Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosBlog
Conformidade com a CCPA: Como se Tornar Conforme

Conformidade com a CCPA: Como se Tornar Conforme

Apr 7, 2021

A coleta e processamento de informações pessoais (PI) permitem que as empresas personalizem a experiência do cliente e aumentem as vendas. No entanto, certas defensorias de direitos do consumidor e regulamentações de privacidade limitam estritamente a coleta de PI para garantir que as organizações utilizem seus dados de maneira significativa e justa. A mais famosa é o General Data Protection Regulation (GDPR), mas cada vez mais estados nos Estados Unidos estão promulgando leis de privacidade de dados próprias.

Preeminente entre essas leis estão a California Consumer Privacy Act de 2018 (CCPA) e sua subsequente extensão, a California Privacy Rights Act (CPRA), sobre as quais discutiremos mais adiante neste artigo.

De fato, você pode ter notado que os termos de serviço para a maioria dos serviços digitais agora estipulam considerações especiais para os residentes da Califórnia. Isso se deve às regras estabelecidas pela CCPA que se aplicam às organizações que operam no estado da Califórnia.

Muitas organizações já possuem políticas estabelecidas para cumprir com o GDPR. No entanto, a CCPA possui algumas disposições que exigem medidas adicionais. Para proteger sua organização, você deve entender o que é a CCPA, suas principais disposições e os passos que você pode tomar para garantir a conformidade com a CCPA. Este artigo discutirá como se tornar compatível com a CCPA, por que isso é importante e como manter um equilíbrio entre privacidade e eficiência empresarial. .

O que é o California Consumer Privacy Act?

A Lei de Privacidade do Consumidor da Califórnia é um estatuto estadual da Califórnia que entrou em vigor em 1º de janeiro de 2020. O objetivo principal da CCPA é proteger os consumidores de empresas que vendem suas informações privadas sem qualquer aviso oficial ou oportunidades de inclusão e exclusão. A intenção é responsabilizar essas empresas por quaisquer transações comerciais envolvendo dados pessoais.

Faça o download gratuitamente:

Termos e Definições da CCPA

O que é conformidade com a CCPA? Responder a esta pergunta exige a definição de alguns termos-chave:

  • Empresa — Uma entidade com fins lucrativos que faz negócios no estado da Califórnia e atende aos critérios para ser abrangida pela CCPA (fornecidos abaixo).
  • Finalidade empresarial — Empresas que procuram coletar e utilizar dados pessoais devem atender a uma das seguintes finalidades empresariais, conforme detalhado na subdivisão (d) do Código Civil da Califórnia 140:
    • Auditoria de uma interação atual para marketing e publicidade
    • Gerenciando ameaças de segurança e jurídicas
    • Depuração de erros que prejudicam a funcionalidade
    • Coletando dados para uso de curto prazo que não são compartilhados com terceiros ou usados para construir um perfil
    • Prestação de serviços em contas ou transações
    • Realizando pesquisa interna para desenvolvimento tecnológico e demonstração
    • Tentando verificar, manter ou melhorar a qualidade ou segurança dos dispositivos ou serviços da empresa
  • Residente da Califórnia — Alguém que está no estado por qualquer motivo que não seja temporário ou transitório, ou alguém que está temporariamente fora do estado, mas cuja residência permanente é na Califórnia.
  • Coleção — Definida como “comprar, alugar, coletar, obter, receber ou acessar qualquer informação pessoal relativa a um consumidor por quaisquer meios.”
  • Consumidor — Uma pessoa física que é residente da Califórnia.
  • Violação de dados — Uma situação na qual uma parte não autorizada obtém acesso a informações sensíveis que podem prejudicar os consumidores. De acordo com uma análise da CCPA pelo National Law Review, existem três requisitos que devem ser cumpridos para que um consumidor possa buscar ação como resultado da violação:
    • Os dados devem ser informações pessoais conforme definido pela CCPA.
    • As informações pessoais devem estar descriptografadas e sem redações.
    • A violação deve ter sido o resultado da falha de uma empresa em implementar e manter procedimentos e práticas de segurança razoáveis.
  • Informações pessoais — Incluindo qualquer informação, como nome real, apelido ou número de telefone, que possa ser usada para desenvolver um perfil sobre as características ou preferências de alguém.
  • Venda — A lei define isso como “vender, alugar, liberar, divulgar, disseminar, disponibilizar, transferir ou de outra forma comunicar por qualquer meio” as informações pessoais de um consumidor para qualquer parte em troca de qualquer tipo de compensação. A CCPA fornece exceções específicas que se aplicam a esta definição. Uma delas é referência ou contratação, que ocorre quando um consumidor direciona intencionalmente um negócio para interagir com um terceiro usando um identificador pessoal. Outra é quando as empresas não coletam, vendem ou usam informações pessoais além do que é necessário “para realizar o propósito comercial.”

