Матрица за споредба на усогласеност

Споредете ги барањата за заштита на податоците на GDPR, CCPA, HIPAA и ISO 27001 едно до друго — и видете како cloak.business се справува со секоја од нив.

Организациите што управуваат со лични податоци мора да се движат низ повеќе преклопувачки регулативи. Оваа матрица ги споредува четирите најрелевантни рамки за заштита на PII и покажува како cloak.business се мапира на секоја.

Споредба на рамките

GDPR

Општа регулатива за заштита на податоци

Scope: Сите лични податоци на резиденти на ЕУ/ЕЕА, без оглед на тоа каде се наоѓа организацијата за обработка.

Jurisdiction: Европска унија / Европска економска област

Data Types: Секоја информација која се однесува на идентификувана или идентификулива физичка личност — имиња, е-пошта, IP адреси, податоци за локација, биометриски податоци и многу повеќе.

Penalties: До 20 милиони евра или 4% од глобалниот годишен промет, што е поголемо.

Key Requirements:

Законска основа за обработка (согласност, договор, легитимен интерес)
Оценки на влијанието врз заштитата на податоците (DPIA)
Право на бришење и преносливост на податоците
Офицер за заштита на податоците (DPO) за одредени организации
Објавување на повреда во рок од 72 часа
Приватност по дизајн и по подразбирање

How cloak.business helps:Автоматизирано откривање на PII во над 70 земји, обратлива енкрипција за минимизација на податоците и псевдонимизација, логирање на ревизија и германска резиденција на податоците (ЕУ јурисдикција).

CCPA/CPRA

Закон за приватност на потрошувачите во Калифорнија / Закон за права на приватност во Калифорнија

Scope: Лични информации на резиденти на Калифорнија собрани од компании кои ги исполнуваат праговите за приход или обем на податоци.

Jurisdiction: Калифорнија, Сједињени Држави

Data Types: Информации кои идентификуваат, се однесуваат на, или можат да бидат поврзани со потрошувачот или домаќинството во Калифорнија — имиња, SSN, геолокација, историја на прелистување, биометриски податоци.

Penalties: До 7,500 долари по намерно кршење; 2,500 долари по ненамерно кршење. Личен правен лек за повреди на податоците (100–750 долари по потрошувач на инцидент).

Key Requirements:

Право да се знае кои податоци се собираат
Право да се избрише личната информација
Право да се откаже од продажба на податоци
Разумни безбедносни мерки
Ажурирани објави за политика на приватност
Минимизација на податоците (додаток на CPRA)

How cloak.business helps:Откривање и класифицирање на специфични PII за САД (SSN, возачка дозвола, државни идентификациони документи), анонимизирање пред споделување и одржување на логови за ревизија за барања за податоци од потрошувачите.

HIPAA

Закон за преносливост и одговорност на здравственото осигурување

Scope: Заштитени здравствени информации (PHI) кои ги држат покриените субјекти и нивните деловни соработници.

Jurisdiction: Сједињени Држави (федерално)

Data Types: 18 HIPAA идентификатори вклучувајќи имиња, датуми, телефонски броеви, е-пошта, SSN, броеви на медицински записи, идентификациони документи за здравствени планови и биометриски идентификатори.

Penalties: Ниво 1: 100–50,000 долари по кршење. Ниво 2: 1,000–50,000 долари. Ниво 3: 10,000–50,000 долари. Ниво 4 (намерна занемарување): 50,000+ долари по кршење, до 1.5 милиони долари годишно по категорија.

Key Requirements:

Административни, физички и технички заштити
Енкрипција на PHI (адресабилна спецификација)
Контроли за пристап и логови за ревизија
Договори за деловни соработници (BAA)
Објавување на повреда во рок од 60 дена
Минимален неопходен стандард за употреба на податоците

How cloak.business helps:Откривање на поголемиот дел од 18-те идентификатори на HIPAA Safe Harbor (SSN, имиња, датуми, телефонски броеви, е-пошта, броеви на медицински записи, IP адреси, URL-адреси), енкрипција со AES-256-GCM и обезбедување на логирање на ревизија.

