我的组织是否需要遵守CCPA?

公司不必总部设在加利福尼亚州,也不必在那里有实体存在,就符合法律规定。CCPA适用于贵公司,前提是:

  • tick它收集/处理加利福尼亚居民的个人数据。
  • tick您的组织满足以下任一条件时:
    • a) 年收入至少2500万美元。
    • b) 可以是任何大小,但收集至少50000名加利福尼亚居民的个人数据。
    • c) 其一半以上的收入来自个人数据销售。

CCPA下的消费者权利

CCPA的重点是将电力回馈给消费者。为了实现这一目标,该条例保障所有加利福尼亚州居民的十项基本权利。在为法规遵从性之旅做准备时,企业需要牢记这些。

消费者将根据CCPA获得以下权利:

  • 了解收集的所有个人数据的权利。
  • 有权拒绝出售您的信息。
  • 有权在数据泄露事件中起诉公司。
  • 有权删除组织收集的个人数据<。
  • 在行使CCPA项下的任何权利时不受歧视的权利。
  • 被告知将收集哪些类别的数据的权利。
  • 在出售属于16岁以下儿童的数据之前强制选择加入。
  • 有权知道第三方的类别您的数据与共享。
  • 了解来源类别的权利您的数据是从以下来源收集的。
  • 了解数据收集目的的权利。

这对我的组织意味着什么?

如果您还没有开始准备CCPA,那么现在是您开始审查系统和流程以实现法规遵从性的时候了。以下是组织开始其法规遵从性之旅需要采取的一些基本步骤:

  •  为用户提供请求访问其数据的方法,并提供有关您如何使用其数据的信息。
  •   更新您的隐私政策,包括您收集哪些数据、从何处收集数据、谁有权访问数据以及您计划如何使用数据的所有信息。
  •  为用户提供“不出售我的信息”选项,以防止其信息被出售。
  •  审查并更新您的软件、系统和流程,以满足CCPA的要求。
  •  实施CCPA授权的“合理安全实践”,以防止潜在漏洞和攻击。
  •  开始培训您的员工和团队了解更新的隐私计划。

它如何帮助筹备CCPA?

一开始,CCPA的要求可能令人困惑或畏缩,但正确的解决方案和配置可以大大简化组织的法规遵从性过程。虽然没有一个单一的解决方案可以解决整个法规,但CCPA中有许多规定可以通过正确的流程和IT工具简化。

01

数据发现和安全性

数据发现和安全

  • 深入了解公司持有的个人数据,包括每个文件中存储的个人数据的类型、位置和数量。
  • 使用自动文件发现功能更新您的个人数据清单,该功能定期扫描整个Windows文件系统。
  • 使用容器化将移动设备上的个人和公司数据分开,并加密存储在移动设备上的公司数据。
  • 更新并定期修补服务器、端点、操作系统以及旧式和第三方应用程序。
  • 黑名单匿名或不安全的应用程序,限制从第三方商店下载应用程序,并限制应用程序之间的数据共享以防止数据泄漏。
  • 使用安全配置管理来检测和纠正任何构成数据泄漏威胁的安全错误配置。
  • 安全的面向internet的设备,如充当组织网络网关的web服务器。
  • 强制执行浏览器安全策略以规避可能导致数据泄漏的基于浏览器的攻击。
  • 限制使用能够访问地理围栏内关键数据的设备。在所有公司设备上启用远程擦除,以远程擦除设备上的所有数据,以防丢失或被盗。
03

变更审计

变更审计

  • 审核个人数据的更改(例如修改、删除、重命名,甚至权限更改)。
05

日志管理与分析

日志管理与分析

  • 集中并关联来自不同来源的安全数据,以立即发现潜在的数据泄露并避免数据丢失。
  • 注意存储个人数据的系统和服务上的未授权访问尝试和用户活动异常。
  • 对防火墙安全日志进行深入分析,以获取有关试图破坏安全和攻击的关键网络情报。
02

访问管理

访问管理

  • 管理、监视和审核对处理个人身份信息的系统和应用程序的管理访问权限
  • 监控谁访问个人数据,包括何时何地使用该数据。
  • 防止未经授权的用户利用对个人数据存储库的特权访问。
  • 检测用户在没有适当权限的情况下访问个人数据的时间。
  • 审核权限更改事件,以识别与个人数据相关的非法或未经授权的权限更改。
04

文件完整性监视

文件完整性监视

  • 确保机密文件和文件夹的完整性,以便在发生关键文件更改时生成即时通知。
06

违约检测与预防

漏洞检测和预防

  • 立即检测网络中的任何数据泄露。
  • 检测并包含已知的攻击模式,如拒绝服务(DoS)、分布式拒绝服务(DDoS)、SQL注入和勒索软件攻击。
  • 使用自定义的相关规则和警报配置文件来检测未知的攻击模式,保持个人数据的安全。
  • 使用智能搜索引擎进行取证分析,确定何时发生了入侵,其来源,哪些数据和系统受到影响,以及责任方。
  • 在网络钓鱼或暴力破解攻击之后,让您的用户立即重置密码,以避免数据泄露。
  • 阻止不需要的可执行文件,禁止网络中的软件,防止远程代码执行。
  • 限制USB设备的使用,以保护数据免受内部威胁。

CCPA vs GDPR

了解新隐私法规如何与GDPR相匹配。

了解更多

资源

学习如何使用正确的工具保持CCPA的兼容。

了解更多

声明:完全遵守CCPA需要多种解决方案、流程、人员和技术。上面提到的解决方案是IT管理工具可以帮助CCPA满足某些需求的一些方式。与其他适当的解决方案、流程和人员相结合,ManageEngine的解决方案有助于实现和维持CCPA的遵从性。本材料仅供参考,不应被视为符合CCPA的法律意见。对于本材料中的信息,ManageEngine不作任何明示、暗示或法定的保证

Download E-BookEnquire Now
Thank you for downloading the e-book!