Obrigações de Retenção de Dados e Notificação de Violação

Por exemplo, mudanças regulatórias recentes como as da Securities and Exchange Commission (SEC) em relação a relatórios de incidentes e divulgações de cibersegurança determinam que empresas de capital aberto dos EUA relatem incidentes de cibersegurança dentro de quatro dias úteis. Elas também exigem que empresas públicas detalhem suas estratégias de gestão de cibersegurança em relatórios anuais. Tais regulamentações estão fazendo com que as empresas incorporem compromissos de retenção de dados e notificação de violações em seus contratos com fornecedores.

Quais são as obrigações de retenção de dados e notificação de violação?

As regras de retenção de dados estabelecem por quanto tempo um fornecedor mantém os dados do cliente antes de serem excluídos. Uma vez que o relacionamento fornecedor-cliente termina, o fornecedor deve localizar e apagar com segurança os dados do cliente, reduzindo a probabilidade de um incidente de segurança cibernética ao limitar a exposição de dados. Por outro lado, as notificações de violação de dados são requisitos contratuais para que os fornecedores informem rapidamente os clientes sobre quaisquer incidentes de segurança que levem ao acesso não autorizado ou perda de dados. Isso dá aos clientes a possibilidade de tomar as medidas apropriadas quando ocorre uma violação, como notificar os indivíduos afetados e prevenir danos adicionais.

Para contexto adicional, as políticas de retenção de dados e notificação de violação são um meio para os clientes protegerem o uso e o gerenciamento de seus dados pelos fornecedores com os quais trabalham. Um fornecedor pode deter vários tipos de dados confidenciais de clientes, incluindo detalhes de clientes (nomes, endereços e outros dados pessoais), informações de funcionários e dados comerciais confidenciais (propriedade intelectual e segredos comerciais).

Quais leis existentes aplicam a retenção de dados e notificações de violação?

As principais razões pelas quais as empresas precisam de uma política de retenção de dados e notificação de violação são para se proteger contra responsabilidades por reivindicações de gerenciamento de dados, cumprir obrigações contratuais com clientes e atender aos requisitos regulatórios. A Conferência Nacional de Legislaturas Estaduais (NCSL) relata que oito estados dos EUA introduziram novas leis de privacidade do consumidor somente em 2023. Entre as leis existentes, existem várias estruturas legais e regulamentações em nível estadual que podem exigir que sua empresa cumpra as leis de retenção de dados e notificação de violação. ‍

Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA)‍

Esta é uma lei federal de privacidade de dados de saúde e de pacientes estabelecida para controlar informações de saúde protegidas (PHI) para que não sejam divulgadas sem o consentimento ou conhecimento do paciente. ‍

Retenção de dados: As regras de retenção de dados da HIPAA exigem que as organizações aplicáveis mantenham dados e registros de pacientes por um mínimo de seis (6) anos. ‍

Notificação de violação: as entidades cobertas têm o dever de notificar os indivíduos afetados e o Departamento de Saúde e Serviços Humanos dos EUA (HHS) "sem atraso injustificado" e em no máximo 60 dias corridos a partir da data de descoberta da violação.‍

Regulamento Geral de Proteção de Dados (RGPD)

‍O Regulamento Geral de Proteção de Dados (GDPR) é uma lei de privacidade que se aplica a organizações que processam informações pessoais de indivíduos na União Europeia. ‍

Retenção de dados: GDPR determina que os dados pessoais devem ser retidos apenas pelo período necessário para cumprir os propósitos para os quais foram originalmente coletados (exceto para fins científicos e de pesquisa). ‍

Notificação de violação: Artigo 33 determina que violações de segurança cibernética devem ser reportadas às autoridades supervisoras 72 horas após a descoberta.‍

Gramm-Leach-Bliley Act (GLBA)

A Lei Gramm-Leach-Bliley regulamenta informações pessoais não públicas (NPI), obrigando instituições que fornecem produtos ou serviços financeiros aos consumidores (empréstimos, consultoria financeira e de investimentos ou seguros) a divulgar como compartilham informações do consumidor e protegem seus dados.

‍Retenção de dados: os requisitos são de seis (6) anos e incluem a aplicação de controles de acesso seguro para proteger as informações financeiras armazenadas.

‍Notificação de violação: De acordo com a nova emenda da Comissão Federal de Comércio (FTC) de novembro de 2023. As instituições financeiras que sofrerem violações devem informar a FTC dentro de 30 dias se a violação afetar os dados de 500 ou mais consumidores.

Como a Cyera ajuda as empresas a cumprir os requisitos de retenção de dados e notificação de violação

A Cyera permite que as equipes de segurança entendam onde e por quanto tempo os dados foram armazenados para que as organizações possam honrar suas obrigações contratuais em um relacionamento fornecedor-cliente.

‍Retenção de dados: A Cyera cria um inventário de dados, incluindo dados de clientes, propriedade intelectual e dados comerciais que podem ter sido compartilhados como resultado de relacionamentos entre fornecedores e clientes. A Cyera oferece às organizações a visibilidade necessária para equilibrar os requisitos operacionais de retenção, como recuperação de desastres, com requisitos contratuais ou regulatórios.

Minimização de dados: Uma das formas mais seguras de manter dados sensíveis protegidos é minimizar a superfície de ataque. A Cyera ajuda as equipes de segurança a identificar dados obsoletos ou redundantes que violam as políticas de retenção e precisam ser removidos.

‍Identificação e mitigação de violações: Para incidentes de violação, a Cyera permite que as equipes de segurança entendam rapidamente os dados impactados, incluindo o número de registros e a residência do titular dos dados. O contexto de residência é importante para entender quais jurisdições devem ser notificadas sobre uma violação. Além disso, a plataforma da Cyera permite que as equipes vejam quem tem acesso aos dados, juntamente com as lacunas de exposição que podem levar à violação. Isso ajuda as equipes a analisar o raio de impacto do incidente para que possam determinar a escala do ataque, contê-lo e notificar as partes interessadas relevantes sobre quais dados foram perdidos.

Para saber mais sobre a Plataforma de Segurança de Dados da Cyera e entender melhor como proteger seus dados, visite cyera.io/demo.