cloak.business

ตารางเปรียบเทียบการปฏิบัติตาม

เปรียบเทียบข้อกำหนดการป้องกันข้อมูลของ GDPR, CCPA, HIPAA, และ ISO 27001 ข้างเคียงกัน — และดูว่า cloak.business แก้ไขแต่ละข้อได้อย่างไร

องค์กรที่จัดการข้อมูลส่วนบุคคลต้องเผชิญกับกฎระเบียบที่ทับซ้อนกันหลายข้อ ตารางนี้เปรียบเทียบกรอบที่เกี่ยวข้องสี่กรอบสำหรับการป้องกัน PII และแสดงให้เห็นว่า cloak.business สอดคล้องกับแต่ละกรอบอย่างไร

การเปรียบเทียบกรอบ

GDPR

กฎระเบียบการป้องกันข้อมูลทั่วไป

Scope: ข้อมูลส่วนบุคคลทั้งหมดของผู้ที่อาศัยอยู่ใน EU/EEA โดยไม่คำนึงถึงสถานที่ตั้งขององค์กรที่ประมวลผล
Jurisdiction: สหภาพยุโรป / เขตเศรษฐกิจยุโรป
Data Types: ข้อมูลใด ๆ ที่เกี่ยวข้องกับบุคคลธรรมชาติที่ระบุหรือสามารถระบุได้ — ชื่อ, อีเมล, ที่อยู่ IP, ข้อมูลตำแหน่ง, ข้อมูลชีวภาพ และอื่น ๆ
Penalties: สูงสุด €20 ล้านหรือ 4% ของยอดขายประจำปีทั่วโลก ขึ้นอยู่กับจำนวนที่มากกว่า
Key Requirements:
  • ฐานทางกฎหมายสำหรับการประมวลผล (ความยินยอม, สัญญา, ผลประโยชน์ที่ชอบด้วยกฎหมาย)
  • การประเมินผลกระทบการป้องกันข้อมูล (DPIAs)
  • สิทธิในการลบและการพกพาข้อมูล
  • เจ้าหน้าที่ป้องกันข้อมูล (DPO) สำหรับองค์กรบางแห่ง
  • การแจ้งเตือนการละเมิดภายใน 72 ชั่วโมง
  • ความเป็นส่วนตัวโดยการออกแบบและโดยค่าเริ่มต้น
How cloak.business helps:การตรวจจับ PII อัตโนมัติในกว่า 70 ประเทศ การเข้ารหัสที่สามารถย้อนกลับได้เพื่อการลดข้อมูลและการตั้งชื่อใหม่ การบันทึกการตรวจสอบ และการจัดเก็บข้อมูลในเยอรมนี (เขตอำนาจศาลของ EU)

CCPA/CPRA

พระราชบัญญัติคุ้มครองข้อมูลผู้บริโภคแห่งแคลิฟอร์เนีย / พระราชบัญญัติเสรีภาพด้านข้อมูลของแคลิฟอร์เนีย

Scope: ข้อมูลส่วนบุคคลของผู้ที่อาศัยอยู่ในแคลิฟอร์เนียที่เก็บรวบรวมโดยธุรกิจที่มีรายได้หรือปริมาณข้อมูลถึงเกณฑ์
Jurisdiction: แคลิฟอร์เนีย, สหรัฐอเมริกา
Data Types: ข้อมูลที่ระบุ, เกี่ยวข้องกับ, หรือสามารถเชื่อมโยงกับผู้บริโภคหรือครัวเรือนในแคลิฟอร์เนีย — ชื่อ, หมายเลขประกันสังคม, ข้อมูลตำแหน่ง, ประวัติการท่องเว็บ, ข้อมูลชีวภาพ
Penalties: สูงสุด $7,500 ต่อการละเมิดโดยเจตนา; $2,500 ต่อการละเมิดโดยไม่เจตนา สิทธิในการดำเนินการทางแพ่งสำหรับการละเมิดข้อมูล ($100–$750 ต่อผู้บริโภคต่อเหตุการณ์)
Key Requirements:
  • สิทธิในการทราบว่าข้อมูลใดถูกเก็บรวบรวม
  • สิทธิในการลบข้อมูลส่วนบุคคล
  • สิทธิในการเลือกไม่ให้ข้อมูลถูกขาย
  • มาตรการรักษาความปลอดภัยที่เหมาะสม
  • การเปิดเผยนโยบายความเป็นส่วนตัวที่ปรับปรุงแล้ว
  • การลดข้อมูล (เพิ่มเติมจาก CPRA)
How cloak.business helps:ตรวจจับและจัดประเภท PII ที่เฉพาะเจาะจงในสหรัฐอเมริกา (หมายเลขประกันสังคม, ใบขับขี่, รหัสรัฐ), ทำให้ไม่สามารถระบุได้ก่อนการแชร์ และรักษาบันทึกการตรวจสอบสำหรับคำขอข้อมูลของผู้บริโภค

