da fare sono le implicazioni finanziarie dell'inosservanza delle nuove normative di conformità.

Lo statuto aveva in precedenza un tetto massimo di $ 150.000 di multe per una singola società, ma è stato aumentato a $ 250.000.

Per violazioni consapevoli e sconsiderate, organizzazioni che non hanno stabilito procedure di conformità corrette, un tribunale può richiedere sanzioni superiori a $ 5.000 o fino a $ 20 per istanza fino al limite di $ 250.000.

Ad agosto 2019, l'ufficio del procuratore generale aveva già riscosso più di $ 600 milioni di multe da aziende che non rispettavano i corretti standard di conformità previsti dalla legge precedente.

600 milioni di dollari sono un sacco di soldi e questo, insieme alla firma di questa nuova legge, è un'indicazione di quanto seriamente New York stia prendendo sul serio la protezione della privacy dei dati per i consumatori.

Con lo SHIELD Act che amplia drasticamente ciò a cui le aziende devono essere conformi e quali pratiche hanno in atto, è probabile che tale cifra aumenterà notevolmente nei prossimi anni.

"La cruda realtà è che le violazioni della sicurezza stanno diventando sempre più frequenti e con questa legislazione New York sta adottando misure per aumentare le protezioni per i consumatori e ritenere queste aziende responsabili quando gestiscono male i dati sensibili". – Governatore Cuomo

In breve, ci sono molti più aspetti della regolamentazione sulla protezione dei dati in cui le aziende possono cadere dalla parte sbagliata, quindi evitare multe e assicurarsi che ciò non accada dovrebbe essere una priorità assoluta.

Mantenere la tua attività

Nuove normative come SHIELD, insieme al CCPA esistente in California e al GDPR nell'Unione Europea, sono chiare indicazioni che i politici stanno riconoscendo l'insoddisfazione dei consumatori per il modo in cui le organizzazioni gestiscono i loro dati.

Le persone sono più consapevoli dei propri diritti sui dati e della privacy di quanto non lo siano mai state e l'84% delle persone afferma di preoccuparsi della privacy, dei propri dati, dei dati di altri membri della società e desidera un maggiore controllo su come vengono utilizzati i loro dati.

Ma in che modo questo influisce sul successo di un'azienda?

Ebbene, francamente, garantire la protezione dei dati è tanto uno sforzo di autoconservazione per le organizzazioni quanto tenere a cuore gli interessi dei loro clienti.

Il 79% delle persone afferma di essere molto o alquanto preoccupato per il modo in cui le aziende utilizzano i dati che raccolgono su di loro

Di volta in volta, le aziende che gestiscono male i dati o subiscono violazioni dei dati a causa di scarsi standard di protezione delle informazioni si sparano nei piedi, poiché i consumatori semplicemente porteranno la loro attività a qualcun altro se sentono di non essere protetti.

In effetti, il 48% degli intervistati in un sondaggio ha affermato di aver già cambiato azienda o fornitore perché preoccupato per le proprie politiche sui dati e le pratiche di condivisione.

Il messaggio è forte e chiaro dai consumatori: prendi sul serio i loro dati o porteranno le loro abitudini alle aziende che lo fanno.

E c'è dell'altro

Come accennato brevemente, lo SHIELD Act ha molte somiglianze con le leggi sulla protezione dei dati esistenti come CCPA e GDPR.

SHIELD non è il primo, e di certo non sarà l'ultimo.

Leggi come queste stanno plasmando la conversazione su quanto i consumatori siano protetti.

Personaggi e organizzazioni aziendali di alto livello chiedono una legge federale sulla privacy dei dati ispirata a GDPR e CCPA e, sebbene un disegno di legge federale bipartisan non sia vicino in questo momento, tutte queste normative sembrano andare in una direzione.

Ciò è particolarmente vero se si considera l'impatto che CCPA e SHIELD hanno da soli: 60 milioni di persone in California e New York sono ora coperte da questo.

Questo è quasi il 20% dell'intera popolazione degli Stati Uniti a cui le aziende devono essere conformi.

È probabile che col tempo altri stati seguiranno l'esempio, anche se non esiste una legge federale: stati tra cui la Florida (uno dei più grandi centri abitati e mercati degli Stati Uniti) stanno introducendo progetti di legge nei loro senati.