Leia o post do blog relacionado:

Quais organizações devem cumprir a CCPA?

A CCPA não se limita a empresas sediadas na Califórnia. Pelo contrário, aplica-se a qualquer empresa com fins lucrativos que colete informações pessoais de residentes da CA e atenda a pelo menos um dos seguintes critérios:

  • Tem uma receita anual de pelo menos $25 milhões
  • Contém informações pessoais de pelo menos 50.000 indivíduos ou domicílios
  • Gera mais da metade da receita anual vendendo informações pessoais de residentes da Califórnia

As isenções incluem o seguinte:

  • Instituições financeiras sujeitas às regulamentações Gramm-Leach-Bliley (GLB) ou CalFIPA
  • Agências de relatórios de crédito sujeitas ao Fair Credit Reporting Act
  • Prestadores de saúde sujeitos ao CMIA e ao HIPAA
  • Certas relações business-to-business (B2B)

Assim, se a sua organização coletou qualquer informação pessoal de um residente da Califórnia (por exemplo, através de cookies do site), então você pode precisar cumprir com a CCPA.

Que informações são regulamentadas pela CCPA?

A subdivisão (v) (1) da Seção 1798.140 do Código Civil da Califórnia lista várias categorias de tipos de dados protegidos sob o CCPA. Muitos destes são autoexplicativos, como “nome real” ou “endereço de email”. No entanto, alguns requerem uma explicação adicional:

  • Identificadores pessoais únicos/identificadores online — Embora o termo 'identificador pessoal único' esteja listado como um subtipo de informação pessoal, ele é definido separadamente como 'um identificador persistente que pode ser usado para reconhecer um consumidor, uma família ou um dispositivo que está vinculado a um consumidor ou família, ao longo do tempo e em diferentes serviços.' Exemplos notáveis incluem números de clientes, endereços IP, pseudônimos únicos e aliases de usuários online.
  • Informações biométricas — Dados de sono, saúde e exercícios, como os coletados por smartphones ou dispositivos vestíveis, entram na categoria protegida de informações biométricas. Essa proteção também se estende a dados que podem ser coletados offline, como traços psicológicos ou comportamentais, DNA ou gravações de voz.
  • Dados de geolocalização — Embora não definidos explicitamente na CCPA, dados de geolocalização geralmente incluem qualquer informação precisa de localização obtida por dispositivos GPS ou meios similares. Em outras palavras, o check-in na página de um restaurante na web ou em redes sociais não pode ser vendido de maneira que possa ser rastreado de volta a um consumidor específico.

Exceções

A CCPA tem como objetivo impedir a venda de informações pessoais que podem ser usadas para identificar um indivíduo. No entanto, existem certas situações em que a lei não se aplica, incluindo as seguintes:

  • Informações publicamente disponíveis — Qualquer informação que esteja disponível por meio de registros governamentais não é considerada “informação pessoal” e, portanto, não é protegida.
  • Informações pessoais de saúde — Informações médicas protegidas pela Lei de Confidencialidade das Informações Médicas e informações coletadas pelo Departamento de Saúde e Serviços Humanos dos EUA conforme a Lei de Portabilidade e Responsabilidade de Seguro Saúde de 1996 (HIPAA) são regulamentadas separadamente. Informações de ensaios clínicos sujeitas à Política Federal para a Proteção de Sujeitos Humanos também não são cobertas pela CCPA.
  • Dados utilizados para gerar um relatório de consumidor — Atividades usadas para determinar a solvência são regidas separadamente pela Fair Credit Reporting Act.
  • Informações financeiras — Qualquer informação vendida com a devida notificação conforme definido pela Gramm-Leach-Bliley Act ou pela California Financial Information Privacy Act não está coberta pela CCPA.
  • Informações coletadas pelo DMV — Qualquer informação coletada por um Departamento de Veículos Motorizados estadual ou seus funcionários, oficiais ou contratados é coberta separadamente pela Driver’s Privacy Protection Act (DPPA).
  • Outras informações — Outras exceções incluem certas informações de funcionários utilizadas no âmbito da relação empregador-empregado e certas informações de garantia e recall de veículos.

Principais Disposições de Privacidade e Direitos do Consumidor na CCPA

A CCPA inclui as seguintes disposições projetadas para proteger os direitos dos consumidores:

  • Divulgação geral — As empresas são obrigadas a publicar uma política de privacidade descrevendo os direitos dos consumidores e as categorias de informações pessoais que coletaram e divulgaram nos últimos 12 meses.
  • Direito de saber — Os consumidores têm o direito de solicitar detalhes sobre a natureza dos dados que foram coletados, utilizados, compartilhados e vendidos, bem como as razões para essas ações.
  • Direito de acesso e portabilidade— As empresas devem fornecer as informações cobertas pelo “direito de saber” gratuitamente aos consumidores dentro de 45 dias após um pedido verificável. A divulgação deve abranger informações coletadas no período de 12 meses antes do pedido.
  • Direito de optar por não participar — Os consumidores podem, a qualquer momento, solicitar que suas informações pessoais não sejam vendidas por uma empresa que, de outra forma, vende legalmente informações pessoais para terceiros.
  • Direito de exclusão (direito ao esquecimento) — Os consumidores podem solicitar a uma empresa que apague todas as informações pessoais coletadas sobre eles em qualquer período de tempo.
  • Direito à não discriminação — As empresas não podem retaliar contra consumidores que exercem seus direitos sob o CCPA. Exemplos de retaliação ou discriminação incluem negação de serviço, diferenças de preços ou tarifas, e diferença na qualidade de bens e serviços.
  • Direito privado de ação — Em caso de violação da CCPA, os consumidores têm o direito de entrar com ações judiciais na tentativa de recuperar danos.
  • Restrições na coleta de dados de menores — As empresas estão proibidas de vender as informações de consumidores menores de idade, a menos que seja dado um consentimento específico. Menores de 13 a 16 anos devem optar ativamente antes que as empresas possam vender seus dados pessoais. Se o consumidor for menor de 13 anos, a empresa deve obter o consentimento de um pai ou responsável.

Leia o post do blog relacionado:

Sanções e Remédios da CCPA

Os consumidores devem enviar um aviso de intenção de buscar ação legal com 30 dias de antecedência no caso de um incidente alegado. Se uma empresa não remediar a alegação, ela pode enfrentar multas de até $2.500 por cada violação. O tribunal também pode impor medidas disciplinares adicionais.

Os consumidores não são responsáveis por demonstrar danos reais — apenas que suas informações pessoais estavam envolvidas em uma data breach conforme definido acima.

Alterações à CCPA

California Privacy Rights Act (CPRA), promulgada em 2020, é um conjunto de emendas à CCPA. Este projeto de lei, que entra em vigor em 1º de julho de 2023, traz consigo várias mudanças, incluindo:

  • Novos termos — Há vários novos termos, incluindo “compartilhamento” e “informações pessoais sensíveis”, que alteram o tratamento futuro dos dados pessoais.
  • Novos direitos — Os consumidores têm direitos adicionais de privacidade, incluindo o direito de optar por não compartilhar e o direito de corrigir informações inexatas.
  • Novas responsabilidades — As alterações à lei de privacidade da Califórnia impõem várias novas exigências às empresas, incluindo a necessidade de estabelecer medidas de segurança razoáveis para proteger informações pessoais e novos requisitos sobre o compartilhamento de informações.