HIPAA

พระราชบัญญัติความสามารถในการพกพาและความรับผิดชอบด้านประกันสุขภาพ

Scope: ข้อมูลสุขภาพที่ได้รับการคุ้มครอง (PHI) ที่ถือโดยหน่วยงานที่ได้รับการคุ้มครองและผู้ร่วมธุรกิจของพวกเขา
Jurisdiction: สหรัฐอเมริกา (ระดับรัฐบาลกลาง)
Data Types: 18 ตัวระบุ HIPAA รวมถึงชื่อ, วันที่, หมายเลขโทรศัพท์, ที่อยู่อีเมล, หมายเลขประกันสังคม, หมายเลขบันทึกทางการแพทย์, รหัสแผนสุขภาพ, และตัวระบุชีวภาพ
Penalties: ระดับ 1: $100–$50,000 ต่อการละเมิด ระดับ 2: $1,000–$50,000 ระดับ 3: $10,000–$50,000 ระดับ 4 (การละเลยโดยเจตนา): $50,000+ ต่อการละเมิด สูงสุด $1.5 ล้านต่อปีต่อหมวดหมู่
Key Requirements:
  • มาตรการป้องกันทางการบริหาร, ทางกายภาพ, และทางเทคนิค
  • การเข้ารหัสข้อมูล PHI (ข้อกำหนดที่สามารถจัดการได้)
  • การควบคุมการเข้าถึงและบันทึกการตรวจสอบ
  • ข้อตกลงผู้ร่วมธุรกิจ (BAAs)
  • การแจ้งเตือนการละเมิดภายใน 60 วัน
  • มาตรฐานขั้นต่ำที่จำเป็นสำหรับการใช้ข้อมูล
How cloak.business helps:ตรวจจับตัวระบุ Safe Harbor 18 ตัวส่วนใหญ่ของ HIPAA (หมายเลขประกันสังคม, ชื่อ, วันที่, หมายเลขโทรศัพท์, อีเมล, หมายเลขบันทึกทางการแพทย์, ที่อยู่ IP, URL), เข้ารหัสด้วย AES-256-GCM, และจัดทำบันทึกการตรวจสอบ

ISO 27001

ISO/IEC 27001:2022 การจัดการความปลอดภัยข้อมูล

Scope: ระบบการจัดการความปลอดภัยข้อมูล (ISMS) ขององค์กรใด ๆ รวมถึงบุคคล, กระบวนการ, และเทคโนโลยี
Jurisdiction: ระดับนานาชาติ (การรับรองโดยสมัครใจ)
Data Types: สินทรัพย์ข้อมูลทั้งหมด — ไม่จำกัดเฉพาะข้อมูลส่วนบุคคล ครอบคลุมทรัพย์สินทางปัญญา, ข้อมูลทางการเงิน, บันทึกพนักงาน, และข้อมูลธุรกิจที่ละเอียดอ่อนใด ๆ
Penalties: ไม่มีบทลงโทษทางกฎระเบียบโดยตรง การสูญเสียการรับรอง, ผลกระทบตามสัญญา, และความเสียหายต่อชื่อเสียง สัญญาขององค์กรหลายฉบับต้องการ ISO 27001
Key Requirements:
  • จัดตั้งและรักษา ISMS
  • วิธีการประเมินและจัดการความเสี่ยง
  • 93 มาตรการควบคุมใน 4 ธีม (ภาคผนวก A)
  • การตรวจสอบภายในและการตรวจสอบการจัดการ
  • กระบวนการปรับปรุงอย่างต่อเนื่อง
  • แถลงการณ์ความเหมาะสม (SoA)
How cloak.business helps:cloak.business ทำงานบนโครงสร้างพื้นฐานที่ได้รับการรับรอง ISO 27001:2022 ของ Hetzner ในเยอรมนี เราสอดคล้องกับมาตรการควบคุมภาคผนวก A รวมถึงการเข้ารหัส (A.8.24), การควบคุมการเข้าถึง (A.5.15), และการจัดการเหตุการณ์ (A.5.24–A.5.28)