ISO 27001

ISO/IEC 27001:2022 Управување со информациска безбедност

Scope: Систем за управување со информациска безбедност (ISMS) на која било организација, вклучувајќи луѓе, процеси и технологија.

Jurisdiction: Меѓународно (доброволна сертификација)

Data Types: Сите информациски средства — не се ограничени на лични податоци. Опфаќа интелектуална сопственост, финансиски податоци, записи за вработени и какви било чувствителни деловни информации.

Penalties: Нема директни регулаторни казни. Загуба на сертификација, договорни последици и репутациска штета. Многу корпоративни договори бараат ISO 27001.

Key Requirements:

Утврдување и одржување на ISMS
Методологија за проценка и третман на ризици
93 контроли преку 4 теми (Додаток А)
Внатрешни ревизии и управувачки прегледи
Процес на континуирано подобрување
Изјава за применливост (SoA)

How cloak.business helps:cloak.business работи на инфраструктура сертифицирана со ISO 27001:2022 на Hetzner во Германија. Се усогласуваме со контроли од Додаток А вклучувајќи енкрипција (A.8.24), контрола на пристап (A.5.15) и управување со инциденти (A.5.24–A.5.28).

Брза споредба

Аспект	GDPR	CCPA/CPRA	HIPAA	ISO 27001
Тип	Регулација (закон)	Државен закон	Федерален закон	Доброволен стандард
Географска област	ЕУ/ЕЕА + глобален достап	Калифорнија	Сједињени Држави	Меѓународно
Се применува на	Секоја организација што обработува податоци на ЕУ	Компании над праговите	Покриени субјекти + BA	Секоја организација (доброволно)
Енкрипција потребна?	Препорачливо (не е задолжително)	Разумна безбедност	Адресабилно (силно препорачливо)	На основа на ризик (A.8.24)
Објавување на повреда	72 часа	Без непотребно одложување	60 дена	Според планот за одговор на инциденти
Право на бришење	Да (право на бришење)	Да (право на бришење)	Ограничено (права на измена)	Според политиката на ISMS

Често поставувани прашања

Може ли cloak.business да помогне со усогласеноста на GDPR и CCPA истовремено?

Да. cloak.business открива PII во над 70 земји, вклучувајќи ги сите земји-членки на ЕУ и специфични идентификатори за САД како што се SSN и возачки дозволи од Калифорнија. Истиот процес на анонимизација функционира за двете рамки — откривање, класифицирање, анонимизирање и логирање на сите операции за ревизија.

Дали cloak.business поддржува деидентификација според HIPAA?

Да. cloak.business открива поголемиот дел од 18-те идентификатори на HIPAA Safe Harbor користејќи ги своите 317 распознавачи на шаблони — вклучувајќи SSN, имиња, датуми, телефонски броеви, е-пошта, броеви на медицински записи, IP адреси и URL-адреси. Можете да деидентификувате податоци следејќи ја методата Safe Harbor. Сите операции се енкриптирани со AES-256-GCM.

Како сертификацијата ISO 27001 се поврзува со усогласеноста на GDPR?

ISO 27001 обезбедува рамка за управување со безбедноста која ги поддржува техничките барања на GDPR. Додека GDPR е законско барање, а ISO 27001 е доброволен стандард, имплементирањето на контролите на ISO 27001 (особено контрола на пристап, енкрипција и управување со инциденти) демонстрира 'соодветни технички мерки' кои ги бара член 32 на GDPR.

Која рамка за усогласеност треба да ја приоритизира мојата организација?

Зависи од вашите податоци и географија. Ако обработувате лични податоци на ЕУ, GDPR е задолжителен. Ако управувате со податоци на потрошувачи од Калифорнија, CCPA се применува. Ако се занимавате со здравствени податоци во САД, HIPAA е задолжителен. ISO 27001 е доброволен, но широко се очекува за корпоративни договори. Повеќето организации подложни на повеќе рамки имаат корист од обединет пристап — cloak.business обезбедува една платформа која ги покрива сите четири.

Исполнете ги сите барања за усогласеност

Започнете со откривање и анонимизирање на PII во сите регулаторни рамки за неколку минути.