Dicas de conformidade com a CCPA

Estar em conformidade com a CCPA ajuda sua organização a reduzir riscos e evitar penalidades. Aqui estão algumas dicas para ajudá-lo a alinhar suas práticas de coleta e gerenciamento de dados com os requisitos de conformidade da CCPA.

Faça o inventário dos seus dados.

Para conformidade com a CCPA, você precisa rastrear as atividades de processamento de dados, o que exige que você localize informações pessoais em seus servidores de arquivos, bancos de dados e armazenamento na nuvem. Certifique-se de classificar os seus dados para saber quais dados estão sujeitos à CCPA, bem como como eles se encaixam em outras categorias úteis para o seu negócio. Dessa forma, você pode escolher e implementar as estratégias de segurança corretas para diferentes tipos de dados.

Estabeleça processos para lidar com solicitações de acesso do titular dos dados (DSARs).

É crítico estabelecer procedimentos eficazes e eficientes para apoiar clientes que estão exercendo seus direitos sob o CCPA. Os DSARs são sensíveis ao tempo — as empresas devem divulgar quais informações pessoais são coletadas, como são processadas, para quais propósitos e com quem são compartilhadas dentro de 45 dias após o recebimento de um pedido verificável. Classificar seus dados e ter fluxos de trabalho que possam ser realizados por pessoal não técnico ajudará você a responder a cada solicitação do consumidor de maneira oportuna.

Solicitar Demonstração Individual:

Revise e registre como os dados protegidos são utilizados.

Os consumidores têm o direito de saber como seus dados estão sendo utilizados, portanto, é do seu melhor interesse ter respostas prontas para eles. Você precisa identificar onde os dados pessoais são utilizados, incluindo processos empresariais, softwares e dispositivos. Além disso, você precisa de informações sobre quais tipos de dados são usados para fins de marketing e quais deles são vendidos ou compartilhados com terceiros. Ademais, é importante proteger os dados quando eles estão mais vulneráveis – em trânsito ou em repouso. Especificamente, quando não estão em uso, os dados devem ser criptografados e pseudonimizados para proteção.

Revise suas práticas de registro.

Para cumprir com a CCPA, você deve ser capaz de descartar dados apropriados em resposta a solicitações de “right to be forgotten” (“direito ao esquecimento”). O direito de exclusão da CCPA aplica-se apenas a dados coletados do consumidor (e não a dados sobre o consumidor obtidos de fontes terceiras). O maior desafio aqui é deletar dados que foram compartilhados com diferentes equipes internas e sistemas ou divulgados a terceiros como fornecedores ou parceiros. Com qualquer uma dessas partes, você precisa rastrear até as fontes que armazenam dados e solicitar a exclusão.

Torne fácil para os consumidores exercerem seus direitos.

Deve ser fácil para os consumidores exercerem seus direitos sob o CCPA. Você deve fornecer pelo menos dois métodos para enviar solicitações, incluindo um número de telefone gratuito e um formulário em seu site. Além disso, consumidores que desejam optar por não ter suas informações pessoais vendidas ou compartilhadas, exceto quando necessário, devem ter uma maneira simples de fazer isso, como um link de fácil acesso no seu site intitulado “Não Venda Minhas Informações Pessoais”.

Revise e atualize sua política de privacidade.

A CCPA exige que uma política de privacidade esteja acessível através do seu site. Ela deve explicar suas práticas online e offline para a coleta, uso, compartilhamento e venda das informações pessoais dos consumidores. Também deve incluir informações sobre os direitos de privacidade dos consumidores e como eles podem exercê-los.

Exija treinamento de privacidade para todos os funcionários.

Os membros da sua organização precisam entender o papel deles em manter a conformidade da sua organização com os requisitos da CCPA. Isso significa fornecer treinamento tanto para novos funcionários quanto para a equipe experiente.

