通過更深入地了解有關(guān)加密的GDPR，CCPA，LGPD和HIPAA的當(dāng)前行業(yè)法規(guī)，采取主動(dòng)的方法來(lái)保護(hù)組織的安全和合規(guī)性。

在這個(gè)時(shí)代，組織正在處理大量數(shù)據(jù)，包括從個(gè)人身份信息(PII)和受保護(hù)的健康信息(PHI)到財(cái)務(wù)記錄和其他敏感信息的所有數(shù)據(jù)。盡管數(shù)據(jù)被視為組織的資產(chǎn)，但這種數(shù)據(jù)量卻被視為一種風(fēng)險(xiǎn)，因?yàn)樗o黑客和數(shù)據(jù)蔓延的風(fēng)險(xiǎn)帶來(lái)了更大的使用空間。為了避免這些風(fēng)險(xiǎn)，組織必須按照全球隱私法規(guī)對(duì)自己的數(shù)據(jù)進(jìn)行加密。這些加密法規(guī)和法律可以幫助組織減輕風(fēng)險(xiǎn)，并在數(shù)據(jù)蔓延和網(wǎng)絡(luò)攻擊發(fā)生之前將其阻止。

但是，就GDPR加密，HIPAA加密，CCPA加密和LGPD而言，確切的標(biāo)準(zhǔn)和要求是什么?或者稱為巴西通用數(shù)據(jù)保護(hù)法?

什么是數(shù)據(jù)加密?

在最簡(jiǎn)單的形式中，數(shù)據(jù)加密可以定義為以其他形式轉(zhuǎn)換數(shù)據(jù)，如果沒有特殊密鑰的幫助，則無(wú)法解密(解密)該數(shù)據(jù)。加密的數(shù)據(jù)稱為密文，而未加密的數(shù)據(jù)可以定義為純文本。加密是組織可以合并以提高數(shù)據(jù)安全性并促進(jìn)安全通信的最常見和有效的過程之一。

數(shù)據(jù)加密的主要目的是保護(hù)組織的數(shù)字?jǐn)?shù)據(jù)機(jī)密性。使用不安全的Internet或其他可能不安全的計(jì)算機(jī)網(wǎng)絡(luò)傳輸存儲(chǔ)在服務(wù)器和計(jì)算機(jī)系統(tǒng)上的數(shù)據(jù)。存儲(chǔ)未加密的數(shù)據(jù)可能會(huì)危害數(shù)據(jù)的機(jī)密性，并使其成為數(shù)據(jù)泛濫和黑客攻擊的犧牲品。

現(xiàn)代加密算法在數(shù)據(jù)和通信的安全性中起著至關(guān)重要的作用。這些算法提供了機(jī)密性和其他關(guān)鍵安全優(yōu)勢(shì)，包括確認(rèn)文件完整性，身份驗(yàn)證和不可否認(rèn)性。

身份驗(yàn)證有助于驗(yàn)證消息的來(lái)源，完整性提供了證明，消息的內(nèi)容自發(fā)送以來(lái)沒有改變，并且不可否認(rèn)性可確保消息發(fā)件人無(wú)法拒絕發(fā)送消息。

那么，這一切與隱私權(quán)法規(guī)和數(shù)據(jù)加密法律(例如歐盟的《通用數(shù)據(jù)保護(hù)法案》(GDPR)，《加利福尼亞消費(fèi)者隱私法案》(CCPA)，巴西的LGPD以及《健康保險(xiǎn)攜帶和責(zé)任法案》)有什么關(guān)系?

數(shù)據(jù)隱私法是否需要加密?

盡管所有數(shù)據(jù)隱私法律法規(guī)都未明確要求組織在其系統(tǒng)中實(shí)施加密，但強(qiáng)烈建議使用它，因?yàn)樗梢詼p輕與數(shù)據(jù)泄露相關(guān)的風(fēng)險(xiǎn)。從數(shù)據(jù)IBM Security的2019成本數(shù)據(jù)泄露報(bào)告中把數(shù)據(jù)泄露的平均成本為392萬(wàn)$。不僅如此，去年還向監(jiān)管機(jī)構(gòu)報(bào)告了約276起健康數(shù)據(jù)泄露事件，包括黑客入侵事件和未加密設(shè)備的盜竊事件，這些數(shù)據(jù)已被添加到官方的聯(lián)邦統(tǒng)計(jì)中，其中有六起最大的事件涉及商業(yè)伙伴。

如果破壞了加密數(shù)據(jù)，組織將不會(huì)面臨罰款和處罰，因?yàn)閿?shù)據(jù)本身是難以理解的密文，任何掌握它的網(wǎng)絡(luò)犯罪分子都無(wú)法讀取。

