Di AS, California secara tradisional mendominasi percakapan privasi. Ini berubah. Sekarang organisasi yang menjalankan bisnis di Virginia, Colorado, Utah, dan Connecticut semuanya memiliki peraturan baru untuk dipelajari dan dipatuhi.
Menambahkan dimensi baru pada biaya pelanggaran data, ledakan peraturan yang berlaku pada tahun 2023 dapat menimbulkan biaya nyata pada bisnis yang tidak patuh. Baca terus untuk mengetahui tentang undang-undang yang ada dan yang akan datang dan bagaimana Anda dapat melindungi bisnis dan pengguna Anda melalui perubahan sederhana namun efektif, seperti kebijakan kata sandi yang lebih kuat.
2023: Tahun undang-undang privasi data
Perundang-undangan bergerak lambat, tetapi pada tahun 2023 hampir kelima peraturan di bawah ini akan berlaku, menjadikannya tahun yang luar biasa untuk tindakan privasi data negara. Mulailah menerapkan perubahan yang diperlukan hari ini dan hindari masalah di kemudian hari.
- Undang-Undang Hak Privasi California (CPRA): mengubah California Consumer Privacy Act (CCPA) sebelumnya disahkan pada 2018, disahkan pada 1 Januari 2023, dan seharusnya mulai berlaku pada 1 Juli 2023. Dalam sebuah keputusan menit terakhirPengadilan Tinggi California telah menunda implementasi hingga paling cepat 29 Maret 2024. CCPA masih berlaku penuh.
- Undang-Undang Perlindungan Data Konsumen Virginia (VCDPA): Undang-undang privasi negara kedua, disahkan pada Maret 2021 dan mulai berlaku pada 1 Januari 2023.
- Undang-Undang Privasi Data Connecticut (CTDPA): Disahkan pada Mei 2022, undang-undang ini baru berlaku baru-baru ini, pada 1 Juli 2023.
- Undang-Undang Privasi Colorado (BPA): Mirip dengan Connecticut, ini mulai berlaku pada tanggal 1 Juli 2023. Namun, hanya pada tanggal 1 Januari 2024, persyaratan untuk Mekanisme Penyisihan Universal mulai berlaku.
- Undang-Undang Privasi Konsumen Utah (UCPA): Menyinggung bagian belakang, ini akhirnya berlaku pada 31 Desember 2023. Meskipun bukan yang terakhir dari undang-undang privasi negara yang disahkan, tanggal implementasi UCPA adalah yang terakhir dari semuanya.
Apa yang diharapkan peraturan dari organisasi?
Semua undang-undang berfokus pada perlindungan informasi konsumen yang dikumpulkan dan digunakan oleh organisasi. Namun, memahami undang-undang privasi yang berbeda sulit untuk bisnis di negara bagian di atas. Ini bahkan lebih sulit untuk bisnis multi-negara.
Setiap peraturan menawarkan hak untuk mengakses, menghapus, dan memilih keluar dari pengumpulan dan penyimpanan data. Hampir semua menawarkan hak untuk mengoreksi informasi yang ada, kecuali UCPA. Sebagian besar undang-undang tidak mengizinkan penyisihan pemrosesan data sensitif, dengan definisi data sensitif yang berbeda-beda di setiap negara bagian.
Syukurlah, semua peraturan umumnya menawarkan masa penyembuhan minimal 30 hari untuk memperbaiki kesalahan.
Perbedaan dalam peraturan adalah bagaimana mereka berlaku untuk organisasi yang berbeda. Sebagian besar berlaku untuk bisnis atau organisasi besar yang memproses data konsumen dalam jumlah besar. Lihat tabel di bawah untuk melihat undang-undang privasi data mana yang berlaku untuk organisasi Anda.
