通過更深入地了解有關(guān)加密的GDPR，CCPA，LGPD和HIPAA的當(dāng)前行業(yè)法規(guī)，采取主動的方法來保護組織的安全和合規(guī)性。

在這個時代，組織正在處理大量數(shù)據(jù)，包括從個人身份信息(PII)和受保護的健康信息(PHI)到財務(wù)記錄和其他敏感信息的所有數(shù)據(jù)。盡管數(shù)據(jù)被視為組織的資產(chǎn)，但這種數(shù)據(jù)量卻被視為一種風(fēng)險，因為它給黑客和數(shù)據(jù)蔓延的風(fēng)險帶來了更大的使用空間。為了避免這些風(fēng)險，組織必須按照全球隱私法規(guī)對自己的數(shù)據(jù)進行加密。這些加密法規(guī)和法律可以幫助組織減輕風(fēng)險，并在數(shù)據(jù)蔓延和網(wǎng)絡(luò)攻擊發(fā)生之前將其阻止。

但是，就GDPR加密，HIPAA加密，CCPA加密和LGPD而言，確切的標(biāo)準和要求是什么?或者稱為巴西通用數(shù)據(jù)保護法?

什么是數(shù)據(jù)加密?

在最簡單的形式中，數(shù)據(jù)加密可以定義為以其他形式轉(zhuǎn)換數(shù)據(jù)，如果沒有特殊密鑰的幫助，則無法解密(解密)該數(shù)據(jù)。加密的數(shù)據(jù)稱為密文，而未加密的數(shù)據(jù)可以定義為純文本。加密是組織可以合并以提高數(shù)據(jù)安全性并促進安全通信的最常見和有效的過程之一。

數(shù)據(jù)加密的主要目的是保護組織的數(shù)字數(shù)據(jù)機密性。使用不安全的Internet或其他可能不安全的計算機網(wǎng)絡(luò)傳輸存儲在服務(wù)器和計算機系統(tǒng)上的數(shù)據(jù)。存儲未加密的數(shù)據(jù)可能會危害數(shù)據(jù)的機密性，并使其成為數(shù)據(jù)泛濫和黑客攻擊的犧牲品。

現(xiàn)代加密算法在數(shù)據(jù)和通信的安全性中起著至關(guān)重要的作用。這些算法提供了機密性和其他關(guān)鍵安全優(yōu)勢，包括確認文件完整性，身份驗證和不可否認性。

身份驗證有助于驗證消息的來源，完整性提供了證明，消息的內(nèi)容自發(fā)送以來沒有改變，并且不可否認性可確保消息發(fā)件人無法拒絕發(fā)送消息。

那么，這一切與隱私權(quán)法規(guī)和數(shù)據(jù)加密法律(例如歐盟的《通用數(shù)據(jù)保護法案》(GDPR)，《加利福尼亞消費者隱私法案》(CCPA)，巴西的LGPD以及《健康保險攜帶和責(zé)任法案》)有什么關(guān)系?

數(shù)據(jù)隱私法是否需要加密?

盡管所有數(shù)據(jù)隱私法律法規(guī)都未明確要求組織在其系統(tǒng)中實施加密，但強烈建議使用它，因為它可以減輕與數(shù)據(jù)泄露相關(guān)的風(fēng)險。從數(shù)據(jù)IBM Security的2019成本數(shù)據(jù)泄露報告中把數(shù)據(jù)泄露的平均成本為392萬$。不僅如此，去年還向監(jiān)管機構(gòu)報告了約276起健康數(shù)據(jù)泄露事件，包括黑客入侵事件和未加密設(shè)備的盜竊事件，這些數(shù)據(jù)已被添加到官方的聯(lián)邦統(tǒng)計中，其中有六起最大的事件涉及商業(yè)伙伴。

如果破壞了加密數(shù)據(jù)，組織將不會面臨罰款和處罰，因為數(shù)據(jù)本身是難以理解的密文，任何掌握它的網(wǎng)絡(luò)犯罪分子都無法讀取。