GDPR加密要求

GDPR是世界上最大的數(shù)據(jù)隱私法規(guī)之一，旨在保護(hù)位于歐盟的人們的隱私。盡管這似乎是特定于歐盟的，但事實(shí)并非如此。幾乎整個(gè)世界都以一種或另一種方式與歐盟互動(dòng)，這意味著全世界的企業(yè)也需要遵守GDPR。

《通用數(shù)據(jù)保護(hù)條例》認(rèn)識(shí)到加密的重要性，這就是為什么GDPR 根據(jù)第32條 “處理的安全性”規(guī)定：

其中包括：

• 個(gè)人數(shù)據(jù)的假名化和加密 ;
• 確保處理系統(tǒng)和服務(wù)的持續(xù)保密性，完整性，可用性和彈性的能力;
• 在發(fā)生物理或技術(shù)事件時(shí)能夠及時(shí)恢復(fù)可用性和對(duì)個(gè)人數(shù)據(jù)的訪問的能力;
• 定期測(cè)試，評(píng)估和評(píng)估技術(shù)和組織措施的有效性的過程，以確保過程的安全性。”

為了維護(hù)安全并防止違反本法規(guī)的處理，控制者或處理者應(yīng)評(píng)估處理過程中固有的風(fēng)險(xiǎn)，并采取緩解這些風(fēng)險(xiǎn)的措施，例如加密。這些措施應(yīng)確保適當(dāng)水平的安全性，包括機(jī)密性，同時(shí)考慮到與要保護(hù)的個(gè)人數(shù)據(jù)的風(fēng)險(xiǎn)和性質(zhì)相關(guān)的最新技術(shù)水平和實(shí)施成本。在評(píng)估數(shù)據(jù)安全風(fēng)險(xiǎn)時(shí)，應(yīng)考慮個(gè)人數(shù)據(jù)處理所帶來(lái)的風(fēng)險(xiǎn)，例如偶然或非法銷毀，丟失，更改，未經(jīng)授權(quán)的披露或訪問所傳輸，存儲(chǔ)或以其他方式處理的個(gè)人數(shù)據(jù)。特別是會(huì)導(dǎo)致物理，物質(zhì)或非物質(zhì)的損害。”

GDPR要求組織合并加密，以保護(hù)消費(fèi)者的數(shù)據(jù)并減輕與數(shù)據(jù)傳輸相關(guān)的風(fēng)險(xiǎn)(例如，數(shù)據(jù)散布或網(wǎng)絡(luò)攻擊)。

CCPA加密要求

根據(jù)《加利福尼亞消費(fèi)者隱私法案》，雖然組織明智地要求加密措施，但沒有明確提及要求采取加密措施。這是因?yàn)椋词箍赡軟]有明確的數(shù)據(jù)加密要求，也可能會(huì)因涉及“未加密或未編輯的個(gè)人信息”的數(shù)據(jù)泄露而被處以罰款(每位消費(fèi)者每次事件或?qū)嶋H損失最高為750美元)。如果使用加密，則可以免除這些罰款，因?yàn)檫`反數(shù)據(jù)是經(jīng)過加密的，并且沒有解密密鑰就無(wú)法理解。

為了獲得最高的安全性，無(wú)論數(shù)據(jù)在何處共享，都應(yīng)使用加密來(lái)保護(hù)數(shù)據(jù)。組織對(duì)消費(fèi)者負(fù)有責(zé)任，需要在其數(shù)據(jù)管理解決方案中分層以數(shù)據(jù)為中心的加密，以在滿足數(shù)據(jù)主體請(qǐng)求(DSR)時(shí)促進(jìn)數(shù)據(jù)的安全傳輸。

根據(jù)《加利福尼亞民法典》第1798.81.5節(jié)的規(guī)定，符合特定要求并處理加利福尼亞居民個(gè)人數(shù)據(jù)的組織或企業(yè)有義務(wù)實(shí)施和維護(hù)適合其所處理信息性質(zhì)的合理安全程序和做法。在此必須考慮“合理的安全性”。

LGPD加密要求

根據(jù)國(guó)際隱私專業(yè)人員協(xié)會(huì)(IAPP)的一篇文章，巴西已經(jīng)在聯(lián)邦一級(jí)起草了40多個(gè)有關(guān)數(shù)據(jù)隱私的法律規(guī)范。這些法律的唯一缺點(diǎn)是它們是部門性的，這意味著它們與特定行業(yè)有關(guān)，并且沒有涵蓋整個(gè)層面的所有方面。這就是為什么起草了巴西的新數(shù)據(jù)保護(hù)法，即LGPD(代表Le Geral deProteçãode Dados Pessoais)，以提供更全面和整體的監(jiān)管框架的原因。

