Khi nguy cơ lạm dụng dữ liệu ngày càng tăng, ngày càng có nhiều công ty tìm cách tuân thủ các quy định và quyền riêng tư về dữ liệu hiện có. 

Từ Quy định chung về bảo vệ dữ liệu (GDPR) của Liên minh châu Âu đến Đạo luật về quyền riêng tư của người tiêu dùng (CCPA) mới được ban hành gần đây của California, mỗi quy định đều có một mệnh lệnh chiến lược duy nhất. 

• GDPR của Liên minh Châu Âu có hiệu lực vào ngày 25 tháng 2018 năm XNUMX để bảo vệ thông tin nhận dạng cá nhân (PII) của công dân. 
• Tương tự như vậy, vào ngày 1 tháng 2020 năm XNUMX, Đạo luật về quyền riêng tư của người tiêu dùng California (CCPA) có hiệu lực, ảnh hưởng đến hàng triệu công ty có chia sẻ các quyền mới của người tiêu dùng.

Các doanh nghiệp không thể bỏ qua những chính sách mới này. Từ quan điểm tài chính, các  cơ quan giám sát châu Âu đã áp đặt tới 133 hình phạt hành chính vào cuối năm 2019, tổng số tiền phạt lên tới khoảng 400 triệu euro (337 triệu bảng).

Các doanh nghiệp cần hiểu rằng khách hàng là động lực duy nhất của nền kinh tế và mối quan hệ đáng tin cậy với họ sẽ dẫn đến lòng trung thành và tăng doanh thu.

Một lưu ý tương tự, các doanh nghiệp thường tò mò liệu LoginRadius, với tư cách là nền tảng quản lý quyền truy cập và nhận dạng khách hàng (CIAM), có đáp ứng các yêu cầu quy định của luật bảo vệ dữ liệu phổ biến hay không.

Vâng, vâng, nó làm.

Không chỉ GDPR nổi tiếng, LoginRadius còn giúp các doanh nghiệp tuân thủ các hoạt động gần đây Đạo luật bảo mật người tiêu dùng California (CCPA).

Nhưng trước khi tiến xa hơn, chúng ta hãy hiểu một số điều về nền tảng CIAM và việc tuân thủ CCPA.

Cần những gì để tạo nên nền tảng CIAM hoàn hảo?

Chà, động lực của CIAM nằm ở khả năng sử dụng bảo mật dữ liệu như một công cụ để mang lại trải nghiệm liền mạch cho khách hàng. 

Quản lý quyền truy cập và nhận dạng khách hàng (CIAM) là một giải pháp kinh doanh tương đối mới tập trung vào khách hàng nhằm thu thập, quản lý và cung cấp quyền truy cập an toàn và liền mạch vào dữ liệu cá nhân của khách hàng.

Một ý tưởng nền tảng quản lý danh tính khách hàng nên bao gồm tất cả các thành phần quan trọng thúc đẩy doanh nghiệp – từ khách hàng, nhà cung cấp, nhà thầu, đối tác, nhân viên đến hệ thống, ứng dụng và thiết bị.

Đạo luật về quyền riêng tư của người tiêu dùng California (CCPA) là gì?

Đạo luật về quyền riêng tư của người tiêu dùng California là một quyền riêng tư của người tiêu dùng tương đối mới do Tiểu bang California ban hành. Nó bao gồm các luật đột phá liên quan đến thực tiễn kinh doanh đương đại và vai trò của công dân trong việc bảo mật dữ liệu cá nhân của họ ở Golden State.

Giống như GDPR, những quy định mới này không chỉ áp dụng cho các doanh nghiệp ở California mà còn áp dụng cho tất cả các công ty kinh doanh trong tiểu bang.

CCPA cung cấp những gì?

