CCPA是一项新的消费者数据隐私法。该法律于2020年1月1日生效,并将在加州总检察长发布最终立法六个月后或2020年7月1日生效,以先到者为准。
与欧盟《通用数据保护条例》(GDPR)所进行的激进改革相似,CCPA是迄今为止美国最高的数据保护标准,都旨在强有力的保障个人的个人数据,并适用于收集、使用或共享消费者数据的企业,无论这些信息是在线还是离线获得的。但是,CCPA在某些重要方面与GDPR不同,特别是在适用范围方面、收集限制的性质和程度、以及有关问责制的规则等。
CCPA为加利福尼亚州居民提供了一些有关其个人信息的新权利。例如,CCPA授予个人访问和删除公司收集的个人信息以及拒绝公司出售个人信息的权利。否决权很重要,因为CCPA将“出售”定义为一个广义术语,并且包括许多常见的数据共享案例,即使没有货币交换也是如此。
CCPA授予加利福尼亚消费者新的权利:
•有权了解有关个人信息的类别和特定部分的收集,使用,共享或出售的个人信息;
•有权删除企业及其扩展名(企业的服务提供商)拥有的个人信息;
•有权拒绝出售个人信息。消费者能够指导出售个人信息的公司停止出售该信息。 16岁以下的儿童必须提供选择同意,父母或监护人同意13岁以下的儿童。
•当消费者根据CCPA行使隐私权时,有在价格或服务方面不受歧视的权利。
如果满足以下一项或多项,则企业将受CCPA的约束:
•年总收入超过2500万美元;
•购买、接收或出售50,000个或更多消费者,家庭或设备的个人信息;
•通过销售消费者的个人信息获得年收入的50%或更多。
CCPA施加企业将承担新的业务义务:
•受CCPA约束的企业必须在数据收集之时或之前向消费者发出通知。
•企业必须创建程序来响应消费者的退出,了解和删除请求。对于选择退出的请求,企业必须在其网站或移动应用程序上提供“请勿出售我的信息”链接。
•企业必须响应消费者的要求,以在特定时间范围内了解,删除和选择退出。根据法规草案的建议,企业必须将用户启用的隐私设置视为表明消费者选择退出的一种有效提交的退出请求。
•企业必须验证请求知道和删除的消费者的身份,无论消费者是否在企业中拥有受密码保护的帐户。根据法规草案的建议,如果企业无法验证请求,则可以拒绝该请求,但必须最大程度地遵守。 例如,它必须将删除请求视为退出请求。
•根据法规草案的建议,企业必须披露为保留或出售消费者的个人信息而提供的经济激励措施,并解释其如何计算个人信息的价值。 企业还必须说明CCPA如何允许该激励措施。
•根据法规草案的建议,企业必须保留请求记录以及如何响应24个月,以证明其合规性。此外,收集、购买或出售超过400万消费者的个人信息的企业还有其他记录保存和培训义务。
以下是公司应保护的敏感个人信息,尤其是有关加州居民的信息,也包括有关任何美国居民的信息:
•社会保障号码
•**号码
•**号码或其他政府签发的***号码
•***、***或其他支付卡号
•财务账号
•健康信息,包括员工残疾、员工薪酬和短期残疾/长期残疾信息
•遗传信息
•生物特征信息,如指纹
•健康保险信息,如健康保险号码
•关于儿童的个人˙信息
•指纹或其他生物测定数据,例如,打卡进出工人或验证访问
•第三方背景调查供应商员工的背景调查报告
•个人地理跟踪信息
CCPA规定的罚款及限制:
未加密和未编辑的个人信息的任何消费者,都将由于未经授权而遭受未经授权的访问、渗透、盗窃或披露。企业违反了实施和维持适合于信息性质的合理安全程序和惯例以保护个人信息的义务,可能对以下任何行为提起民事诉讼:
(A)赔偿每起事件每位消费者不少于一百美元(100美元)且不超过七百五十美元(750美元)的损害赔偿或实际损害赔偿,以较高者为准。
(B)强制性或声明性救济。
(C)法院认为适当的任何其他救济
法院在评估法定损害赔偿金额时,应考虑案件任何当事方提出的任何一种或多种相关情况,包括但不限于不当行为的性质和严重性,违规次数,不当行为的持续性,不当行为发生的时间长度,被告的不当行为的故意性以及被告的资产,负债和净资产。
