Operacionalizar el cumplimiento de la regla del DOJ para transferencias masivas de datos personales sensibles

En 2024, el presidente Biden emitió una Orden Ejecutiva que instruye al Departamento de Justicia a regular la transferencia de datos del gobierno de Estados Unidos y de datos personales sensibles masivos de EE. UU. a “países de preocupación” —China, Cuba, Irán, Corea del Norte, Rusia y Venezuela—, así como a personas o empresas bajo su control.

El propósito de la Orden es impedir que los adversarios de Estados Unidos adquieran datos que puedan usarse para espionaje, para entrenar modelos de IA que puedan representar una amenaza para la seguridad nacional de EE. UU., o que de otro modo presenten un riesgo significativo de daño a los intereses del gobierno de EE. UU. o de los ciudadanos estadounidenses.

La Regla del Programa de Seguridad de Datos del DOJ cumple los propósitos de la Orden al prohibir o restringir ciertos tipos de “transacciones cubiertas”: corretajes de datos, acuerdos laborales, acuerdos con proveedores y acuerdos de inversión, que involucren cantidades masivas de datos personales sensibles pertenecientes a ciertas categorías definidas. En términos generales, cuanto más sensibles sean los datos, como los genómicos o biométricos, menos instancias se requieren para considerarse “masivos”.

Tanto la Orden como la Norma dejan claro que su propósito no es imponer un requisito general de localización de datos como el que hemos visto en países como China y Rusia. Si bien algunas transferencias están prohibidas, las transacciones restringidas pueden proceder siempre que los controladores de datos hayan implementado controles adecuados de seguridad y gobernanza de datos, y hayan aclarado los requisitos posteriores de privacidad y seguridad para los procesadores de terceros mediante salvaguardas como cláusulas contractuales específicas.

Tampoco se pretende obstaculizar el intercambio comercial o científico legítimo. La mayoría de las transferencias de PII o datos financieros probablemente entren en la excepción para transacciones comerciales normales, por ejemplo. No obstante, el gobierno espera que las organizaciones involucradas en transacciones cubiertas “conozcan sus datos” y “tengan conciencia del tipo y el volumen de sus datos”. Ahí es donde DSPM se vuelve esencial.

Comprender las capacidades de descubrimiento y clasificación de datos de Cyera

La Plataforma de Seguridad de Datos con IA nativa de Cyera descubre los datos de tu organización en almacenes de datos SaaS, PaaS, IaaS y DBaaS, así como en recursos locales (on‑prem). Verás cuántos almacenes de datos tienes, cuántos registros por almacén, dónde residen los titulares de datos de esos registros y quién tiene acceso. Y la implementación sin agentes de Cyera significa que obtendrás esta visibilidad de tu ecosistema de datos en minutos, no en meses.

Además, el motor de clasificación de Cyera incluye clasificadores preentrenados alineados con la mayoría de los principales marcos normativos, lo que le permite etiquetar información de identificación personal (PII), información de salud personal (PHI) y varias categorías de información financiera personal, como números de tarjetas de crédito y cuentas bancarias. Las perspectivas contextuales incluyen la identificación de información como la región donde se encuentra un almacén de datos o la residencia de los titulares de los datos.

Además de sus clasificadores listos para usar, el DSPM de Cyera también puede aprender categorías de datos únicas para tu organización. En promedio, entre el 20 y el 40 por ciento de los datos de nuestros clientes pertenecen a una de estas clasificaciones aprendidas, que abarcan desde PII como “ID de empleado” hasta propiedad intelectual valiosa como “fórmulas de producto” o “recetas”.

Si bien la IA de Cyera probablemente pueda aprender las categorías de datos más importantes para tu organización, nuestros ingenieros de Customer Success están listos para ayudarte a desarrollar reglas personalizadas si es necesario, a fin de asegurar que obtengas el máximo valor posible de tu implementación. Entre los métodos de clasificación listos para usar y los aprendidos, y con nuestro flexible motor de políticas, casi todos los casos de uso comerciales y regulatorios importantes están cubiertos. En comparación con los esfuerzos manuales, Cyera ofrece visibilidad y una clasificación precisa mucho más rápido y a un costo significativamente menor.

Más allá de las perspectivas: remediación y validación

Pero Cyera también te da control. Supervisa tu ecosistema de datos para detectar nuevos almacenes de datos y nuevos usuarios. Identifica usuarios de riesgo con permisos excesivos, o usuarios inactivos cuyos accesos deberían darse de baja. Mantiene bajo control la expansión de permisos y el sobrecompartir y, al identificar la residencia de tus usuarios de “países de preocupación”, puede ayudarte a cumplir con la Orden y la Regla del DOJ.

No solo puedes explorar y ver quién tiene acceso a tus datos dentro de la plataforma de Cyera, sino que también puedes definir políticas para alertar cuando se descubra un número crítico de registros de cierta categoría de datos (por ejemplo, “Datos Financieros Personales”) en un almacén de datos accesible para usuarios con sede en una región o país en particular. Más importante aún, Cyera te permite convertir esas alertas en acciones, integrándose con tus herramientas de flujo de trabajo y facilitando la remediación automatizada. También puede enviar notificaciones directamente a las partes interesadas relevantes (p. ej., privacidad, seguridad, cumplimiento) por correo electrónico o Slack, con instrucciones para la remediación manual.

Cyera puede generar registros y reportes de auditoría, lo que facilita documentar el alcance de las transacciones que motivaron un análisis y las acciones de remediación tomadas para fines de cumplimiento con el DOJ. Si los reguladores federales lo solicitan, puedes aprovechar las capacidades de auditoría y generación de reportes de Cyera para dar fe de la cantidad y ubicación de los datos personales sensibles en tu ecosistema de datos, así como de tus esfuerzos por limitar o eliminar el acceso a tus datos por parte de usuarios ubicados en países de preocupación.

El cumplimiento a menudo puede parecer una tarea abrumadora, pero cumplir con las exigencias de la Regla del Programa de Seguridad de Datos no tiene por qué requerir un esfuerzo hercúleo. El DOJ quiere que las organizaciones conozcan sus datos y los mantengan seguros. En Cyera, esa es literalmente nuestra mantra. Y con la visibilidad y el control que ofrece Cyera, nunca ha sido tan fácil. Para obtener más información, solicita una demostración hoy en Cyera.com.