Magic Quadrant™ per la gestione degli accessi privilegiati 2025: Netwrix riconosciuta per il quarto anno consecutivo. Scarica il report.

ContattaciSupportoCommunity
English Español Italiano Français Deutsch Português
Piattaforma
Soluzioni

Data Security Posture Management

Scopri e classifica i dati in ambienti ibridi. Valuta, dai priorità e mitiga i rischi per i dati sensibili.

Directory Management

Semplifica e proteggi l'amministrazione delle directory riducendo complessità, rischio e sforzo manuale.

Endpoint Management

Proteggi gli endpoint e previeni la perdita di dati mantenendo produttivi i team, indipendentemente da dove lavorano.

Identity Management

Proteggi ogni identità, semplifica ogni processo e mantieniti in anticipo sulla conformità — senza aggiungere complessità.

Identity Threat Detection & Response

Rimani un passo avanti alle minacce basate sull'identità — rimedia proattivamente ai rischi, blocca gli attacchi e assicura un recupero rapido.

Privileged Access Management

Riduci la superficie di attacco eliminando i privilegi permanenti, bloccando le credenziali e monitorando le sessioni privilegiate.
Prodotti in evidenza Vedi tutti i prodotti
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La piattaforma Netwrix 1Secure™

Esplora
Netwrix AI Ambienti che proteggiamo Integrazioni MSPs Rischi per la sicurezza di Active Directory Conformità Prezzi
Centro Risorse Vedi tutto
BlogCatalogo degli AttacchiConformitàStorie dei clientiFramework di cybersecurityGlossario di CybersecurityEventiFreewareGuideIdeas PortalNotiziePodcastPubblicazioniAnnunci dei ProdottiRicercaWebinar
Asset not found

Storia di successo in primo piano

DXC Technology consente ai clienti di ottenere la conformità PCI DSS e di concentrarsi su iniziative strategiche
Partner
Partner ProgramDiventa un PartnerMSPsTrova partnerWebinar
Asset not found

Storia in primo piano di un cliente

AppRiver migliora il controllo su Active Directory riducendo notevolmente il tempo di auditing
Asset not found

Storia in primo piano di un cliente

MSP aiuta il cliente a riprendersi dal ransomware in 6 ore
Perché Netwrix
Chi siamoLeadershipNetwrix AICasi di successoRiconoscimentiNotizieLavora con noi
Asset not found

Storia in primo piano di un cliente

Horizon Leisure Centres accelera la classificazione dei dati per conformarsi al GDPR e risparmia £80.000 all’anno
Asset not found

Storia in primo piano di un cliente

Samsung R&D Institute protegge i dati con l'utilizzo multipiattaforma e il rapido dispiegamento su macOS usando Netwrix Endpoint Protector
Centro risorseBlog
Conformità CCPA: Come diventare conformi

Conformità CCPA: Come diventare conformi

Apr 7, 2021

La raccolta e l'elaborazione delle informazioni personali (PI) permettono alle aziende di personalizzare l'esperienza del cliente e aumentare le vendite. Tuttavia, alcune associazioni a difesa dei diritti dei consumatori e normative sulla privacy limitano strettamente la raccolta delle PI per assicurare che le organizzazioni utilizzino i loro dati in modo significativo e giusto. La più famosa è il General Data Protection Regulation (GDPR), ma sempre più stati negli Stati Uniti stanno promulgando le proprie data privacy laws.

Tra queste leggi spiccano il California Consumer Privacy Act del 2018 (CCPA) e la sua successiva estensione, il California Privacy Rights Act (CPRA), di cui parleremo ulteriormente in questo articolo.

Infatti, potresti aver notato che i termini di servizio per la maggior parte dei servizi digitali ora prevedono considerazioni speciali per i residenti in California. Questo è dovuto alle regole stabilite dal CCPA che si applicano alle organizzazioni che operano nello stato della California.