如果在针对个人或全行业针对法定损害提起针对企业的任何诉讼之前,消费者向企业提供30天的书面通知,以指明该标题的具体规定,那么消费者可以提起本节所述的诉讼消费者指控已经或正在被违反。如果可以补救,如果企业在30天内实际纠正了所发现的违规行为,并向消费者提供了明确的书面声明,表明违规行为已得到纠正,并且不再发生进一步的违规行为,则不对单个法定赔偿金或集体诉讼可能会对企业造成全额法定赔偿。在个人消费者仅针对因涉嫌违反本标题而遭受的实际金钱损失提起诉讼之前,无需通知。如果企业继续违反此标题而违反了根据本节提供给消费者的明示书面声明,则消费者可以针对该企业提起诉讼以执行该书面声明,并且每次违反明示书面声明时可以追究法定赔偿,以及任何其他违反书面声明的标题的行为。
任何企业或第三方均可寻求司法部长的意见,以寻求有关如何遵守本标题规定的指导。
如果一家企业在收到被指控违规的通知后30天内未能解决任何涉嫌违规的行为,均应受禁制令并处以民事罚款,每次不超过2,500美元,否则不超过7,500美元。 每次故意违反行为,应由总检察长以加利福尼亚州人民名义提起的民事诉讼进行评估和追偿
CCPA法案解析
CCPA法案使用NIST CIS框架,并在CIS的要求基础上增加关于敏感信息层面的控制项,Mark将对CCPA各个控制措施实现情况进行归纳总结,不逐一按照标准要求罗列,仅代表个人观点。
CIS 20项控制措施及CCPA法案新增项实现情况归类梳理如下:
(注:Implementation Group 1内容标红、Implementation Group 2内容标蓝、Implementation Group 3内容标黑):
CIS Control 1: Inventory and Control of Hardware Assets(硬件资产库存和控制)
资产类别 | 安全功能 | 总结描述 |
---|---|---|
设备 | 识别 | 强调硬件资产的主动识别能力,主动发现工具来识别连接到组织网络的设备并更新硬件资产清单;被动发现工具识别连接到组织网络的设备,并自动更新组织的硬件资产清单;维护详细的所有硬件资产清单 |
设备 | 响应 | 强调未授权资产处理能力,如移除、隔离、更新资产 |
设备 | 保护 | 强调资产验证能力,使用端口级访问控制,确保只有经授权的资产可以接入;使用客户端证书验证连接到组织的受信任网络的硬件资产 |
CIS Control 2: Inventory and Control of Software Assets(软件资产库存和控制)
资产类别 | 安全功能 | 总结描述 |
---|---|---|
应用程序 | 识别 | 强调软件资产的识别能力,维护软件权限列表和软件清单,清单包含软件的名称、版本、发布者和安装日期等信息,区分软件是否在维保,软硬件建立关联关系 |
应用程序 | 响应 | 强调未授权软件处理能力,如移除和更新资产 |
应用程序 | 保护 | 强调软件资产验证能力,建立应用程序白名单、应用程序库白名单、应用程序脚本白名单,防止未授权接入,并可以物理或逻辑隔离高风险应用程序 |
CIS Control 3: Continuous Vulnerability Management(持续的漏洞管理)
资产类别 | 安全功能 | 总结描述 |
---|---|---|
应用程序 | 检测 | 存在并定期运行自动漏洞扫描工具,包含主机和应用,且可以经过内部相关身份认证 |
账户、应用程序 | 保护 | 使用漏洞扫描专用账号,存在自动化软件更新和打补丁工具,确保软件处于最新安全更新状态 |
应用程序 | 响应 | 定期验证漏洞的修复状态,风险评级流程按优先级修复发现的漏洞。 |
CIS Control 4:Controlled Use of Administrative Privileges(管理特权的受控使用)
资产类别 | 安全功能 | 总结描述 |
---|---|---|
用户 | 检测 | 维护管理员账号列表,确保只有经过授权人员使用,管理账号的登陆、权限变更存在日志,并可以告警 |
