cloak.business

Atbilstības salīdzināšanas matrica

Salīdziniet GDPR, CCPA, HIPAA un ISO 27001 datu aizsardzības prasības blakus — un redziet, kā cloak.business risina katru no tām.

Organizācijām, kas apstrādā personas datus, jāievēro vairāki pārklājoši noteikumi. Šī matrica salīdzina četrus visatbilstošākos ietvarus PII aizsardzībai un parāda, kā cloak.business atbilst katram.

Ietvaru salīdzinājums

GDPR

Vispārīgā datu aizsardzības regula

Scope: Visi personas dati ES/EEZ iedzīvotājiem, neatkarīgi no tā, kur atrodas apstrādes organizācija.
Jurisdiction: Eiropas Savienība / Eiropas Ekonomikas Zona
Data Types: Jebkāda informācija, kas attiecas uz identificētu vai identificējamu fizisku personu — vārdi, e-pasti, IP adreses, atrašanās vietas dati, biometrijas dati un citi.
Penalties: Līdz 20 miljoniem € vai 4% no globālajiem gada ieņēmumiem, atkarībā no tā, kas ir lielāks.
Key Requirements:
  • Likumīgs pamats apstrādei (piekrīšana, līgums, likumīgas intereses)
  • Datu aizsardzības ietekmes novērtējumi (DPIA)
  • Tiesības uz dzēšanu un datu pārnesamību
  • Datu aizsardzības speciālists (DPO) noteiktām organizācijām
  • 72 stundu pārkāpuma paziņošana
  • Privātums pēc noklusējuma un pēc dizaina
How cloak.business helps:Automatizēta PII noteikšana vairāk nekā 70 valstīs, atgriezeniska šifrēšana datu minimizēšanai un pseidonimizācijai, audita žurnālu saglabāšana un datu atrašanās vieta Vācijā (ES jurisdikcija).

CCPA/CPRA

Kalifornijas patērētāju privātuma akts / Kalifornijas privātuma tiesību akts

Scope: Kalifornijas iedzīvotāju personas informācija, ko vāc uzņēmumi, kas atbilst ieņēmumu vai datu apjoma sliekšņiem.
Jurisdiction: Kalifornija, Amerikas Savienotās Valstis
Data Types: Informācija, kas identificē, attiecas uz vai varētu tikt saistīta ar Kalifornijas patērētāju vai mājsaimniecību — vārdi, sociālās apdrošināšanas numuri, ģeolokācija, pārlūkošanas vēsture, biometrijas dati.
Penalties: Līdz 7,500 $ par apzinātu pārkāpumu; 2,500 $ par neapzinātu pārkāpumu. Privātā rīcība datu pārkāpumu gadījumā (100–750 $ par patērētāju par incidentu).
Key Requirements:
  • Tiesības zināt, kādi dati tiek vākti
  • Tiesības dzēst personas informāciju
  • Tiesības atteikties no datu pārdošanas
  • Sapratīgas drošības pasākumi
  • Atjaunināti privātuma politikas paziņojumi
  • Datu minimizācija (CPRA papildinājums)
How cloak.business helps:Noteikt un klasificēt ASV specifiskos PII (SSN, vadītāja apliecība, štata ID), anonimizēt pirms koplietošanas un saglabāt audita pēdas patērētāju datu pieprasījumiem.

HIPAA

Veselības apdrošināšanas pārnesamības un atbildības akts

Scope: Aizsargāta veselības informācija (PHI), ko glabā segtās iestādes un to biznesa partneri.
Jurisdiction: Amerikas Savienotās Valstis (federālais)
Data Types: 18 HIPAA identifikatori, tostarp vārdi, datumi, tālruņu numuri, e-pasta adreses, sociālās apdrošināšanas numuri, medicīnisko ierakstu numuri, veselības plāna ID un biometrijas identifikatori.
Penalties: 1. līmenis: 100–50,000 $ par pārkāpumu. 2. līmenis: 1,000–50,000 $. 3. līmenis: 10,000–50,000 $. 4. līmenis (apzināta nolaidība): 50,000+ $ par pārkāpumu, līdz 1.5 miljoniem $ gadā par kategoriju.
Key Requirements:
  • Administratīvie, fiziskie un tehniskie drošības pasākumi
  • PHI šifrēšana (adresējama specifikācija)
  • Piekļuves kontroles un audita pēdas
  • Biznesa partneru līgumi (BAA)
  • Pārkāpuma paziņošana 60 dienu laikā
  • Minimālais nepieciešamais standarts datu izmantošanai
How cloak.business helps:Noteikt lielāko daļu HIPAA 18 Safe Harbor identifikatoru (SSN, vārdi, datumi, tālruņu numuri, e-pasti, medicīnisko ierakstu numuri, IP, URL), šifrēt ar AES-256-GCM un nodrošināt audita žurnālus.