Molte organizzazioni hanno già politiche in atto per conformarsi al GDPR. Tuttavia, il CCPA ha alcune disposizioni che richiedono misure aggiuntive. Per proteggere la tua organizzazione, dovresti capire cosa sia il CCPA, le sue disposizioni chiave e i passi che puoi intraprendere per garantire la conformità al CCPA. Questo articolo discuterà su come diventare conformi al CCPA, perché è importante e come mantenere un equilibrio tra privacy ed efficienza aziendale. .

Cos'è il California Consumer Privacy Act?

Il California Consumer Privacy Act è uno statuto dello stato della California che è entrato in vigore il 1° gennaio 2020. Lo scopo principale del CCPA è proteggere i consumatori dalle aziende che vendono le loro informazioni private senza alcun avviso ufficiale o opportunità di adesione e di recesso. L'intenzione è quella di rendere responsabili tali aziende per qualsiasi transazione commerciale che coinvolga dati personali.

Scarica gratuitamente:

Termini e definizioni del CCPA

Cos'è la conformità CCPA? Rispondere a questa domanda richiede di definire alcuni termini chiave:

  • Impresa — Un'entità a scopo di lucro che opera nello stato della California e soddisfa i criteri per essere soggetta al CCPA (forniti di seguito).
  • Scopo commerciale — Le aziende che intendono raccogliere e utilizzare dati personali devono soddisfare uno dei seguenti scopi commerciali, come dettagliato nella suddivisione (d) del Codice Civile della California 140:
    • Verifica di un'interazione corrente per marketing e pubblicità
    • Gestione delle minacce alla sicurezza e legali
    • Risoluzione degli errori che compromettono la funzionalità
    • Raccolta di dati per un utilizzo a breve termine che non viene condiviso con terze parti o utilizzato per creare un profilo
    • Gestione di account o transazioni
    • Esecuzione di ricerche interne per lo sviluppo tecnologico e la dimostrazione
    • Tentativo di verificare, mantenere o migliorare la qualità o la sicurezza dei dispositivi o dei servizi dell'azienda
  • Residente in California — Qualcuno che si trova nello stato per qualcosa che non sia uno scopo temporaneo o transitorio, oppure qualcuno che è temporaneamente fuori dallo stato ma la cui residenza permanente è in California.
  • Raccolta — Definita come “l’acquisto, l’affitto, la raccolta, l’ottenimento, la ricezione o l’accesso a qualsiasi informazione personale relativa a un consumatore con qualsiasi mezzo.”
  • Consumatore — Una persona fisica che è residente in California.
  • Violazione dei dati — Una situazione in cui una parte non autorizzata ottiene accesso a informazioni sensibili che possono danneggiare i consumatori. Secondo un'analisi del CCPA da parte del National Law Review, ci sono tre requisiti che devono essere soddisfatti affinché un consumatore possa intraprendere azioni come risultato della violazione:
    • I dati devono essere informazioni personali come definite dal CCPA.
    • Le informazioni personali devono essere non criptate e non censurate.
    • La violazione deve essere stata il risultato del mancato attuamento e mantenimento di procedure e pratiche di sicurezza ragionevoli da parte dell'azienda.
  • Informazioni personali — Includendo qualsiasi dato, come il vero nome, un soprannome o il numero di telefono, che potrebbe essere utilizzato per creare un profilo sulle caratteristiche o le preferenze di una persona.
  • Vendita — La legge definisce ciò come “vendere, affittare, rilasciare, divulgare, diffondere, rendere disponibile, trasferire o altrimenti comunicare con qualsiasi mezzo” le informazioni personali di un consumatore a qualsiasi parte in cambio di qualsiasi tipo di compensazione. Il CCPA fornisce eccezioni specifiche che si applicano a questa definizione. Una è il riferimento o l'appalto, che si verifica quando un consumatore indirizza intenzionalmente un'azienda a interagire con una terza parte utilizzando un identificatore personale. Un'altra è quando le aziende non raccolgono, vendono o altrimenti utilizzano informazioni personali oltre ciò che è necessario “per eseguire lo scopo commerciale.”

Leggi il post del blog correlato:

Quali organizzazioni devono conformarsi al CCPA?