用户 | 保护 | 使用专用的管理账号,更改默认密码,密码满足复杂度要求,支持多因素认证和加密通道,如不支持,则密码保证唯一性,访问使用专用工作站;只允许需要访问这些功能的管理或开发用户访问脚本工具;禁止员工或其他个人在私人的电子设备或者账号上存储和公司有关的敏感个人信息 |
CIS Control 5:Secure Configuration for Hardware and Software on Mobile Devices, Laptops, Workstations and Servers(移动设备、笔记本电脑、工作站和服务器上硬件和软件的安全配置)
资产类别 | 安全功能 | 总结描述 |
---|---|---|
应用程序 | 保护 | 制定系统和软件安全配置标准和自动化配置管理工具,配置相应的系统安全镜像,系统部署或受损时使用,镜像存储在安全配置和可监控的服务器上,确保只有授权后的操作 |
应用程序 | 检测 | 实现自动化配置监控系统,用以验证安全配置和未授权的更改;禁止员工或其他个人使用便携式/移动设备获取和公司有关的敏感个人信息,或者选择对所有可以获取敏感个人信息的移动设备进行加密,并在一段时间(例如15分钟)设备没有使用之后自动退出登录,并在10次登录失败之后自动锁掉设备 |
CIS Control 6:Maintenance, Monitoring and Analysis of Audit Logs(审核日志的维护、监控和分析)
资产类别 | 安全功能 | 总结描述 |
---|---|---|
网络 | 检测 | 使用至少三个同步时间源;系统和设备开启本地日志,系统日志记录包括详细信息,如事件源、日期、用户、时间戳、源地址、目标地址和其他有用的元素,存在统一的日志存储、管理、分析平台,有足够的存储空间、日志分析告警能力,定期对平台进行检查和调优 |
CIS Control 7:Email and Web Browser Protections(电子邮件和web浏览器保护)
资产类别 | 安全功能 | 总结描述 |
---|---|---|
应用程序、网络 | 保护 | 使用安全可控的web浏览器和电子邮件客户端,卸载或禁用未授权工具,限制使用的脚本语言,对URL进行分类、过滤和记录;使用DNS过滤服务阻止对已知恶意域的访问;实现基于域的消息验证、报告和一致性(DMARC)策略和验证,过滤不必要的邮件附件的文件类型,沙箱分析并阻止带有恶意行为的入站电子邮件附件,将所有非公司内部员工发送的邮件标注为“External Email (外部邮件)” |
CIS Control 8:Malware Defenses(恶意软件防御)
资产类别 | 安全功能 | 总结描述 |
---|---|---|
设备 | 保护 | 使用集中管理的反恶意软件来持续监视和保护组织的每个工作站和服务器,定期更新其扫描引擎和签名数据库,工作站和服务器等设备配置为不自动运行可移动媒体中的内容 |
设备 | 检测 | 启用在操作系统中可用的反利用特性(如数据执行预防(DEP)或地址空间布局随机化(ASLR))或单独部署适当的反利用工具;设备在被插入或连接时自动执行可移动媒体的反恶意软件扫描;集中分析反恶意软件日志并告警,启用域名系统(DNS)查询日志,启用shell(如Microsoft PowerShell和Bash)命令行审计日志记录 |
CIS Control 9:Limitation and Control of Network Ports,Protocols, and Services(限制和控制网络端口、协议和服务)
资产类别 | 安全功能 | 总结描述 |
---|---|---|
设备 | 识别 | 将活动端口、服务和协议与资产目录中的硬件资产关联 |
设备 | 保护 | 确保每个系统上只运行和监听经过验证的业务需求的网络端口、协议和服务;在终端系统上应用基于主机的防火墙或端口过滤工具,使用默认拒绝规则,该规则将删除除显式允许的服务和端口之外的所有流量;关键服务器前面部署应用防火墙,以验证到服务器的流量,任何未经授权的流量都应被阻止和记录。 |
