En tant que Frank Sinatra et Jay-Z tous deux chantaient : « Si je peux réussir ici, alors je peux réussir n'importe où. » Ces paroles sont particulièrement vraies pour les entreprises qui traitent les informations privées de tout résident de l'État de New York.
Le Loi sur la lutte contre le piratage et l'amélioration de la sécurité des données électroniques (« SHIELD ») – adoptée en juillet 2019 – élargit la portée de la loi de l’État de New York sur la notification des violations de données pour inclure :
- Une définition élargie de ce qui est considéré comme des « informations personnelles »
- De nouvelles mesures prescriptives sur la manière de protéger ces données
- Une dimension d'extraterritorialité
Pour un État de plus de 20 millions d’habitants, la loi s’applique désormais à toute personne ou entreprise qui traite les informations d’un résident de New York, que cette organisation exerce ou non des activités à New York.
La loi de New York sur les violations de données initialement définie comme couverte Informations personnelles (RP) comme « toute information concernant une personne physique qui, en raison de son nom, de son numéro, de sa marque personnelle ou de tout autre identifiant, peut être utilisée pour identifier cette personne physique ».
La loi SHIELD a effectivement élargi la définition de ce qui est considéré comme des « informations privées » : y compris des éléments de données tels que le numéro de sécurité sociale, le numéro de permis de conduire ou de carte d'identité non-conducteur, les informations biométriques, le numéro de compte, le numéro de carte de crédit ou de débit. combinaison avec un code de sécurité ou un mot de passe.
Prendre un nouveau départ (pour la protection des données)
Comment les organisations peuvent-elles se conformer à la loi NY Shield? Ils ont besoin de visibilité sur les données qui doivent être protégées en vertu des nouvelles exigences – et de la capacité de déterminer dont ce sont des donnéesEn outre, les organisations couvertes doivent être en mesure de faire la distinction entre les employés et les clients, notamment parce que les organisations détiennent différents types de données pour les deux.
La première étape de ce processus est connaissance vos donnéesSans savoir à qui incombe la responsabilité des données impactées, la mise en œuvre du processus de notification de violation de données, même en cas d'accès non autorisé, est une perspective intimidante.
La capacité à inventorier avec précision les données d’une organisation – et à mettre en contexte la définition élargie de ce qui constitue des informations personnelles – est fondamentale pour établir les contrôles mis en œuvre et maintenus pour minimiser l’impact d’une violation de données.
Sécurité S'il te plaît!
La prochaine étape dans l'application de la loi SHIELD est désormais arrivée : la disposition relative aux « exigences de sécurité raisonnables » est entrée en vigueur : les entreprises qui traitent les informations personnelles des résidents de New York doivent désormais légalement développer, mettre en œuvre et maintenir des garanties raisonnables pour protéger la sécurité, la confidentialité et l'intégrité de ces données.
Les nouvelles exigences de sécurité raisonnables prévues à l'article 899-bb de la loi générale sur les affaires comprennent des mesures de protection administratives, techniques et physiques : cela comprend des mesures prescriptives telles que la réalisation d'évaluations des risques, des sessions de formation des employés, une diligence raisonnable sur les contrats des fournisseurs et l'élimination rapide des données.
Le non-respect de ces exigences peut entraîner des sanctions civiles pouvant aller jusqu'à $5 000 pour chaque violation commise par l'entreprise et ses employés. Si ces manquements entraînent un incident de sécurité des données, les sanctions pécuniaires peuvent être importantes.
Huit millions d'histoires là-bas (et leurs informations personnelles)
Les organismes financiers soumis à la loi Gramm-Leach Bliley (GLBA) et les organismes de santé soumis à la Loi sur la portabilité et la responsabilité de l'assurance maladie (HIPAA) peuvent déjà être préparés car ces lois fédérales contiennent des dispositions relatives à la sécurité et à la confidentialité comment gérer les informations personnelles. Toutefois, ces organisations devront toujours rendre compte des données en vertu de la définition élargie des informations personnelles prévue par la loi SHIELD.
Pour tous les autres – c’est-à-dire les nombreuses (nombreuses) entreprises qui relèvent du champ d’application du SHIELD Act – il faudra repenser leur posture de sécurité et la manière dont elles gèrent leurs données.
C'est là qu'intervient BigIDIl est essentiel de comprendre la définition élargie de ce qui constitue des renseignements personnels au sens de la Loi afin de garantir la prise de mesures appropriées pour protéger ces renseignements. Les organisations doivent être en mesure de :
- déterminer OMS est un résident de l’État de New York ;
- automatiser leurs connaissances de où les données des résidents de l'État de New York sont stockées ; et
- déterminer avec précision comment les identifiants tels que le numéro de compte, les mots de passe et les données biométriques se rapporter à cet individu.
BigID est conçu pour automatiser le processus de création d'un inventaire d'informations personnelles en appliquant techniques d'apprentissage automatique Cela permet de déterminer la résidence, de classer précisément les identifiants et d'établir leur corrélation avec les individus. De plus, l'inventaire des données personnelles peut simplifier le processus de notification des violations en cas d'incident, car BigID conserve un aperçu de l'emplacement des données, de leur auteur et des identifiants stockés sur une source de données susceptible d'être la cible d'un accès non autorisé.
En fin de compte, c’est à toutes les organisations de protéger et sécuriser leurs données. Et pour tous ceux qui sont spécifiquement couverts par le SHIELD Act, comme l'a judicieusement chanté Taylor Swift, «Bienvenue à New York."