|
California (CCPA & CPRA) |
Pendapatan kotor sebesar $25 juta atau lebih dan memproses data minimal 100.000 konsumen atau memperoleh setidaknya 50% pendapatan kotor dari berbagi atau menjual data. |
|
Virginia (VCDPA) |
Ini berlaku untuk bisnis yang memproses data minimal 100.000 konsumen atau 25.000 konsumen dan memperoleh setidaknya 50% pendapatan kotor dari penjualan. |
|
Connecticut (CTDPA) |
Bisnis yang memproses data setidaknya 25.000 konsumen dan layanan setidaknya 50% dari pendapatan kotor dari penjualan data atau 100.000 konsumen, tidak termasuk transaksi paten murni. |
|
Colorado (BPA) |
Bisnis yang memproses data minimal 100.000 konsumen atau 25.000 konsumen dan memperoleh pendapatan atau menerima diskon dari penjualan data pribadi. |
|
Utah (UCPA) |
Bisnis tersebut dengan pendapatan kotor tahunan $25 juta dan memproses data minimal 100.000 konsumen atau memproses data minimal 25.000 konsumen dan memperoleh setidaknya 50% pendapatan kotor dari penjualan. |
Konsekuensi dari pelanggaran
Di luar kerusakan reputasi, setiap undang-undang privasi memiliki biaya moneter nyata yang terkait dengan kegagalan. Meskipun tidak semuanya sama, hukuman per pelanggaran berkisar dari $5.000 di Connecticut hingga $20.000 di Colorado. Sebagian besar negara bagian memiliki sanksi perdata sebesar $7.500, dengan sedikit perbedaan.
Ada lebih dari beberapa contoh penyusupan baru-baru ini dari upaya phishing. Contohnya termasuk Pelanggaran Activision pada akhir 2022atau Kompromi Norton LifeLock pada awal Januari yang menggunakan akun karyawan yang sebelumnya disusupi untuk masuk ke akun pelanggan Norton, yang mengakibatkan hilangnya data.
Jika sistem TI Anda dilanggar karena kredensial pengguna yang disusupi dan data pengguna dicuri, hukuman dapat bertambah dengan cepat, terutama untuk perusahaan besar yang mencakup banyak negara bagian.
Membuat pertahanan yang kuat dapat mengurangi biaya reputasi dan dolar nyata pelanggaran. Sebagian besar penyerang mencari buah yang mudah ditebak seperti kata sandi yang mudah ditebak, atau kredensial yang bocor sebelumnya.
Secara alami, bisnis mungkin bertanya bagaimana mereka dapat melindungi pelanggan mereka dengan baik melalui kepatuhan, diri mereka sendiri dari denda, dan reputasi mereka dari pers yang buruk. Perusahaan yang proaktif berfokus untuk melindungi datanya.
Salah satu cara terbaik untuk melindungi diri sendiri adalah melalui kebijakan kata sandi yang kuat, autentikasi multi-faktor, dan menghindari kata sandi yang disusupi.
Keamanan kata sandi melindungi bisnis dan pelanggan Anda
Kata sandi yang dikompromikan dapat menyebabkan potensi kerentanan infrastruktur dan hilangnya data pelanggan, yang dapat melanggar peraturan perlindungan data negara bagian yang berbeda. Bergantung pada keadaan, ketidakpatuhan berarti potensi tanggung jawab dan biaya tinggi di berbagai undang-undang perlindungan data negara bagian.
Pendekatan dua arah untuk mengamankan kata sandi organisasi Anda sangat membantu untuk menghindari penyimpangan keamanan.
Pertama, audit kata sandi yang ada yang digunakan dalam organisasi Anda. Specops Password Auditor adalah unduhan gratis yang memindai Direktori Aktif Anda untuk mengetahui kerentanan kata sandi, termasuk lebih dari 940 juta kata sandi yang disusupi.
Selanjutnya, amankan perubahan kata sandi di masa mendatang dan patuhi undang-undang terbaru dengan alat seperti Kebijakan Kata Sandi Specops dengan Perlindungan Kata Sandi yang Dilanggar.
Kebijakan Kata Sandi Specops memperluas fungsi Kebijakan Grup, memiliki antarmuka yang mudah digunakan yang membantu organisasi menerapkan kebijakan kata sandi yang lebih kuat, memenuhi standar kepatuhan, dan memblokir lebih dari 3 miliar kata sandi yang dikenal telah disusupi.
.jpg)
Dengan memblokir kata sandi yang disusupi, Anda dapat melindungi organisasi Anda dari potensi pelanggaran data dan denda besar dari undang-undang privasi data yang baru disahkan.
Dengan semakin banyak statistik yang semakin serius tentang privasi data, menjaga keamanan organisasi Anda menjadi semakin penting.
Disponsori dan ditulis oleh Perangkat Lunak Specop