设备 | 检测 | 定期对所有系统执行自动端口扫描,并在系统上检测到未授权的端口时发出警报 |
CIS Control 10:Data Recovery Capabilities(数据恢复功能)
资产类别 | 安全功能 | 总结描述 |
---|---|---|
数据 | 保护 | 所有系统的数据定期自动执行备份;确保将所有关键系统作为一个完整的系统进行备份,定期测试备份媒体上的数据完整性和数据恢复可行性;确保备份在存储时以及在跨网络移动时通过物理安全性或加密得到适当的保护;确保所有备份至少有一个备份目的地,该目的地不能通过操作系统调用持续寻址。 |
CIS Control 11:Secure Configuration for Network Devices, such as Firewalls, Routers, and Switches(网络设备的安全配置,如防火墙、路由器和交换机)
资产类别 | 安全功能 | 总结描述 |
---|---|---|
网络 | 识别 | 维护授权网络设备的标准安全配置;网络设备中允许流量通过的所有配置规则应记录在配置管理系统中,每个规则要有特定的业务原因、负责该业务需求的特定个人的名称和预期的需求持续时间 |
网络 | 检测 | 使用自动化工具将所有网络设备当前配置与已批准的安全配置进行比较,在发现任何偏差时发出警报 |
网络 | 保护 | 网络设备上安装任何安全相关更新的最新稳定版本;使用多因素身份验证和加密会话管理所有网络设备,使用“专用工作站”和“专用的网络”完成所有网络管理任务,此机器不得用于阅读电子邮件、编辑文件或上网,网络与业务分离,依赖单独的vlan |
CIS Control 12:Boundary Defense(边界防御)
资产类别 | 安全功能 | 总结描述 |
---|---|---|
网络、用户、设备 | 保护 | 维护组织所有网络边界的最新清单;从网络边界外部执行定期扫描,检测边界外的未授权连接;配置监视系统,以记录通过组织的每个网络边界的网络数据包;确保所有进出Internet的网络流量都通过身份验证的应用层代理实现,通过代理解密加密流量和过滤未经授权的连接;在访问网络之前,扫描可以登陆到内部网络的设备,以确保以与本地网络设备相同的方式实施了组织的每个安全策略,所有远程登录使用多因素身份验证。 |
网络 | 检测 | 各个网络边界拒绝已知恶意IP地址、未授权端口的通信;配置网络监控系统、IDS和IPS,收集网络边界设备的NetFlow和日志数据 |
CIS Control 13: Data Protection(数据保护)
资产类别 | 安全功能 | 总结描述 |
---|---|---|
数据 | 识别 | 对组织的技术系统存储、处理或传输的所有敏感信息,包括现场或远程服务提供商的敏感信息,保持一个清单 |
数据 | 保护 | 删除组织不经常访问的敏感数据或系统;只允许访问授权的云存储或电子邮件提供商;使用经批准的全磁盘加密软件对所有移动设备的硬盘进行加密;如果需要USB存储设备,控制哪些设备可以使用,加密USB的存储数据;配置系统不可写入数据到外部可移动媒体;对于与公司有关的敏感个人信息,公司应该禁止在对这些信息未加密的情况下就使用公共的互联网进行传输。 |
数据 | 检测 | 在网络边界上部署一个自动化工具,监视敏感信息的未经授权的传输,并在警告信息安全专业人员的同时阻止此类传输;监视离开组织的所有通信流,并检测任何未经授权的加密使用。 |
CIS Control 14:Controlled Access Based on the Need to Know(基于需要的受控访问)
资产类别 | 安全功能 | 总结描述 |
---|---|---|
网络、数据 | 保护 | 根据敏感度对网络进行分段,启用vlan之间的防火墙过滤,确保只有授权的系统通信;禁用工作站到工作站的通信;在传输中加密所有敏感资料;使用文件系统、网络共享、声明、应用程序或特定于数据库的访问控制列表保护存储在系统上的所有信息;通过自动化工具加强对数据的访问控制;使用不集成到操作系统的二级身份验证机制的工具加密所有处于静止状态的敏感信息; |