GDPR加密要求

GDPR是世界上最大的數(shù)據(jù)隱私法規(guī)之一，旨在保護位于歐盟的人們的隱私。盡管這似乎是特定于歐盟的，但事實并非如此。幾乎整個世界都以一種或另一種方式與歐盟互動，這意味著全世界的企業(yè)也需要遵守GDPR。

《通用數(shù)據(jù)保護條例》認識到加密的重要性，這就是為什么GDPR 根據(jù)第32條 “處理的安全性”規(guī)定：

其中包括：

• 個人數(shù)據(jù)的假名化和加密 ;
• 確保處理系統(tǒng)和服務(wù)的持續(xù)保密性，完整性，可用性和彈性的能力;
• 在發(fā)生物理或技術(shù)事件時能夠及時恢復(fù)可用性和對個人數(shù)據(jù)的訪問的能力;
• 定期測試，評估和評估技術(shù)和組織措施的有效性的過程，以確保過程的安全性。”

為了維護安全并防止違反本法規(guī)的處理，控制者或處理者應(yīng)評估處理過程中固有的風(fēng)險，并采取緩解這些風(fēng)險的措施，例如加密。這些措施應(yīng)確保適當(dāng)水平的安全性，包括機密性，同時考慮到與要保護的個人數(shù)據(jù)的風(fēng)險和性質(zhì)相關(guān)的最新技術(shù)水平和實施成本。在評估數(shù)據(jù)安全風(fēng)險時，應(yīng)考慮個人數(shù)據(jù)處理所帶來的風(fēng)險，例如偶然或非法銷毀，丟失，更改，未經(jīng)授權(quán)的披露或訪問所傳輸，存儲或以其他方式處理的個人數(shù)據(jù)。特別是會導(dǎo)致物理，物質(zhì)或非物質(zhì)的損害。”

GDPR要求組織合并加密，以保護消費者的數(shù)據(jù)并減輕與數(shù)據(jù)傳輸相關(guān)的風(fēng)險(例如，數(shù)據(jù)散布或網(wǎng)絡(luò)攻擊)。

CCPA加密要求

根據(jù)《加利福尼亞消費者隱私法案》，雖然組織明智地要求加密措施，但沒有明確提及要求采取加密措施。這是因為，即使可能沒有明確的數(shù)據(jù)加密要求，也可能會因涉及“未加密或未編輯的個人信息”的數(shù)據(jù)泄露而被處以罰款(每位消費者每次事件或?qū)嶋H損失最高為750美元)。如果使用加密，則可以免除這些罰款，因為違反數(shù)據(jù)是經(jīng)過加密的，并且沒有解密密鑰就無法理解。

為了獲得最高的安全性，無論數(shù)據(jù)在何處共享，都應(yīng)使用加密來保護數(shù)據(jù)。組織對消費者負有責(zé)任，需要在其數(shù)據(jù)管理解決方案中分層以數(shù)據(jù)為中心的加密，以在滿足數(shù)據(jù)主體請求(DSR)時促進數(shù)據(jù)的安全傳輸。

根據(jù)《加利福尼亞民法典》第1798.81.5節(jié)的規(guī)定，符合特定要求并處理加利福尼亞居民個人數(shù)據(jù)的組織或企業(yè)有義務(wù)實施和維護適合其所處理信息性質(zhì)的合理安全程序和做法。在此必須考慮“合理的安全性”。

LGPD加密要求

根據(jù)國際隱私專業(yè)人員協(xié)會(IAPP)的一篇文章，巴西已經(jīng)在聯(lián)邦一級起草了40多個有關(guān)數(shù)據(jù)隱私的法律規(guī)范。這些法律的唯一缺點是它們是部門性的，這意味著它們與特定行業(yè)有關(guān)，并且沒有涵蓋整個層面的所有方面。這就是為什么起草了巴西的新數(shù)據(jù)保護法，即LGPD(代表Le Geral deProteçãode Dados Pessoais)，以提供更全面和整體的監(jiān)管框架的原因。

達索斯·佩索埃伊保護區(qū)的雷·杰拉爾(Lei Geral deProteçãode Dados Pessoais)模仿了GDPR，包含65篇文章。該法案于2018年8月14日通過，并于2019年7月受到總統(tǒng)賈爾·博爾索納羅(Jair Bolsonaro)的制裁。執(zhí)法日期定為2020年8月15日。

