Obrigações de retenção de dados e notificação de violação de dados

Feb 29, 2024
Share

À medida que as empresas enfrentam exigências e restrições regulatórias crescentes em relação ao uso e gerenciamento de dados sensíveis, elas se deparam com o risco adicional de perda de receita. Pior ainda, o CEO e os membros do conselho podem ser responsabilizados pessoalmente caso não consigam cumprir as regulamentações em constante mudança.

Por exemplo, mudanças regulatórias recentes, como as da Comissão de Valores Mobiliários (SEC) em relação a Relatórios de incidentes e divulgações de segurança cibernética As regulamentações exigem que as empresas de capital aberto dos EUA relatem incidentes de segurança cibernética em até quatro dias úteis. Elas também exigem que as empresas de capital aberto detalhem suas estratégias de gestão de segurança cibernética em seus relatórios anuais. Essas regulamentações estão levando as empresas a incorporar compromissos de retenção de dados e notificação de violações de dados em seus contratos com fornecedores.

Quais são as obrigações de retenção de dados e notificação de violação de dados?

As regras de retenção de dados estabelecem por quanto tempo um fornecedor mantém os dados do cliente antes de excluí-los. Assim que o relacionamento entre fornecedor e cliente termina, o fornecedor deve localizar e apagar os dados do cliente de forma segura, reduzindo a probabilidade de um incidente de segurança cibernética ao limitar a exposição dos dados. Por outro lado, as notificações de violação de dados são requisitos contratuais que obrigam os fornecedores a informar rapidamente os clientes sobre quaisquer incidentes de segurança que levem ao acesso não autorizado ou à perda de dados. Isso permite que os clientes tomem as medidas apropriadas quando ocorre uma violação, como notificar os indivíduos afetados e evitar maiores danos.

Para contextualizar, as políticas de retenção de dados e notificação de violação de dados são um meio para os clientes protegerem o uso e o gerenciamento de seus dados pelos fornecedores com os quais trabalham. Um fornecedor pode deter vários tipos de dados sensíveis do cliente, incluindo detalhes do cliente (nomes, endereços e outros dados pessoais), informações de funcionários e dados comerciais confidenciais (propriedade intelectual e segredos comerciais).

Quais leis vigentes impõem a retenção de dados e a notificação de violações de dados?

Os principais motivos pelos quais as empresas precisam de uma política de retenção de dados e notificação de violação de dados são a proteção contra responsabilidade por reclamações relacionadas à gestão de dados, o cumprimento de obrigações contratuais com clientes e a conformidade com requisitos regulatórios. Conferência Nacional de Legislaturas Estaduais (NCSL) Relatórios indicam que oito estados americanos introduziram novas leis de privacidade do consumidor somente em 2023. Entre as leis existentes, há diversas estruturas legais e regulamentações estaduais que podem exigir que sua empresa cumpra as leis de retenção de dados e notificação de violação de dados.

Lei de Portabilidade e Responsabilidade do Seguro Saúde (HIPAA)

Esta é uma lei federal de privacidade de dados de saúde e de pacientes, criada para controlar informações de saúde protegidas (PHI) de serem divulgadas sem o consentimento ou conhecimento do paciente.

Retenção de dados: regras de retenção de dados HIPAA exigir que as organizações aplicáveis ​​mantenham os dados e registros dos pacientes por um período mínimo de seis (6) anos.

Notificação de violação de dados: As entidades abrangidas têm o dever de notificar os indivíduos afetados e o Departamento de Saúde e Serviços Humanos dos EUA (HHS) "sem demora injustificada" e em no máximo 60 dias corridos a partir da data de descoberta da violação.

Regulamento Geral de Proteção de Dados (RGPD)

O Regulamento Geral de Proteção de Dados O Regulamento Geral sobre a Proteção de Dados (RGPD) é uma lei de privacidade que se aplica às organizações que processam informações pessoais de indivíduos na União Europeia.

Retenção de dados: RGPD Determina que os dados pessoais só devem ser conservados durante o período necessário para cumprir as finalidades para as quais foram originalmente recolhidos (exceto para fins científicos e de investigação).

Notificação de violação de dados: Artigo 33 Determina que as violações de segurança cibernética devem ser comunicadas às autoridades de supervisão 72 horas após a sua descoberta.

Grama-Lei Leach-Bliley (GLBA)

O Lei Gramm-Leach-Bliley regula informações pessoais não públicas (NPI), obrigando as instituições que fornecem produtos ou serviços financeiros aos consumidores (empréstimos, consultoria financeira e de investimentos ou seguros) a divulgar como compartilham informações do consumidor e protegem seus dados.

Retenção de dados: Os requisitos são de seis (6) anos e incluem a aplicação de controles de acesso seguros para proteger as informações financeiras armazenadas.

Notificação de violação de dados: De acordo com a Comissão Federal de Comércio (FTC) nova emenda A partir de novembro de 2023, as instituições financeiras que sofrerem violações de segurança deverão informar a FTC (Comissão Federal de Comércio dos EUA) em até 30 dias caso a violação afete os dados de 500 ou mais consumidores.

Como a Cyera ajuda as empresas a cumprir os requisitos de retenção de dados e notificação de violação de dados

A Cyera permite que as equipes de segurança entendam onde e por quanto tempo os dados foram armazenados, para que as organizações possam cumprir suas obrigações contratuais em um relacionamento fornecedor-cliente.

Retenção de dados:  A Cyera cria um inventário de dados, incluindo dados de clientes, propriedade intelectual e dados comerciais que podem ter sido compartilhados em decorrência de relacionamentos entre fornecedores e clientes. A Cyera oferece às organizações a visibilidade necessária para equilibrar os requisitos operacionais de retenção, como recuperação de desastres, com os requisitos contratuais ou regulatórios.

Minimização de dados: Uma das maneiras mais seguras de proteger dados sensíveis é minimizar a superfície de ataque. A Cyera ajuda as equipes de segurança a identificar dados obsoletos ou redundantes que violam as políticas de retenção e precisam ser removidos.

Identificação e mitigação de violações: Em casos de violação de dados, a Cyera permite que as equipes de segurança compreendam rapidamente os dados afetados, incluindo o número de registros e a residência do titular dos dados. O contexto de residência é importante para entender quais jurisdições devem ser notificadas sobre a violação. Além disso, a plataforma da Cyera permite que as equipes vejam quem tem acesso aos dados, bem como as lacunas de exposição que podem levar à violação. Isso ajuda as equipes a analisar o impacto do incidente para que possam determinar a escala do ataque, contê-lo e notificar as partes interessadas relevantes sobre quais dados foram perdidos.

Para saber mais sobre a Plataforma de Segurança de Dados da Cyera e entender melhor como proteger seus dados, visite [link para o site da Cyera]. cyera.io/demo.

Share