達(dá)索斯·佩索埃伊保護(hù)區(qū)的雷·杰拉爾(Lei Geral deProteçãode Dados Pessoais)模仿了GDPR，包含65篇文章。該法案于2018年8月14日通過，并于2019年7月受到總統(tǒng)賈爾·博爾索納羅(Jair Bolsonaro)的制裁。執(zhí)法日期定為2020年8月15日。

就像GDPR和CCPA一樣，LGPD(巴西通用數(shù)據(jù)保護(hù)法/ Le Geral deProteçãode Dados Pessoais)并未明確要求組織對(duì)其數(shù)據(jù)進(jìn)行加密，但是在處理消費(fèi)者的個(gè)人信息時(shí)仍需要合理的安全性。實(shí)現(xiàn)此目的最簡(jiǎn)單，最有效的方法是使用加密。

根據(jù)LGPD，組織必須將個(gè)人數(shù)據(jù)的網(wǎng)絡(luò)安全和數(shù)據(jù)安全方面的最佳實(shí)踐納入其中。LGPD指出，該法律不適用于任何加密或匿名的個(gè)人數(shù)據(jù)，其程度使其難以理解，并且可能被那些違反數(shù)據(jù)的人輕易將其恢復(fù)為原始狀態(tài)。

HIPAA加密要求

《健康保險(xiǎn)可移植性和責(zé)任制法案》(HIPAA)要求醫(yī)療提供者(也稱為承保實(shí)體)實(shí)施數(shù)據(jù)安全性，以保護(hù)其患者的信息不被泄露。

當(dāng)了解安全性和數(shù)據(jù)保護(hù)方面的要求(或不需要)時(shí)，HIPAA加密要求可能會(huì)造成混淆。原因是與保護(hù)受保護(hù)的健康信息有關(guān)的技術(shù)保障被定義為“ 可尋址 ”要求。對(duì)于傳輸安全性狀態(tài)的HIPAA加密要求，即所涵蓋的實(shí)體應(yīng)在適當(dāng)?shù)臅r(shí)候 “ 實(shí)施一種對(duì)PHI進(jìn)行加密的機(jī)制。該指令相當(dāng)模糊且易于解釋，因此造成混淆。

換句話說，HIPAA確實(shí)要求組織或涵蓋實(shí)體對(duì)PHI具有一定程度的安全性。除非有充分的理由說明組織為什么不能實(shí)施加密并提供同等的選擇，否則組織必須對(duì)數(shù)據(jù)進(jìn)行加密。

與不同的加密法律法規(guī)相關(guān)的罰款

根據(jù)CCPA，GDPR和LGPD，沒有與未實(shí)施加密相關(guān)的具體罰款。但是，如果實(shí)施適當(dāng)?shù)募用埽M織可能能夠避免與數(shù)據(jù)泄露有關(guān)的罰款。例如，如果組織適當(dāng)?shù)剡M(jìn)行了加密，則在發(fā)生數(shù)據(jù)泄露的情況下，由于泄露的數(shù)據(jù)已加密，因此他們很可能不會(huì)受到懲罰。

對(duì)于HIPAA，法律要求組織為受保護(hù)的健康信息設(shè)置適當(dāng)?shù)募用埽墙M織可以提供無(wú)法實(shí)施加密的可靠理由并提供同等的選擇。

即使在組織確實(shí)聲稱有不加密的充分理由的情況下，仍然會(huì)因不加密而被罰款。例如，羅切斯特大學(xué)醫(yī)學(xué)中心(URMC)因未能加密移動(dòng)設(shè)備以及其他違反HIPAA的行為而被罰款300萬(wàn)美元。

去年，英國(guó)航空公司因違反歐盟《通用數(shù)據(jù)保護(hù)條例》而被罰款1.84億英鎊(2.3億美元)。消費(fèi)者數(shù)據(jù)由于泄露時(shí)組織的不良安全狀況而被泄露。ICO說： “ ICO的調(diào)查發(fā)現(xiàn)，由于公司的安全措施差，各種信息受到了損害，包括登錄，支付卡和旅行預(yù)訂詳細(xì)信息以及姓名和地址信息。”

數(shù)據(jù)加密優(yōu)秀實(shí)踐

無(wú)論GDPR，CCPA和HIPAA是否適用于您的組織，還是適用于其他法規(guī)(例如“ 支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)”)，加密都是任何組織安全的組成部分。因此，務(wù)必牢記實(shí)現(xiàn)數(shù)據(jù)加密的最佳方法，以避免可能使您的組織容易遭受數(shù)據(jù)泄露的各種事故或漏洞。