Il CCPA non è limitato alle imprese con sede in California. Piuttosto, si applica a qualsiasi impresa a scopo di lucro che raccoglie informazioni personali dai residenti in CA e soddisfa almeno uno dei seguenti criteri:

  • Ha un fatturato annuo di almeno 25 milioni di dollari
  • Contiene informazioni personali di almeno 50.000 individui o nuclei familiari
  • Genera più della metà del fatturato annuale vendendo informazioni personali dei residenti in California

Le esenzioni includono quanto segue:

  • Le istituzioni finanziarie soggette ai regolamenti Gramm-Leach-Bliley (GLB) o CalFIPA
  • Le agenzie di valutazione del credito soggette al Fair Credit Reporting Act
  • Fornitori di servizi sanitari soggetti a CMIA e HIPAA
  • Alcune relazioni business-to-business (B2B)

Di conseguenza, se la tua organizzazione ha raccolto qualsiasi informazione personale da un residente della California (ad esempio, tramite i cookie del sito web), allora potrebbe essere necessario conformarsi al CCPA.

Quali informazioni sono regolate dal CCPA?

La sottosezione (v) (1) della Section 1798.140 del Codice Civile della California elenca diverse categorie di tipi di dati protetti sotto il CCPA. Molti di questi sono autoesplicativi, come “nome reale” o “indirizzo email”. Tuttavia, alcuni richiedono ulteriori spiegazioni:

  • Identificatori personali unici/identificatori online — Sebbene "identificatore personale unico" sia elencato come un sottotipo di informazioni personali, è definito separatamente come "un identificatore persistente che può essere utilizzato per riconoscere un consumatore, una famiglia o un dispositivo collegato a un consumatore o famiglia, nel tempo e attraverso diversi servizi." Esempi notevoli includono numeri di cliente, indirizzi IP, pseudonimi unici e alias utente online.
  • Informazioni biometriche — I dati relativi a sonno, salute e attività fisica, come quelli raccolti da smartphone o dispositivi indossabili, rientrano nella categoria protetta delle informazioni biometriche. Questa protezione si estende anche ai dati che potrebbero essere raccolti offline, come i tratti psicologici o comportamentali, il DNA o le registrazioni vocali.
  • Dati di geolocalizzazione — Sebbene non definiti esplicitamente nel CCPA, i dati di geolocalizzazione includono generalmente qualsiasi informazione precisa sulla posizione ottenuta da dispositivi GPS o mezzi simili. In altre parole, il check-in sulla pagina web o sui social media di un ristorante non può essere venduto in modo che possa essere ricondotto a un consumatore specifico.

Eccezioni

Il CCPA è destinato a prevenire la vendita di informazioni personali che possono essere utilizzate per identificare un individuo. Tuttavia, ci sono alcune situazioni in cui la legge non si applica, inclusi i seguenti casi:

  • Informazioni pubblicamente disponibili — Qualsiasi informazione disponibile tramite registri governativi non è considerata “informazione personale” e quindi non è protetta.
  • Informazioni personali sulla salute — Informazioni mediche tutelate dalla Confidentiality of Medical Information Act e informazioni raccolte dal Dipartimento della Salute e dei Servizi Umani degli Stati Uniti secondo il Health Insurance Portability and Accountability Act del 1996 (HIPAA) sono regolate separatamente. Le informazioni sui trial clinici soggette alla Federal Policy for the Protection of Human Subjects non sono altresì coperte dal CCPA.
  • I dati utilizzati per generare un rapporto di consumo — L'attività utilizzata per determinare l'affidabilità creditizia è regolata separatamente dal Fair Credit Reporting Act.
  • Informazioni finanziarie — Qualsiasi informazione venduta con la dovuta notifica come definito dal Gramm-Leach-Bliley Act o dal California Financial Information Privacy Act non è soggetta al CCPA.
  • Le informazioni raccolte dal DMV - Qualsiasi informazione raccolta da un Dipartimento dei Veicoli a Motore dello stato o dai suoi dipendenti, ufficiali o appaltatori è coperta separatamente dal Driver’s Privacy Protection Act (DPPA).
  • Altre informazioni — Altre eccezioni includono certe informazioni sui dipendenti utilizzate nell'ambito della relazione datore di lavoro-dipendente e certe informazioni sulla garanzia e sul richiamo dei veicoli.