การเปรียบเทียบอย่างรวดเร็ว

ด้านGDPRCCPA/CPRAHIPAAISO 27001
ประเภทกฎหมาย (ระเบียบ)กฎหมายของรัฐกฎหมายของรัฐบาลกลางมาตรฐานโดยสมัครใจ
ขอบเขตทางภูมิศาสตร์EU/EEA + การเข้าถึงทั่วโลกแคลิฟอร์เนียสหรัฐอเมริการะดับนานาชาติ
ใช้กับองค์กรใด ๆ ที่ประมวลผลข้อมูลของ EUธุรกิจที่มีรายได้หรือปริมาณข้อมูลเกินเกณฑ์หน่วยงานที่ได้รับการคุ้มครอง + BAsองค์กรใด ๆ (โดยสมัครใจ)
ต้องการการเข้ารหัส?แนะนำ (ไม่บังคับ)ความปลอดภัยที่เหมาะสมสามารถจัดการได้ (แนะนำอย่างยิ่ง)ตามความเสี่ยง (A.8.24)
การแจ้งเตือนการละเมิด72 ชั่วโมงโดยไม่ล่าช้าเกินควร60 วันตามแผนการตอบสนองต่อเหตุการณ์
สิทธิในการลบใช่ (สิทธิในการลบ)ใช่ (สิทธิในการลบ)จำกัด (สิทธิในการแก้ไข)ตามนโยบาย ISMS

คำถามที่พบบ่อย

cloak.business สามารถช่วยในการปฏิบัติตาม GDPR และ CCPA ได้พร้อมกันหรือไม่?

ใช่ cloak.business ตรวจจับ PII ในกว่า 70 ประเทศ รวมถึงรัฐสมาชิก EU ทั้งหมดและตัวระบุเฉพาะในสหรัฐอเมริกา เช่น หมายเลขประกันสังคมและใบขับขี่ของแคลิฟอร์เนีย ท่อการทำให้ไม่สามารถระบุได้เดียวกันทำงานได้กับทั้งสองกรอบ — ตรวจจับ, จัดประเภท, ทำให้ไม่สามารถระบุได้, และบันทึกการดำเนินการทั้งหมดสำหรับการตรวจสอบ

cloak.business รองรับการทำให้ไม่สามารถระบุได้ตาม HIPAA หรือไม่?

ใช่ cloak.business ตรวจจับตัวระบุ Safe Harbor 18 ตัวส่วนใหญ่ของ HIPAA โดยใช้เครื่องตรวจจับรูปแบบ 317 ตัว รวมถึงหมายเลขประกันสังคม, ชื่อ, วันที่, หมายเลขโทรศัพท์, อีเมล, หมายเลขบันทึกทางการแพทย์, ที่อยู่ IP, และ URL คุณสามารถทำให้ข้อมูลไม่สามารถระบุได้ตามวิธี Safe Harbor การดำเนินการทั้งหมดถูกเข้ารหัสด้วย AES-256-GCM

การรับรอง ISO 27001 เกี่ยวข้องกับการปฏิบัติตาม GDPR อย่างไร?

ISO 27001 ให้กรอบการจัดการความปลอดภัยที่สนับสนุนข้อกำหนดทางเทคนิคของ GDPR ขณะที่ GDPR เป็นข้อกำหนดทางกฎหมายและ ISO 27001 เป็นมาตรฐานโดยสมัครใจ การดำเนินการตามมาตรการควบคุม ISO 27001 (โดยเฉพาะการควบคุมการเข้าถึง, การเข้ารหัส, และการจัดการเหตุการณ์) แสดงให้เห็นถึง 'มาตรการทางเทคนิคที่เหมาะสม' ที่ข้อ 32 ของ GDPR กำหนด

องค์กรของฉันควรให้ความสำคัญกับกรอบการปฏิบัติตามใด?

ขึ้นอยู่กับข้อมูลและภูมิศาสตร์ของคุณ หากคุณประมวลผลข้อมูลส่วนบุคคลของ EU GDPR เป็นข้อกำหนดที่จำเป็น หากคุณจัดการข้อมูลผู้บริโภคในแคลิฟอร์เนีย CCPA จะมีผล หากคุณจัดการข้อมูลสุขภาพในสหรัฐอเมริกา HIPAA เป็นข้อกำหนด ISO 27001 เป็นมาตรฐานโดยสมัครใจแต่คาดหวังอย่างกว้างขวางสำหรับสัญญาขององค์กร องค์กรส่วนใหญ่ที่อยู่ภายใต้กรอบหลายกรอบจะได้รับประโยชน์จากแนวทางที่เป็นเอกภาพ — cloak.business มีแพลตฟอร์มเดียวที่ตอบสนองทั้งสี่กรอบ

ตอบสนองทุกข้อกำหนดการปฏิบัติตาม

เริ่มตรวจจับและทำให้ข้อมูล PII ไม่สามารถระบุได้ในทุกกรอบการกำกับดูแลภายในไม่กี่นาที