1. 管理數(shù)字證書

14證書管理最佳實(shí)踐，以保持組織的運(yùn)行，安全和完全合規(guī)。

2. 下載清單

以下是組織可以采用的一些優(yōu)秀實(shí)踐，以擁有一個(gè)有效的加密系統(tǒng)：

(1) 保持加密密鑰的安全

第一點(diǎn)似乎很明顯，但很關(guān)鍵。特別提到這一點(diǎn)是因?yàn)檫@是一個(gè)容易犯的錯(cuò)誤，它可能導(dǎo)致未經(jīng)授權(quán)的各方訪問您的數(shù)據(jù)。例如，如果您的加密密鑰在PC上的純文本文件中，則很有可能有人找到它并造成損壞。

解決此問題的一些解決方案可能是：

• 將密鑰與數(shù)據(jù)分開，限制用戶訪問，并且按時(shí)間表旋轉(zhuǎn)鑰匙。
• 加密所有敏感數(shù)據(jù)

所有類型的敏感數(shù)據(jù)都必須加密，這一點(diǎn)至關(guān)重要。為了安全起見，您可能認(rèn)為自己的數(shù)據(jù)是安全的，但是您知道有幾家公司被泄露，因?yàn)樗鼈兾磳?duì)重要數(shù)據(jù)進(jìn)行加密并且有人可以訪問它。通過加密您的數(shù)據(jù)，對(duì)于那些可能出于惡意意圖破壞您的系統(tǒng)的人，您將變得更加困難。

(2) 評(píng)估數(shù)據(jù)加密性能

有效的數(shù)據(jù)加密不僅需要使未授權(quán)方無(wú)法讀取您的數(shù)據(jù)，而且還需要有效利用資源。如果加密數(shù)據(jù)花費(fèi)的時(shí)間太長(zhǎng)或占用了太多的CPU時(shí)間和內(nèi)存，請(qǐng)考慮切換到其他算法或嘗試使用數(shù)據(jù)加密工具中的設(shè)置。

(3) 保護(hù)運(yùn)輸和靜止數(shù)據(jù)

加密在數(shù)據(jù)保護(hù)中起著至關(guān)重要的作用，用于保護(hù)傳輸(正在傳輸)和靜止(存儲(chǔ)以備后用)數(shù)據(jù)。企業(yè)通常選擇在移動(dòng)之前對(duì)敏感數(shù)據(jù)進(jìn)行加密和/或使用加密連接(HTTPS，SSL，TLS，F(xiàn)TPS等)來(lái)保護(hù)傳輸中的數(shù)據(jù)內(nèi)容。為了保護(hù)靜態(tài)數(shù)據(jù)，企業(yè)可以在存儲(chǔ)敏感文件之前對(duì)其進(jìn)行簡(jiǎn)單加密和/或選擇對(duì)存儲(chǔ)驅(qū)動(dòng)器本身進(jìn)行加密。為了保護(hù)傳輸中的數(shù)據(jù)，他們可以在其服務(wù)器上安裝SSL / TLS證書。

(4) 加密數(shù)據(jù)庫(kù)中的數(shù)據(jù)

雖然其他安全工具可以保護(hù)系統(tǒng)免受入侵或攻擊，但數(shù)據(jù)庫(kù)的加密是處理數(shù)據(jù)安全性的主要防御方式。這意味著，即使在系統(tǒng)崩潰的情況下，使用加密密鑰的用戶仍然只能讀取受破壞的數(shù)據(jù)。

(5) 實(shí)施S / MIME以保護(hù)電子郵件通信

在安全/多用途Internet郵件擴(kuò)展(S / MIME)允許企業(yè)發(fā)送端-端加密的電子郵件和填寫數(shù)據(jù)蔓延任何漏洞。許多敏感數(shù)據(jù)通過電子郵件進(jìn)行通信，這是確保這些電子郵件安全的最佳方法。

重點(diǎn)介紹

數(shù)據(jù)加密是任何組織數(shù)據(jù)安全的重要組成部分，并促進(jìn)安全通信。一些隱私法規(guī)，例如GDPR，CCPA和LGPD要求加密，而有些則可能未明確指定使用加密，但仍建議使用。隱私法規(guī)經(jīng)常在數(shù)據(jù)泄露的情況下對(duì)組織進(jìn)行懲罰，但是在數(shù)據(jù)被加密的情況下可以避免這些懲罰，因?yàn)槠茐臄?shù)據(jù)的人如果沒有解密密鑰就無(wú)法解密。

每年需要?jiǎng)?chuàng)建zettabytes的數(shù)據(jù)，因此組織需要采用最佳實(shí)踐來(lái)進(jìn)行數(shù)據(jù)加密，以避免發(fā)生任何形式的數(shù)據(jù)蔓延或破壞。這可以通過保護(hù)您的加密密鑰，加密所有敏感數(shù)據(jù)以及評(píng)估數(shù)據(jù)加密性能來(lái)實(shí)現(xiàn)。

在這個(gè)數(shù)據(jù)隱私時(shí)代，加密不再是一種選擇，公司將在加密所有敏感數(shù)據(jù)方面做得很好。