• Quyền sở hữu: Theo CCPA, người tiêu dùng sẽ có quyền biết những thông tin mà doanh nghiệp thu thập về họ và nếu cần, hãy hạn chế họ chia sẻ hoặc bán dữ liệu cá nhân của họ.
• Không phân biệt: CCPA không cho phép các doanh nghiệp phân biệt đối xử với những người tiêu dùng chưa chấp thuận bán dữ liệu của họ. Do đó, doanh nghiệp không thể áp đặt thêm phí hoặc cung cấp dịch vụ với chất lượng thấp cho những người tiêu dùng đó.
• An ninh và bảo vệ: Theo CCPA, các công ty chịu trách nhiệm bảo vệ thông tin cá nhân của người tiêu dùng trước các vi phạm dữ liệu tiềm ẩn.

Người tiêu dùng được hưởng những quyền gì theo CCPA?

Dữ liệu nào được coi là cá nhân theo CCPA?

• định danh trực tiếp như tên, địa chỉ, id e-mail, số an sinh xã hội, thông tin hộ chiếu, bằng lái xe và chữ ký.
• Định danh duy nhất như địa chỉ IP, id tài khoản, cookie, thẻ pixel, đèn hiệu và số điện thoại. 
• số nhận dạng hoạt động Internet như lịch sử tìm kiếm, quảng cáo, lịch sử duyệt web, v.v.
• định danh vị trí địa lý như lịch sử vị trí.
• Dữ liệu nhạy cảm như lịch sử tài chính và y tế, quan điểm tôn giáo hoặc chính trị, sở thích tình dục, dữ liệu giáo dục, v.v.
• Số nhận dạng sinh trắc học như ghi âm giọng nói, dấu vân tay, nhận dạng khuôn mặt, v.v. 
• dữ liệu thương mại như hồ sơ tài sản, sản phẩm hoặc dịch vụ đã mua, lịch sử mua hàng, v.v.

CCPA có phải là vấn đề lớn không?

Có, CCPA là vấn đề lớn đối với các công ty thu thập dữ liệu từ cư dân California – bất kể địa điểm kinh doanh của họ. 

Việc không tuân thủ có thể dẫn đến các khoản tiền phạt nặng và các biện pháp cưỡng chế cứng nhắc.

Các hình phạt CCPA là gì?

Hình phạt tối đa đối với các vi phạm không cố ý là 2,500 USD, trong khi đối với các vi phạm cố ý, mức phạt này có thể lên tới 7,500 USD. Người tiêu dùng cũng có thể thực hiện hành động pháp lý chống lại các công ty và có thể kiện riêng từng công ty đối với từng vi phạm.

CCPA có áp dụng cho doanh nghiệp của bạn không?

Nếu doanh nghiệp hoặc tổ chức của bạn đáp ứng tích cực cho bất kỳ tiêu chí nào sau đây, thì bạn bắt buộc phải tuân thủ CCPA.

• Doanh nghiệp của bạn có kiếm được tổng doanh thu hàng năm hơn 25 triệu USD không?
• Bạn có mua, bán hoặc chia sẻ dữ liệu của 50,000 người tiêu dùng trở lên vì mục đích thương mại không?
• Doanh nghiệp của bạn có kiếm được 50% doanh thu trở lên bằng cách bán thông tin cá nhân của người tiêu dùng không?

Hãy nhớ rằng: Các công ty phi lợi nhuận hoặc nhỏ không đáp ứng ngưỡng thu nhập không bắt buộc phải tuân thủ.

CCPA có thể tối ưu hóa trải nghiệm người dùng không?

Ngày nay, người tiêu dùng có nhiều quyền kiểm soát đối với cách các công ty định hình hình ảnh thương hiệu và duy trì hoạt động kinh doanh của họ. 

Khi nói đến CCPA, luật bảo mật dữ liệu của California cung cấp một số cơ hội tuyệt vời để đạt được lợi thế về trải nghiệm của khách hàng. 

Tự hỏi làm thế nào? Hãy cùng tìm hiểu.

1. CCPA đảm bảo an ninh dữ liệu được cải thiện.

Hậu quả của việc không tuân thủ các giao thức tuân thủ quốc tế không chỉ giới hạn ở các vấn đề về quyền riêng tư. Ngoài việc mất niềm tin rõ ràng của khách hàng, nó còn dẫn đến tổn thất doanh thu và có thể bị phạt. 