Monitore as mudanças nas leis.

A CPRA já trouxe emendas à CCPA, e é provável que os requisitos continuem a mudar no futuro. Fique atento a essas alterações para permanecer em conformidade.

Como a Netwrix ajuda com a CCPA?

Netwrix compliance solutions oferecem uma abordagem completa e multicamadas que permite que você esteja em conformidade com o CCPA, responda rapidamente e com precisão a DSARs e esteja preparado para atender a requisitos atualizados.

A CCPA exige que você garanta que todas as informações pessoais que coleta e armazena sejam mantidas seguras. Com as soluções de Netwrix compliance solution, você pode implementar uma abordagem centrada nos dados para segurança que atinge esse objetivo. Você pode automatizar a auditoria de alterações, acesso e configuração, bem como garantir a descoberta e classificação precisas de discovery and classification of sensitive data. Além disso, você pode obter insights acionáveis para melhorar a segurança dos dados e da infraestrutura, como dados excessivamente expostos e configurações incorretas. Ademais, você pode responder rapidamente aos pedidos de acesso dos titulares dos dados automatizando o processo de coleta de dados — um passo crucial e intensivo em recursos.

FAQ

1. O que é o CCPA?

A CCPA é uma lei estadual da Califórnia que estabelece proteções para as informações pessoais dos consumidores.

2. Quais dados são cobertos pela CCPA?

A CCPA cobre todas as informações pessoais privadas do consumidor que não estão disponíveis em fontes locais, estaduais ou federais.

3. Quais empresas são afetadas pela CCPA?

A CCPA aplica-se a todas as empresas com fins lucrativos que operam na Califórnia e que satisfazem certas condições, como um limite de receita. Isso inclui empresas que não estão sediadas na Califórnia, mas que fazem negócios lá.

Compartilhar em

Saiba Mais

Sobre o autor

Asset Not Found

Craig Riddell

Field CISO NAM

Craig é um líder premiado em segurança da informação especializado em gestão de identidade e acesso. Em seu papel como Field CISO NAM na Netwrix, ele utiliza sua ampla experiência na modernização de soluções de identidade, incluindo experiência com Privileged Access Management, zero standing privilege e o modelo de segurança Zero Trust. Antes de se juntar à Netwrix, Craig ocupou cargos de liderança na HP e Trend Micro. Ele possui as certificações CISSP e Certified Ethical Hacker.

Saiba mais sobre este assunto

Os próximos cinco minutos de conformidade: construindo segurança de dados com foco em identidade em toda a APAC

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

O que é Gerenciamento de Registros Eletrônicos?

Últimos blogs

Os próximos cinco minutos de conformidade: construindo segurança de dados com foco em identidade em toda a APAC

Gerenciamento de configuração para controle seguro de endpoint

Classificação de dados e DLP: Previna a perda de dados, comprove a conformidade

Conformidade com CMMC e o papel crítico do controle de USB estilo MDM na proteção de CUI

DSPM, ASM e ITDR: Construindo uma Estratégia de Segurança Consciente da Exposição e Orientada por Dados

De ruído a ação: transformando risco de dados em resultados mensuráveis

IA no Trabalho: Velocidade, Risco e Por Que a Simplicidade Vence

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

Nossos principais artigos

Tipos Comuns de Dispositivos de Rede e Suas Funções

Como Executar um Script do PowerShell a partir do Agendador de Tarefas

Como instalar e usar o Active Directory Users and Computers (ADUC)?

Baixe e instale o PowerShell 7

Os Maiores e Mais Notórios Ataques Cibernéticos da História

Comandos Essenciais do PowerShell: Um Guia de Consulta Rápida para Iniciantes

Uma visão geral do ataque cibernético da MGM

Extração de Hashes de Senha do arquivo Ntds.dit

Guia para Montar Compartilhamentos Unix com um Cliente NFS do Windows

Como Portas Abertas Inseguras e Vulneráveis Representam Sérios Riscos de Segurança