就像GDPR和CCPA一樣，LGPD(巴西通用數(shù)據(jù)保護法/ Le Geral deProteçãode Dados Pessoais)并未明確要求組織對其數(shù)據(jù)進行加密，但是在處理消費者的個人信息時仍需要合理的安全性。實現(xiàn)此目的最簡單，最有效的方法是使用加密。

根據(jù)LGPD，組織必須將個人數(shù)據(jù)的網(wǎng)絡(luò)安全和數(shù)據(jù)安全方面的最佳實踐納入其中。LGPD指出，該法律不適用于任何加密或匿名的個人數(shù)據(jù)，其程度使其難以理解，并且可能被那些違反數(shù)據(jù)的人輕易將其恢復(fù)為原始狀態(tài)。

HIPAA加密要求

《健康保險可移植性和責(zé)任制法案》(HIPAA)要求醫(yī)療提供者(也稱為承保實體)實施數(shù)據(jù)安全性，以保護其患者的信息不被泄露。

當(dāng)了解安全性和數(shù)據(jù)保護方面的要求(或不需要)時，HIPAA加密要求可能會造成混淆。原因是與保護受保護的健康信息有關(guān)的技術(shù)保障被定義為“ 可尋址 ”要求。對于傳輸安全性狀態(tài)的HIPAA加密要求，即所涵蓋的實體應(yīng)在適當(dāng)?shù)臅r候 “ 實施一種對PHI進行加密的機制。該指令相當(dāng)模糊且易于解釋，因此造成混淆。

換句話說，HIPAA確實要求組織或涵蓋實體對PHI具有一定程度的安全性。除非有充分的理由說明組織為什么不能實施加密并提供同等的選擇，否則組織必須對數(shù)據(jù)進行加密。

與不同的加密法律法規(guī)相關(guān)的罰款

根據(jù)CCPA，GDPR和LGPD，沒有與未實施加密相關(guān)的具體罰款。但是，如果實施適當(dāng)?shù)募用?，組織可能能夠避免與數(shù)據(jù)泄露有關(guān)的罰款。例如，如果組織適當(dāng)?shù)剡M行了加密，則在發(fā)生數(shù)據(jù)泄露的情況下，由于泄露的數(shù)據(jù)已加密，因此他們很可能不會受到懲罰。

對于HIPAA，法律要求組織為受保護的健康信息設(shè)置適當(dāng)?shù)募用埽墙M織可以提供無法實施加密的可靠理由并提供同等的選擇。

即使在組織確實聲稱有不加密的充分理由的情況下，仍然會因不加密而被罰款。例如，羅切斯特大學(xué)醫(yī)學(xué)中心(URMC)因未能加密移動設(shè)備以及其他違反HIPAA的行為而被罰款300萬美元。

去年，英國航空公司因違反歐盟《通用數(shù)據(jù)保護條例》而被罰款1.84億英鎊(2.3億美元)。消費者數(shù)據(jù)由于泄露時組織的不良安全狀況而被泄露。ICO說： “ ICO的調(diào)查發(fā)現(xiàn)，由于公司的安全措施差，各種信息受到了損害，包括登錄，支付卡和旅行預(yù)訂詳細信息以及姓名和地址信息。”

數(shù)據(jù)加密優(yōu)秀實踐

無論GDPR，CCPA和HIPAA是否適用于您的組織，還是適用于其他法規(guī)(例如“ 支付卡行業(yè)數(shù)據(jù)安全標(biāo)準”)，加密都是任何組織安全的組成部分。因此，務(wù)必牢記實現(xiàn)數(shù)據(jù)加密的最佳方法，以避免可能使您的組織容易遭受數(shù)據(jù)泄露的各種事故或漏洞。