Le aziende che sono all'avanguardia riconosceranno che leggi come CCPA e SHIELD sono solo l'inizio e prepareranno la propria organizzazione con standard e pratiche completi per la conformità alle normative dei dati che saranno necessari per ciò che verrà.

Cosa possono fare le aziende per prepararsi?

Le aziende dovrebbero iniziare investendo in alcuni aspetti chiave della loro attività che aiuteranno a proteggere i dati dei loro clienti. Questi sono precisamente:

Misure di protezione dei dati

Come vengono archiviati i dati dei tuoi clienti?

Uno dei motivi per cui l'adozione del cloud sta aumentando in modo così significativo tra le PMI è la relativa facilità d'uso e gli standard elevati quando si tratta di protezione dei dati.

Mentre negli anni precedenti i proprietari di aziende esitavano a archiviare dati riservati sul cloud, ora lo stanno facendo in gran numero grazie ai progressi nella sicurezza del cloud.

I servizi cloud come Azure di Microsoft utilizzano data center di livello IV, che offrono la massima sicurezza e un tempo di inattività minimo di 26 minuti all'anno.

Molte aziende utilizzano un sistema ibrido per i propri dati, mantenendo le informazioni di lavoro generali archiviate nei data center del cloud pubblico; mentre si utilizza un data center privato per le loro informazioni più sensibili, offrendo loro più controllo e opzioni di personalizzazione.

Ciò consente una maggiore flessibilità alle organizzazioni che potrebbero essere particolarmente consapevoli di come si prendono cura dei propri dati.

Articolo correlato: Perché è necessario un data center di livello IV

Personale direttamente responsabile del coordinamento e della valutazione dei rischi

In generale, è bene avere un membro del personale (o un fornitore) che guidi la tua politica di conformità.

Gestire i dati in modo efficiente e conforme agli standard non è solo un caso di installazione di nuove app. Fondamentalmente dipende dal modo in cui la tua forza lavoro utilizza e condivide i dati e le soluzioni che usano per farlo.

Se violano le nuove leggi o le pratiche esistenti, allora hai bisogno di qualcuno con il know-how e le capacità per essere in grado di affrontare queste preoccupazioni e implementare gli standard corretti.

Questa persona dovrebbe anche essere responsabile della segnalazione di eventuali violazioni dei dati che si verificano, oltre a valutare regolarmente eventuali rischi potenziali per quanto riguarda il trattamento dei dati, sia hardware che software.

Ciò sarà ancora più pertinente, considerando le difficoltà incontrate dalle aziende durante la condivisione dei dati all'interno e tra una forza lavoro remota.

Alcune aziende sceglieranno di avere qualcuno interno per farlo, ma molte opteranno per un MSSP perché sono convenienti e hanno l'esperienza di ciò che le aziende devono fare esattamente per quanto riguarda la protezione dei dati in quanto riguardano le loro specifiche situazione.

Asporto

• Lo SHIELD Act di New York è un'estensione sostanziale delle leggi sulla privacy dei dati esistenti, a cui le aziende devono essere conformi ora.
• Le richieste dei consumatori e il crescente interesse del pubblico per le leggi sulla protezione dei dati significano che le aziende dovrebbero prendere molto sul serio le proprie pratiche di trattamento dei dati per soddisfare i propri clienti.
• SHIELD è solo l'ultima di una serie di leggi sulla privacy dei dati e ulteriori leggi negli anni a venire accelereranno ulteriormente la necessità per le organizzazioni di aggiornarsi con la propria conformità.

La tua azienda è conforme?

Nuove leggi come GDPR, CCPA e SHIELD sono solo l'inizio per gli standard di conformità alla protezione dei dati che le aziende dovrebbero tenere in considerazione. Un obiettivo primario per qualsiasi organizzazione moderna dovrebbe essere fermare le violazioni dei dati. Ma come?

Dai un'occhiata al nostro eBook gratuito, " Cosa rende una buona difesa della sicurezza informatica per una PMI moderna?" e vedere quali misure le aziende dovrebbero mettere in atto per proteggere i propri dati.