Principali disposizioni sulla privacy e diritti dei consumatori nel CCPA

Il CCPA include le seguenti disposizioni progettate per proteggere i diritti dei consumatori:

  • Informativa generale — Le aziende sono tenute a pubblicare una politica sulla privacy che descriva i diritti dei consumatori e le categorie di informazioni personali che hanno raccolto e divulgato negli ultimi 12 mesi.
  • Diritto di sapere — I consumatori hanno il diritto di richiedere dettagli sulla natura dei dati che sono stati raccolti, utilizzati, condivisi e venduti, così come le ragioni di tali azioni.
  • Diritto di accesso e portabilità— Le aziende devono fornire gratuitamente le informazioni coperte dal “diritto di conoscenza” ai consumatori entro 45 giorni da una richiesta verificabile. La divulgazione dovrebbe coprire le informazioni raccolte nel periodo di 12 mesi precedente la richiesta.
  • Diritto di rinuncia — I consumatori possono, in qualsiasi momento, richiedere che le loro informazioni personali non siano vendute da un'azienda che altrimenti vende legalmente informazioni personali a terzi.
  • Diritto di cancellazione (diritto all'oblio) — I consumatori possono chiedere a un'azienda di eliminare tutte le informazioni personali raccolte su di loro in qualsiasi periodo di tempo.
  • Diritto alla non discriminazione— Le aziende non possono prendere ritorsioni contro i consumatori che esercitano i loro diritti secondo il CCPA. Esempi di ritorsioni o discriminazioni includono il rifiuto del servizio, prezzi o tariffe differenti, e diversa qualità di beni e servizi.
  • Diritto privato di agire — In caso di violazione del CCPA, i consumatori hanno il diritto di intentare cause legali per tentare di ottenere risarcimenti.
  • Restrizioni sulla raccolta dei dati dei minori — Le imprese sono vietate dalla vendita delle informazioni dei consumatori minori a meno che non sia stato dato specifico consenso. I minori di età compresa tra 13 e 16 anni devono dare il loro consenso prima che le imprese possano vendere i loro dati personali. Se il consumatore è più giovane di 13 anni, l'impresa deve ottenere il consenso da un genitore o tutore.

Leggi il post del blog correlato:

Sanzioni e rimedi CCPA

I consumatori devono inviare un preavviso di 30 giorni con l'intenzione di intraprendere azioni legali in caso di presunto incidente. Se un'azienda non rimedia all'accusa, potrebbe affrontare multe fino a $2,500 per ogni violazione. Il tribunale può anche imporre ulteriori misure disciplinari.

I consumatori non sono responsabili di dimostrare danni effettivi — basta che le loro informazioni personali siano state coinvolte in una data breach come definito sopra.

Emendamenti al CCPA

Il California Privacy Rights Act (CPRA), firmato come legge nel 2020, è un insieme di emendamenti al CCPA. Questo disegno di legge, che diventerà applicabile il 1 luglio 2023, porta con sé diversi cambiamenti, tra cui:

  • Nuovi termini — Ci sono diversi termini nuovi, inclusi “sharing” e “informazioni personali sensibili”, che cambiano il futuro trattamento dei dati personali.
  • Nuovi diritti — I consumatori hanno ulteriori diritti sulla privacy, inclusi il diritto di rinunciare alla condivisione e il diritto di correggere informazioni inesatte.
  • Nuove responsabilità — Le modifiche alla legge sulla privacy della California impongono alle imprese diversi nuovi obblighi, inclusa la necessità di stabilire misure di sicurezza ragionevoli per proteggere le informazioni personali e nuovi requisiti riguardanti la condivisione delle informazioni.