数据 | 检测 | 利用主动发现工具识别组织的技术系统存储、处理或传输的所有敏感信息,包括那些位于现场或远程服务提供商的敏感信息,并更新组织的敏感信息清单;为访问敏感数据或敏感数据的更改实施详细的审计日志记录(利用诸如文件完整性监视或安全信息和事件监视等工具)。 |
CIS Control 15:Wireless Access Control(无线接入控制)
资产类别 | 安全功能 | 总结描述 |
---|---|---|
网络 | 识别 | 维护与有线网络连接的授权无线接入点清单 |
设备、网络 | 保护 | 在没有无线访问业务目的的设备上禁用无线访问;限制客户端只允许访问授权的无线网络;禁用点对点(ad hoc)无线网络功能;利用先进的加密标准(AES)加密传输中的无线数据;确保无线网络使用认证协议,如可扩展认证协议传输层安全(EAP/TLS),这需要相互的、多因素的认证;禁用设备的无线外围设备访问(如蓝牙和NFC),除非出于业务目的需要进行此类访问;为个人或不受信任的设备创建单独的无线网络 |
网络 | 检测 | 配置网络漏洞扫描工具,以检测和警告连接到有线网络的未经授权的无线接入点;使用无线入侵侦测系统(WIDS),在未获授权的无线接达点连接网络时进行侦测及警告。 |
CIS Control 16:Account Monitoring and Control(帐户监察及控制)
资产类别 | 安全功能 | 总结描述 |
---|---|---|
用户 | 识别 | 维护组织的每个身份验证系统的清单,包括位于现场或远程服务提供者处的系统。维护由认证系统组织的所有帐户的清单。 |
用户 | 保护 | 通过尽可能少的集中式身份验证点(包括网络、安全和云系统)为所有帐户配置访问权限;对所有系统上的所有用户帐户进行多因素身份验证;存储时使用salt加密或散列所有身份验证凭据;确保所有帐户用户名和身份验证凭据都使用加密通道跨网络传输;建立撤销访问的流程,在雇员或供应商的责任终止或更改后,立即关闭帐户,允许保留审计跟踪;监控所有帐户的到期日期,并及时关闭;经过一段规定的不活动时间后,自动锁定工作站会话。 |
用户 | 检测 | 通过审计日志监控已停用帐户的访问尝试;当有如下异常行为时发出警告,如一天的时间、工作站的位置和持续访问。 |
用户 | 响应 | 禁用无法与业务流程或业务所有者关联的任何帐户;自动禁用一段时间不活动的休眠帐户。 |
CIS Control 17: Implement a Security Awareness and Training Program(实施安全意识和培训计划)
资产类别 | 安全功能 | 总结描述 |
---|---|---|
N/A | N/A | 执行技能差距分析,了解劳动力成员没有遵守的技能和行为;提供培训,确定的技能差距;建立一个安全意识计划,让所有员工定期完成,确保他们理解和展示必要的行为和技能;确保组织的安全意识计划经常更新(至少每年一次);培训员工内容:了解启用和使用安全身份验证的重要性;识别不同形式的社会工程攻击,如网络钓鱼、电话诈骗和假冒电话;识别正确存储、传输、存档和销毁敏感信息;意识到意外数据暴露的原因,如丢失移动设备或因电子邮件自动完成而发错邮件;识别事件最常见的指标,并能够报告此类事件。公司在销毁敏感个人信息的时候应该确保这些信息不能以任何方式被恢复。 |
CIS Control 18:Application Software Security(应用软件安全)
资产类别 | 安全功能 | 总结描述 |
---|---|---|
N/A | N/A | 建立适合所使用的编程语言和开发环境的安全编码实践;对于内部开发的软件,确保对所有输入(包括大小、数据类型和可接受范围或格式)执行并记录明确的错误检查;验证从组织外部获得的所有软件的版本仍然可以得到技术支持;对于组织开发的软件只使用最新的和受信任的第三方组件;只使用标准化和广泛审查的加密算法;确保所有软件开发人员都接受过针对其特定开发环境和职责编写安全代码的培训;应用静态和动态分析工具来验证内部开发的软件是否遵循了安全的编码实践;建立接受和处理软件漏洞报告的流程;生产环境和非生产环境分开,并监控开发人员对生产环境的访问;通过部署web应用程序防火墙(web application firewalls, WAFs)来保护web应用程序;对于依赖于数据库的应用程序,请使用标准的加强配置模板 |
