博客
什么是《 SHIELD法案》? SHIELD合规性提示
抽象形状抽象形状
加入27,000多个网络安全通讯订阅者

作为对《纽约州今日足球直播比赛安全漏洞和通知法》的修订,于2019年7月25日颁布了《纽约制止黑客和改善电子数据安全法》(SHIELD法)或参议院第5575号法案。该法律于2020年3月21日生效。

《 SHIELD法案》背后的动机是更新纽约'的数据泄露通知法与时俱进。该法案扩大了通知法所涵盖的今日足球直播比赛范围,并在发生数据泄露时更新了违反通知的要求。  

它还扩大了数据泄露的定义,使未经授权的人可以访问私有今日足球直播比赛,并要求组织采用合理的方法。 数据安全

至关重要的是,这包括指定一个人来经营 供应商风险管理流程 并就以下方面的数据安全措施进行尽职调查 第三方供应商和服务提供商.

为了帮助遵守,《 SHIELD法》提供了适合企业规模的标准,并针对某些实体提供免责保护。  

简而言之,《 SHIELD法案》对处理私人今日足球直播比赛和个人今日足球直播比赛的企业施加了更严格的义务,以减轻诸如身份盗用之类的威胁。 数据泄露 and 数据泄漏.

为什么《 SHIELD法案》很重要?

SHIELD ACT非常重要,因为它具有"域外适用"这意味着它涵盖了所有收集纽约居民私人今日足球直播比赛的雇主,个人或组织,无论身在何处。以前,数据泄露通知要求仅限于在纽约开展业务的人员。域外数据保护法的其他示例包括 加州消费者隐私法(CCPA)欧盟'通用数据保护条例(GDPR)和 巴西通用数据保护法(Lei Geral deProteçãode Dados Pessoais  或LGPD) .

另一个重要部分是强制执行具有特定保护措施的数据安全计划,例如 风险评估,员工培训, 事件响应计划 和测试,以及扩大的安全漏洞范围,例如任何查看私人今日足球直播比赛都可能触发报告要求。  

该法律使纽约州与加利福尼亚州,罗德岛州和马萨诸塞州等其他州保持一致。 

《 SHIELD法》如何更改数据泄露通知要求?

《 SHIELD法》修正了纽约'的现有违规通知法律并扩大了通知要求,如果泄露的数据为:

  • 包含纽约居民私人今日足球直播比赛的计算机化数据
  • 合理地认为已被未经授权的人访问或获取

《 SHIELD法》已将私人今日足球直播比赛的定义大大扩展到了现在,除了社会安全号码外,还包括'的许可证号,信用卡或借记卡号或金融帐号-包括生物特征今日足球直播比赛,电子邮件地址和相应的密码,或者安全问题和答案以及金融帐号,如果未经授权的人可以访问该帐号,则没有必需的安全代码。 

此外,数据泄露的定义已扩大到包括授权访问,而不是仅未经授权的获取。 

话虽如此,法律确实在善意的未授权访问之间进行了区分。违反是安全不包括"公司员工或代理商真诚访问,获取私人今日足球直播比赛"只要不使用数据或未经授权就披露数据。如果具有授权访问权限的人员无意间进行了披露,并且企业合理地确定了披露不会导致对此类今日足球直播比赛的滥用或财务或情感损害,则也不需要通知。 

与其他数据保护法律(例如GDPR)不同,《 SHIELD法》也没有对数据泄露通知施加特定的时间限制,而是选择了通知"在最方便的时间内且没有不合理的延迟". 

对此适用范围的豁免适用于必须提供违规通知(包括今日足球直播比赛违规(例如 受保护的健康今日足球直播比赛),这不是HIPAA / HITECH中定义的卫生和公共服务部长的私人今日足球直播比赛,后者必须在通知秘书后的五个工作日内向州总检察长提供通知。  

谁必须遵守《 SHIELD法案》?

《 SHIELD法案》广泛要求"任何人或企业"拥有或许可包含纽约居民私人今日足球直播比赛的计算机化数据"应制定,实施和维护合理的保障措施以保护 安全性,机密性和完整性 私人今日足球直播比赛,包括但不限于数据处理".

也就是说,具有符合以下条件的数据安全计划的实体 格拉姆-里奇-布莱利法案(GLBA),《健康保险携带和责任法案》(HIPAA),《经济和临床健康今日足球直播比赛技术法案》(HITECH)和/或 纽约州金融服务部网络安全法规 这些法律被视为符合《 SHIELD法案》,因此可以豁免。

另一项豁免适用于必须根据规模和复杂性,业务活动的性质和范围以及业务活动的性质和规模来扩展数据安全要求的小型企业。 今日足球直播比赛的敏感性 collection.

The SHIELD Act defines a small business as 任何人或企业 who meets one of the following criteria:

  • 少于五十名员工
  • 在过去三个会计年度中,每年的总收入少于300万美元
  • 根据公认会计原则(GAAP)计算的年末总资产少于500万美元

如何遵守《 SHIELD法案》

为了遵守《 SHIELD法案》,组织必须实施 数据安全 程序至少包括以下内容:

  • 合理的行政保障措施: 例如指定一名或多名员工来协调安全计划;识别可预见的内部和外部风险;评估为控制已识别风险而采取的保障措施的充分性;在安全计划的实践和程序方面对员工进行培训和管理;选择能够维持适当保障措施的服务提供商,并通过合同要求这些保障措施;并根据业务变化或新情况调整安全计划
  • 合理的技术保障:  评估  网络安全风险 在网络和软件设计方面;评估今日足球直播比赛处理,传输和存储中的风险;检测,预防和响应 网络攻击 或系统故障;并定期测试关键控制,系统和程序的有效性
  • 合理的物理保障: 评估今日足球直播比赛存储和处置的风险;检测,预防和应对入侵;防止在收集,运输,破坏或处置期间或之后未经授权访问或使用私人今日足球直播比赛;并通过擦除电子媒体在不再出于商业目的使用私人今日足球直播比赛后的合理时间内处理该私人今日足球直播比赛,从而无法读取或重建该今日足球直播比赛

不遵守《 SHIELD法案》有哪些处罚?