Suggerimenti per la conformità CCPA

Essere conformi al CCPA aiuta la tua organizzazione a ridurre i rischi ed evitare sanzioni. Ecco alcuni consigli per aiutarti ad allineare le tue pratiche di raccolta e gestione dei dati con i requisiti di conformità CCPA.

Inventario dei tuoi dati.

Per conformarsi al CCPA, è necessario monitorare le attività di elaborazione dei dati, il che richiede di localizzare le informazioni personali attraverso i server dei file, i database e lo storage cloud. Assicurati di classify i tuoi dati in modo da sapere quali dati sono soggetti al CCPA, così come come si inseriscono in altre categorie utili per la tua azienda. In questo modo, puoi scegliere e implementare le giuste strategie di sicurezza per diversi tipi di dati.

Stabilire processi per la gestione delle richieste di accesso degli interessati (DSAR).

È fondamentale stabilire procedure efficaci ed efficienti per supportare i clienti che esercitano i loro diritti sotto il CCPA. Le DSAR sono sensibili al tempo — le aziende devono divulgare quali informazioni personali vengono raccolte, come vengono elaborate, a quali scopi e con chi vengono condivise entro 45 giorni dal ricevimento di una richiesta verificabile. Classificare i propri dati e avere flussi di lavoro che possono essere eseguiti da personale non IT vi aiuterà a rispondere a ogni richiesta dei consumatori in modo tempestivo.

Richiedi una demo individuale:

Rivedi e registra come vengono utilizzati i dati protetti.

I consumatori hanno il diritto di sapere come vengono utilizzati i loro dati, quindi è nel tuo interesse avere risposte pronte per loro. Devi identificare dove i dati personali vengono utilizzati, inclusi processi aziendali, software e dispositivi. Inoltre, hai bisogno di informazioni su quali tipi di dati vengono utilizzati per scopi di marketing e quali di essi vengono venduti o condivisi con terze parti. Inoltre, è importante proteggere i dati quando sono più a rischio - in transito o inattivi. In particolare, quando non in uso, i dati dovrebbero essere criptati e pseudonimizzati per la protezione.

Rivedi le tue pratiche di registrazione.

Per conformarsi al CCPA, è necessario essere in grado di disporre dei dati appropriati in risposta alle richieste di “right to be forgotten” (“diritto all'oblio”). Il diritto di cancellazione del CCPA si applica solo ai dati raccolti dal consumatore (e non ai dati sul consumatore raccolti da fonti terze). La sfida più grande qui è cancellare i dati che sono stati condivisi con diversi team interni e sistemi o divulgati a terze parti come fornitori o partner. Con una qualsiasi di queste parti, è necessario risalire alle fonti che memorizzano i dati e richiederne la cancellazione.

Rendete facile per i consumatori esercitare i loro diritti.

Deve essere facile per i consumatori esercitare i loro diritti sotto il CCPA. Dovreste fornire almeno due metodi per inoltrare le richieste, inclusi un numero verde e un modulo sul vostro sito web. Inoltre, i consumatori che vogliono rinunciare alla vendita o condivisione delle loro informazioni personali, eccetto dove necessario, dovrebbero avere un modo semplice per farlo, come un link facilmente reperibile sul vostro sito web intitolato “Do Not Sell My Personal Information.”

Rivedi e aggiorna la tua politica sulla privacy.

Il CCPA richiede che una politica sulla privacy sia accessibile tramite il tuo sito web. Deve spiegare le tue pratiche online e offline per la raccolta, l'uso, la condivisione e la vendita delle informazioni personali dei consumatori. Deve inoltre includere informazioni sui diritti alla privacy dei consumatori e su come possono esercitarli.

Imporre la formazione sulla privacy a tutti i dipendenti.

I membri della vostra organizzazione devono comprendere il loro ruolo nel mantenere la vostra organizzazione conforme ai requisiti del CCPA. Ciò significa fornire formazione sia ai nuovi dipendenti che al personale esperto.

Monitorare i cambiamenti nelle leggi.