1. 管理數(shù)字證書

14證書管理最佳實踐，以保持組織的運行，安全和完全合規(guī)。

2. 下載清單

以下是組織可以采用的一些優(yōu)秀實踐，以擁有一個有效的加密系統(tǒng)：

(1) 保持加密密鑰的安全

第一點似乎很明顯，但很關(guān)鍵。特別提到這一點是因為這是一個容易犯的錯誤，它可能導(dǎo)致未經(jīng)授權(quán)的各方訪問您的數(shù)據(jù)。例如，如果您的加密密鑰在PC上的純文本文件中，則很有可能有人找到它并造成損壞。

解決此問題的一些解決方案可能是：

• 將密鑰與數(shù)據(jù)分開，限制用戶訪問，并且按時間表旋轉(zhuǎn)鑰匙。
• 加密所有敏感數(shù)據(jù)

所有類型的敏感數(shù)據(jù)都必須加密，這一點至關(guān)重要。為了安全起見，您可能認為自己的數(shù)據(jù)是安全的，但是您知道有幾家公司被泄露，因為它們未對重要數(shù)據(jù)進行加密并且有人可以訪問它。通過加密您的數(shù)據(jù)，對于那些可能出于惡意意圖破壞您的系統(tǒng)的人，您將變得更加困難。

(2) 評估數(shù)據(jù)加密性能

有效的數(shù)據(jù)加密不僅需要使未授權(quán)方無法讀取您的數(shù)據(jù)，而且還需要有效利用資源。如果加密數(shù)據(jù)花費的時間太長或占用了太多的CPU時間和內(nèi)存，請考慮切換到其他算法或嘗試使用數(shù)據(jù)加密工具中的設(shè)置。

(3) 保護運輸和靜止數(shù)據(jù)

加密在數(shù)據(jù)保護中起著至關(guān)重要的作用，用于保護傳輸(正在傳輸)和靜止(存儲以備后用)數(shù)據(jù)。企業(yè)通常選擇在移動之前對敏感數(shù)據(jù)進行加密和/或使用加密連接(HTTPS，SSL，TLS，F(xiàn)TPS等)來保護傳輸中的數(shù)據(jù)內(nèi)容。為了保護靜態(tài)數(shù)據(jù)，企業(yè)可以在存儲敏感文件之前對其進行簡單加密和/或選擇對存儲驅(qū)動器本身進行加密。為了保護傳輸中的數(shù)據(jù)，他們可以在其服務(wù)器上安裝SSL / TLS證書。

(4) 加密數(shù)據(jù)庫中的數(shù)據(jù)

雖然其他安全工具可以保護系統(tǒng)免受入侵或攻擊，但數(shù)據(jù)庫的加密是處理數(shù)據(jù)安全性的主要防御方式。這意味著，即使在系統(tǒng)崩潰的情況下，使用加密密鑰的用戶仍然只能讀取受破壞的數(shù)據(jù)。

(5) 實施S / MIME以保護電子郵件通信

在安全/多用途Internet郵件擴展(S / MIME)允許企業(yè)發(fā)送端-端加密的電子郵件和填寫數(shù)據(jù)蔓延任何漏洞。許多敏感數(shù)據(jù)通過電子郵件進行通信，這是確保這些電子郵件安全的最佳方法。

重點介紹

數(shù)據(jù)加密是任何組織數(shù)據(jù)安全的重要組成部分，并促進安全通信。一些隱私法規(guī)，例如GDPR，CCPA和LGPD要求加密，而有些則可能未明確指定使用加密，但仍建議使用。隱私法規(guī)經(jīng)常在數(shù)據(jù)泄露的情況下對組織進行懲罰，但是在數(shù)據(jù)被加密的情況下可以避免這些懲罰，因為破壞數(shù)據(jù)的人如果沒有解密密鑰就無法解密。

每年需要創(chuàng)建zettabytes的數(shù)據(jù)，因此組織需要采用最佳實踐來進行數(shù)據(jù)加密，以避免發(fā)生任何形式的數(shù)據(jù)蔓延或破壞。這可以通過保護您的加密密鑰，加密所有敏感數(shù)據(jù)以及評估數(shù)據(jù)加密性能來實現(xiàn)。

在這個數(shù)據(jù)隱私時代，加密不再是一種選擇，公司將在加密所有敏感數(shù)據(jù)方面做得很好。