无法实施合规 今日足球直播比赛安全 该程序由纽约州总检察长执行,可导致禁令救济和每次违法行为最高5,000美元的民事罚款。 

不遵守违规通知要求的企业可能对"有权通知的人的实际成本或损失"。此外,如果企业违反规定"有意或无意地",则将被处以$ 5,000的民事罚款或$ 20的罚款,最高不超过$ 250,000。

《 SHIELD法案》如何定义个人今日足球直播比赛? 

《 SHIELD法》将个人今日足球直播比赛定义为与自然人有关的任何今日足球直播比赛,由于姓名,号码,个人标记或标识符的原因,这些今日足球直播比赛可用于识别他们。

《 SHIELD法案》如何定义私人今日足球直播比赛?

《 SHIELD法》将私人今日足球直播比赛定义为:

  • 任何  个人身份今日足球直播比赛(PII) 例如姓名,号码或其他标识符以及社会保险号,驾驶员'的驾驶证号码或非驾驶员身份证号码,帐号,信用卡或借记卡号码,以及任何允许个人进入的安全代码,访问代码,密码或其他今日足球直播比赛'的金融帐户,或个人的帐号,信用卡或借记卡号'无需其他今日足球直播比赛即可访问其金融帐户
  • 生物特征今日足球直播比赛,例如指纹,声纹,视网膜或虹膜图像,或用于鉴定或确定个人身份的生物特征数据的其他唯一物理表示形式或数字表示形式's identity 
  • 用户名或电子邮件,以及允许访问在线帐户的密码或安全性问题和答案。  

重要要点

《 SHIELD法案》是美国朝着更严格的数据隐私和安全法律不断发展的趋势的一部分,'我们通过GDPR引入了欧盟,通过  LGPD  and Canada via  皮派达 。 《 SHIELD法案》具有域外效力,因为它适用于任何拥有纽约居民私人今日足球直播比赛的企业,无论它是否在纽约开展业务,就像GDPR,LGPD,PIPEDA和加利福尼亚州一样's  注册会计师 .

此外,构成数据泄露的范围更广,再加上新的私人今日足球直播比赛补充,供应商风险管理要求以及对特定保护措施的需求,意味着企业需要为2020年3月21日之前制定合规计划或制定正式计划,以规避风险因违规而受到处罚。

UpGuard如何保护私人今日足球直播比赛并评估技术保障

像这样的公司 洲际交流泰勒·弗莱纽约证券交易所,IAG,First State Super,Akamai,Morningstar和NASA使用UpGuard保护其数据, 防止数据泄露,监视 漏洞 and avoid  恶意软件 .

We're experts in 数据泄露 and 数据泄漏 , 我们的   研究  已在 纽约时报华尔街日报 彭博社 华盛顿邮报 福布斯 路透社  and Techcrunch。

UpGuard供应商风险 通过自动化可以最大程度地减少组织花费在管理第三方关系上的时间 供应商问卷 and providing 供应商问卷模板 that map to the NIST网络安全框架 和其他最佳做法。我们可以帮助您持续监控供应商' 安全态势 随着时间的流逝,同时将它们与行业进行比较。 

每个供应商均根据50多个标准(例如是否存在  SSL协议 协议  and  域名系统 ,以及 域名劫持中间人攻击 and 电子邮件欺骗 for  网络钓鱼 .

每天,我们的平台都会通过 网络安全等级 out of 950. We'如果他们的分数下降,我会提醒您。

UpGuard BreachSight 可以帮助监控DMARC,打击 抢注, 避免  数据泄露 and 数据泄漏,避免监管罚款并保护您的客户's trust through 网络安全等级 和连续曝光检测。 

如果你'd想看看您的组织如何堆叠, 获得免费的网络安全评级

立即预订UpGuard平台的演示。

自由

白色UpGuard徽标
可供下载的UpGuard免费资源
学到更多

下载我们的免费电子书和白皮书

关于网络安全和供应商风险管理的见解。
白色UpGuard徽标
电子书,报告& Whitepapers
可供下载的UpGuard免费资源
UpGuard客户支持团队UpGuard客户支持团队UpGuard客户支持团队

观看UpGuard的实际应用

与我们的一位网络安全专家预订免费的个性化入职电话。
抽象形状抽象形状

相关文章

了解有关网络安全的最新问题的更多今日足球直播比赛。
传送图标

注册我们的时事通讯

每周在收件箱中获取最新精选的网络安全新闻,漏洞,事件和更新。
抽象形状抽象形状
免费即时安全评分

您的组织有多安全?

索取免费的网络安全报告,以发现您的网站,电子邮件,网络和品牌上的主要风险。
  • 检查图标
    您可以立即采取行动的即时见解
  • 检查图标
    13个风险因素,包括电子邮件安全,SSL,DNS运行状况,开放端口和常见漏洞
网站安全扫描结果网站安全扫描等级抽象形状