Il CPRA ha già portato emendamenti al CCPA, e i requisiti sono suscettibili di continuare a cambiare in futuro. State attenti a questi cambiamenti per rimanere in conformità.

Come aiuta Netwrix con il CCPA?

Le soluzioni di conformità di Netwrix offrono un approccio completo e stratificato che vi permette di conformarvi al CCPA, rispondere rapidamente e con precisione alle DSAR e di essere pronti a soddisfare i requisiti aggiornati.

Il CCPA richiede di assicurare che tutte le informazioni personali raccolte e conservate siano mantenute sicure. Con le soluzioni di Netwrix compliance solution, è possibile implementare un approccio centrato sui dati per la sicurezza che raggiunge questo obiettivo. È possibile automatizzare l'audit dei cambiamenti, degli accessi e delle configurazioni, così come garantire un'accurata scoperta e classificazione dei dati sensibili. Inoltre, si possono ottenere informazioni utili per migliorare la sicurezza dei dati e dell'infrastruttura, come dati troppo esposti e configurazioni errate. Inoltre, è possibile rispondere rapidamente alle richieste di accesso ai dati da parte degli interessati automatizzando il processo di raccolta dei dati — un passaggio cruciale e che richiede molte risorse.

FAQ

1. Cos'è il CCPA?

Il CCPA è una legge dello stato della California che stabilisce protezioni per le informazioni personali dei consumatori.

2. Quali dati sono coperti dal CCPA?

Il CCPA copre tutte le informazioni personali private dei consumatori che non sono disponibili da fonti locali, statali o federali.

3. Quali aziende sono influenzate dal CCPA?

Il CCPA si applica a tutte le imprese for-profit che operano in California e che soddisfano determinate condizioni, come il superamento di una soglia di fatturato. Ciò include aziende che non hanno sede in California ma che vi svolgono attività commerciali.

Condividi su

Scopri di più

Informazioni sull'autore

Asset Not Found

Craig Riddell

Field CISO NAM

Craig è un leader premiato nel settore della sicurezza delle informazioni specializzato in identity and access management. Nel suo ruolo di Field CISO NAM presso Netwrix, sfrutta la sua ampia competenza nella modernizzazione delle soluzioni di identità, inclusa l'esperienza con Privileged Access Management, zero standing privilege e il modello di sicurezza Zero Trust. Prima di entrare in Netwrix, Craig ha ricoperto ruoli dirigenziali in HP e Trend Micro. È in possesso delle certificazioni CISSP e Certified Ethical Hacker.

Scopri di più su questo argomento

I prossimi cinque minuti di conformità: costruire la Data Security That Starts with Identity in tutto l'APAC

Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

Cos'è la gestione dei documenti elettronici?

Ultimi blog

I prossimi cinque minuti di conformità: costruire la Data Security That Starts with Identity in tutto l'APAC

Gestione della configurazione per il controllo sicuro degli endpoint

Classificazione dei dati e DLP: Prevenire la perdita di dati, dimostrare la conformità

Conformità CMMC e il ruolo critico del controllo USB in stile MDM nella protezione del CUI

DSPM, ASM e ITDR: Costruire una strategia di sicurezza guidata dai dati e consapevole delle esposizioni

Dal rumore all'azione: trasformare il rischio dei dati in risultati misurabili

L'intelligenza artificiale sul lavoro: Velocità, Rischio e Perché la Semplicità Vince

Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

I nostri articoli principali

Tipi comuni di dispositivi di rete e le loro funzioni

Come eseguire uno script PowerShell da Task Scheduler

Come installare e utilizzare Active Directory Users and Computers (ADUC)?

Scarica e installa PowerShell 7

Gli attacchi informatici più grandi e noti della storia

Comandi PowerShell essenziali: una guida rapida per principianti

Panoramica dell'attacco informatico MGM

Estrazione degli hash delle password dal file Ntds.dit

Guida al montaggio di condivisioni Unix con un client NFS Windows

Come le porte aperte insicure e vulnerabili rappresentano seri rischi per la sicurezza