CIS Control 19:Incident Response and Management(事件响应和管理)
资产类别 | 安全功能 | 总结描述 |
---|---|---|
N/A | N/A | 确保有书面的事件响应计划,定义人员的角色以及事件处理/管理的各个阶段;明确负责处理计算机和网络事件的工作职责,确保跟踪和记录整个事件;指定管理人员和备份人员,通过扮演关键的决策角色来支持事件处理过程;制定组织范围内的事故报告标准,系统管理员和其他工作人员报告异常事件的报告机制,以及应包括在事件通知中的信息种类;收集和维护用于报告安全事件的第三方联系信息,如执法部门、相关政府部门、供应商和ISAC合作伙伴;向事件处理小组报告关于计算机异常和事件的信息,这些信息应该包含在员工的日常意识活动中;为参与事件响应的员工进行定期的事件演习;根据已知的或潜在的对组织的影响,创建事件评分和优先级模式,利用分数来定义状态更新和升级过程的频率 |
CIS Control 20:Penetration Tests and Red Team Exercises(渗透测试和红队训练)
资产类别 | 安全功能 | 总结描述 |
---|---|---|
N/A | N/A | 建立渗透测试流程,包括一个完整范围的混合攻击,如无线、基于客户机和web应用程序攻击;进行定期的外部、内部渗透测试和红队训练;渗透测试要包括对不受保护的系统信息和文件的存在性的测试,包括网络图,配置文件、旧的渗透测试报告、电子邮件或包含密码或对系统操作至关重要的其他信息的文档;创建一个模拟生产环境的测试平台,用于特定的渗透测试和红队训练;同时使用漏洞扫描和渗透测试工具,漏洞扫描评估的结果应该作为一个起点来指导和关注渗透测试工作;在可能的情况下,确保使用开放的、机器可读的标准(例如,SCAP)记录Red Team的结果。设计一种评分方法来确定红队训练的结果,以便在一段时间内比较结果;任何用于进行渗透测试的用户或系统帐户都应该受到控制和监控,以确保它们仅用于合法目的,并在测试结束后被移除或恢复正常功能。 |
结语
当前的数据时代,国际和国内都相继推出了跟数据安全相关的法律条例,国际上如GDPR、CCPA、COPPA等,国内如网络安全法、儿童个人信息网络保护规定等;数据监管治理的趋势日渐严格,数据安全已经成为了合规问题,这对企业的数据安全工作提出了比较高的要求,也推动企业重视数据安全工作。
本次跟大家分享的CCPA法案继GDPR之后,一项给加州人更多隐私保护的新法律,法案基于CIS框架,通过“Identify(识别)、Protect(保护)、Monitor(监视)、Detect(检测)、Respond(响应)和Recover(恢复)”6个维度的20个控制项,以3个阶段实施组,给企业安全建设和数据安全建设提出了要求和指引。无论你的公司是否在CCPA法案的适用范围之内,理解这个法案细则都会对我们安全从业者在安全工作中起到很好的帮助。
有人称CCPA法案是全球“最贵”法案,如果你的公司业务会涉及到美国人的数据,请重视并切实履行法案要求!
参考资料:
https://help.salesforce.com/articleView?id=mc_rn_january_2020_dmp_ccpa.htm&type=5
https://oag.ca.gov/system/files/attachments/press_releases/CCPA%20Fact%20Sheet%20%2800000002%29.pdf
https://fpf.org/wp-content/uploads/2018/11/GDPR_CCPA_Comparison-Guide.pdf