ISO 27001

ISO/IEC 27001:2022 Informācijas drošības pārvaldība

Scope: Jebkuras organizācijas informācijas drošības pārvaldības sistēma (ISMS), tostarp cilvēki, procesi un tehnoloģijas.
Jurisdiction: Starptautisks (brīvprātīga sertifikācija)
Data Types: Visi informācijas aktīvi — neierobežojoties ar personas datiem. Aptver intelektuālo īpašumu, finanšu datus, darbinieku ierakstus un jebkuru sensitīvu biznesa informāciju.
Penalties: Nav tiešu regulējošu sodu. Sertifikācijas zaudēšana, līgumiskas sekas un reputācijas bojājums. Daudzi uzņēmumu līgumi prasa ISO 27001.
Key Requirements:
  • Izveidot un uzturēt ISMS
  • Riska novērtēšanas un apstrādes metodoloģija
  • 93 kontroles 4 tēmās (Pielikums A)
  • Iekšējie auditi un vadības pārskati
  • Nepārtraukta uzlabošanas procesa
  • Piemērojamības paziņojums (SoA)
How cloak.business helps:cloak.business darbojas uz Hetzner ISO 27001:2022 sertificētās infrastruktūras Vācijā. Mēs atbilstam Pielikuma A kontroles prasībām, tostarp šifrēšanai (A.8.24), piekļuves kontrolei (A.5.15) un incidentu pārvaldībai (A.5.24–A.5.28).

Ātrs salīdzinājums

AspektsGDPRCCPA/CPRAHIPAAISO 27001
TipsRegulējums (likums)Valsts likumsFederālais likumsBrīvprātīgs standarts
Ģeogrāfiskais apmārsES/EEZ + globāla ietekmeKalifornijaAmerikas Savienotās ValstisStarptautisks
Attiecas uzJebkura organizācija, kas apstrādā ES datusUzņēmumi, kas pārsniedz sliekšņusSegtās iestādes + BAJebkura organizācija (brīvprātīga)
Nepieciešama šifrēšana?Ieteicama (nav obligāta)Sapratīga drošībaAdresējama (stipri ieteicama)Riska balstīta (A.8.24)
Pārkāpuma paziņošana72 stundasBez nepamatotas kavēšanās60 dienasPēc incidentu reaģēšanas plāna
Tiesības uz dzēšanuJā (tiesības uz dzēšanu)Jā (tiesības dzēst)Ierobežotas (grozījumu tiesības)Pēc ISMS politikas

Biežāk uzdotie jautājumi

Vai cloak.business var palīdzēt ar GDPR un CCPA atbilstību vienlaikus?

Jā. cloak.business nosaka PII vairāk nekā 70 valstīs, tostarp visās ES dalībvalstīs un ASV specifiskos identifikatoros, piemēram, SSN un Kalifornijas vadītāja apliecībās. Tas pats anonimizācijas cauruļvads darbojas abiem ietvariem — noteikt, klasificēt, anonimizēt un reģistrēt visas darbības audita vajadzībām.

Vai cloak.business atbalsta HIPAA de-identifikāciju?

Jā. cloak.business nosaka lielāko daļu HIPAA 18 Safe Harbor identifikatoru, izmantojot savus 317 modeļu atpazītājus — tostarp SSN, vārdus, datumus, tālruņu numurus, e-pastus, medicīnisko ierakstu numurus, IP adreses un URL. Jūs varat de-identificēt datus, izmantojot Safe Harbor metodi. Visas darbības tiek šifrētas ar AES-256-GCM.

Kā ISO 27001 sertifikācija attiecas uz GDPR atbilstību?

ISO 27001 nodrošina drošības pārvaldības ietvaru, kas atbalsta GDPR tehniskās prasības. Lai gan GDPR ir juridiska prasība un ISO 27001 ir brīvprātīgs standarts, ISO 27001 kontroles (īpaši piekļuves kontrole, šifrēšana un incidentu pārvaldība) ieviešana demonstrē 'atbilstošos tehniskos pasākumus', kurus prasa GDPR 32. pants.

Kuru atbilstības ietvaru manai organizācijai vajadzētu prioritizēt?

Tas atkarīgs no jūsu datiem un ģeogrāfijas. Ja jūs apstrādājat ES personas datus, GDPR ir obligāts. Ja jūs apstrādājat Kalifornijas patērētāju datus, CCPA attiecas. Ja jūs nodarbojaties ar veselības datiem ASV, HIPAA ir nepieciešama. ISO 27001 ir brīvprātīgs, bet plaši gaidīts uzņēmumu līgumos. Lielākā daļa organizāciju, kas pakļautas vairākiem ietvariem, gūst labumu no vienota pieejas — cloak.business nodrošina vienu platformu, kas risina visus četrus.

Iepazīstieties ar katru atbilstības prasību

Sāciet noteikt un anonimizēt PII visos regulējošajos ietvaros dažu minūšu laikā.