Corte del mismo paño que PCI DSS



Finalmente, algunas buenas noticias sobre CCPA: si ha construido su infraestructura de seguridad según los estándares PCI DSS, es posible que ya esté cubierto por las nuevas reglas de protección de datos de California

¿Te sientes un poco frenético por implementar la Ley de Privacidad del Consumidor de California (CCPA)? La buena noticia es que es posible que ya esté cumpliendo, ya que muchas de las mismas protecciones ya están integradas en la ley PCI DSS promulgada en 2006.

A partir del 1 de enero, CCPA se aplica a cualquier organización que recopile y procese datos personales de residentes de California. La CCPA transmite nuevos derechos con respecto a la información personal e impone nuevas responsabilidades de protección de datos a las organizaciones que operan en el estado, o aquellas que realizan negocios que involucran a ciudadanos de California.

Es muy probable que ya esté realizando negocios que involucren a residentes de California, lo que hace que el cumplimiento de CCPA sea obligatorio. Microsoft, por su parte, ha prometido su obediencia a la ley y utilizará CCPA como marco en todas las operaciones de los Estados Unidos.

Pero dependiendo de su línea de negocio, su organización ya puede haber implementado regulaciones y prácticas de privacidad y protección de datos que satisfacen ciertos requisitos de CCPA. Aquí hay dos aspectos de CCPA que se centran en la privacidad de la información personalized y la protección de datos que son comparables a PCI DSS:

  • CCPA explain la información individual como cualquier dato que identifica directa o indirectamente a una persona u hogar en certain, mientras que PCI DSS se centra principalmente en los datos del titular de la tarjeta de pago.
  • CCPA obliga a las organizaciones a implementar y mantener «procedimientos y prácticas de seguridad razonables» para proteger la información own. PCI DSS proporciona más profundidad, como hacer que los datos del titular de la tarjeta sean ilegibles en cualquier lugar donde se almacene y encriptar la transmisión de los datos del titular de la tarjeta a través de las redes (ambos son considerados mejores prácticas razonables por los profesionales de seguridad de TI).

Si no se abordan estos problemas, los reguladores de California podrían imponer multas graves o los consumidores afectados podrían llevar a la empresa ante los tribunales. Esto se debe a que la CCPA permite a los consumidores iniciar acciones civiles contra las empresas cuando su información own se deja sin protección y está sujeta a un acceso no autorizado como resultado de la falta de implementación de esos «procedimientos y prácticas de seguridad razonables». Los consumidores que creen que se han violado sus derechos de privacidad pueden notificar a una empresa, que luego tiene 30 días para responder y corregir la posible violación y evitar una demanda colectiva.

Es por eso que es elementary obtener visibilidad sobre dónde se almacenan los datos confidenciales, cómo se procesan y los medios en que se recopilan. Cuando se trata de proteger estos datos, la regulación estipula el uso de seudonimización para preservar la información y mantenerla privada. Con otros estados de EE. UU. Que buscan establecer sus propias regulaciones de datos, es mejor asegurarse de que se cumpla con CCPA, de modo que esto pueda establecer las bases para ayudar con otras legislaciones de privacidad.

¿Cómo entra en juego PCI DSS?
Desarrollado por el Consejo de Seguridad de Estándares de la Industria de Tarjetas de Pagos (PCI SSC) en 2014, el Estándar de Seguridad de Datos (DSS) tiene como objetivo proteger los datos confidenciales del titular de la tarjeta. Organizaciones que no cumplen con el 12 requisitos Es posible que deba dejar de aceptar pagos con tarjeta emitidos por una de las cuatro marcas principales de tarjetas de crédito (Visa, MasterCard, American Categorical o Uncover). Desde su inicio, se ha modificado continuamente para tener en cuenta las amenazas modernas a los datos del titular de la tarjeta.

Según su edición actual, PCI DSS dicta los números de cuenta principales (PAN) que deben ser ilegibles en cualquier lugar donde se encuentren y cuando se transmitan a través de redes públicas. Si se almacena en bases de datos y archivos, se recomienda la tecnología de seguridad que utiliza criptografía, como la tokenización y el cifrado. Los requisitos de PCI son considerados «prácticas y procedimientos de seguridad razonables» por la mayoría de los profesionales en la industria de pagos.

En consecuencia, la aplicación de los requisitos clave de seguridad de datos de PCI DSS a CCPA, para incluir información personal más allá de los datos de la tarjeta de pago, puede ayudar a cumplir con las responsabilidades de seguridad de datos en CCPA.

Estamos viendo una tendencia en la que las empresas que procesan pagos, como los proveedores de servicios de pagos (PSP) y los procesadores de pagos, están aumentando su programa common de seguridad de datos de tarjetas. La tokenización de seguridad de datos, que no debe confundirse con los tokens de pago, se implementa cada vez más dentro de estas organizaciones que necesitan anonimizar los datos de la tarjeta. La tokenización de seguridad de datos permite a las organizaciones eliminar el número authentic de la tarjeta de crédito o débito (también conocido como PAN). Como resultado, si un atacante roba los datos de bases de datos o archivos, los datos no tienen valor para ellos porque tomaron datos tokenizados en lugar de los PAN originales.

Las regulaciones de cumplimiento como PCI DSS exigen este nivel de protección de datos de la tarjeta, por lo que estas organizaciones se ahorran el pago de multas por incumplimiento. Las compañías también están extendiendo el uso de tokenización de seguridad de datos para manejar los requisitos de regulación cruzada para el manejo de datos personales, que abordan GDPR, HIPAA y otros.

Al observar las brechas recientes y una superficie de ataque cada vez mayor, las defensas perimetrales clásicas son cada vez más vulnerables. Una práctica recomendada empleada por muchos profesionales de TI altamente conscientes se centra en proteger los datos sensibles en sí mismos, en lugar de centrarse en los sistemas o la infraestructura en los que residen los datos. La seguridad centrada en los datos, como a menudo se la conoce, proporciona la última línea de defensa contra los atacantes, ya que hace que los datos confidenciales no tengan valor para cualquiera que planee explotar los datos. Con los datos en tránsito constante, la seguridad debe moverse con ellos para reducir la amenaza potencial de un ciberataque.

Las empresas que ya están invirtiendo en la privacidad de los datos de cumplimiento CCPA y PCI DSS hoy están perfectamente alineadas con la voluntad de los consumidores y deberían capitalizarla. Todas las demás organizaciones deberían comenzar a buscar una estrategia de seguridad centrada en los datos y medidas organizativas para garantizar la transparencia y la confianza de los clientes cuando se trata de sus datos personales. Como sabemos, el cumplimiento no es igual a la seguridad, por lo que las organizaciones deberían comenzar con los datos en sí mismos, en lugar de tratar de construir muros alrededor de infraestructuras enteras en un intento banal de evitar violaciones de datos.

Contenido relacionado:

Jonathan Deveaux es Jefe de Protección de Datos Empresariales en comforte AG. Ha servido a la comunidad de tecnología de la información durante más de 25 años. Jonathan comenzó en la banca y el procesamiento de pagos, adquirió experiencia en la gestión de sistemas que respalda negocios críticos … Ver biografía completa

Más concepts





Enlace a la noticia original