Luật bảo vệ dữ liệu nghiêm ngặt như CCPA mang lại cho người tiêu dùng sự tự tin và tin tưởng để chia sẻ trực tuyến dữ liệu nhạy cảm của họ. Đơn giản vì người tiêu dùng có thể dễ dàng tìm ra dữ liệu nào được thu thập, lưu trữ và tiết lộ cho người khác.

2. CCPA xây dựng lòng tin với quản lý chấp thuận.

Với rất nhiều trường hợp đánh cắp danh tính và tiết lộ dữ liệu của các tập đoàn lớn, người tiêu dùng cảm thấy khó tin tưởng vào các doanh nghiệp với dữ liệu cá nhân của họ. 

Các doanh nghiệp sẵn sàng xây dựng mối quan hệ bền vững với người tiêu dùng của họ cần hiểu tầm quan trọng của quyền riêng tư. 

Người tiêu dùng nên có quyền tự do xem hoặc nâng cấp sự chấp thuận của họ. Nếu có nhu cầu, họ cũng nên được phép rút lại sự đồng ý của mình.

Do đó, CCPA yêu cầu các doanh nghiệp hiển thị các yêu cầu đồng ý dễ hiểu để người tiêu dùng biết họ đang làm gì.

3. CCPA cho phép quản lý danh tính dễ dàng.

Khi nói đến quản lý danh tính cấp doanh nghiệp, các yếu tố như tuân thủ và bảo mật đóng một vai trò quan trọng. 

Trong thế giới dựa trên dữ liệu, giải pháp quản lý dữ liệu và danh tính khách hàng do CCPA quản lý có thể tìm kiếm sự đồng ý và ghi lại các quyền trước khi xử lý bất kỳ dữ liệu nào.

Cách Giải pháp nhận dạng của LoginRadius hỗ trợ các doanh nghiệp tuân thủ CCPA

LoginRadius là một nhận dạng khách hàng và quản lý truy cập giải pháp cung cấp chế độ xem 360 độ về khách hàng để thu thập, lưu trữ, quản lý và bảo vệ dữ liệu cá nhân liền mạch.

Nó giúp các công ty đáp ứng các yêu cầu quy định của CCPA mà không ảnh hưởng đến trải nghiệm người dùng. Các tính năng bảo vệ dữ liệu có một không hai của nó bao gồm đăng ký khách hàng, đăng nhập, xác thực, đăng nhập một lần, quản trị dữ liệu và quản lý sự đồng ý, cùng nhiều tính năng khác.

Các khả năng sau đây tiếp tục giúp doanh nghiệp đáp ứng các quy định tuân thủ quyền riêng tư.

• Tuyên bố đồng ý rõ ràng và cụ thể.
• Đăng ký và lập hồ sơ tiến bộ. 
• Bản ghi dữ liệu và quyền truy cập. 
• Xóa dữ liệu. 
• Quản lý truy cập và nhận dạng người dùng. 
• Quản lý kiểm soát truy cập tập trung.
• Cơ chế xác minh tuổi.

Còn nữa.

LoginRadius thực thi một bộ chính sách, thủ tục, chương trình và tiêu chuẩn để quản lý bảo mật hiệu quả. Nó nhằm mục đích cung cấp một thiết lập tổ chức không có rủi ro bằng cách bảo vệ dữ liệu của khách hàng khỏi các vi phạm tiềm ẩn.

Giải pháp nhận dạng được thiết kế với kiến ​​trúc dựa trên đám mây và tuân thủ các chương trình đảm bảo an ninh chính bao gồm:

1. OpenID – Xác minh danh tính người dùng cuối được hỗ trợ bởi giao thức OAuth 2.0
2. Tiêu chuẩn quản lý PCI DSS PCI SSC cho các giao dịch thanh toán
3. ISO 27001:2013 – Hệ thống quản lý an toàn thông tin
4. ISO 27017:2015 – Bảo mật thông tin cho dịch vụ đám mây
5. AICPA SOC 2 (Loại II) – Kiểm soát cấp hệ thống đối với Tiêu chí Dịch vụ Ủy thác – bảo mật, tính khả dụng, tính toàn vẹn của quy trình, tính bảo mật và quyền riêng tư 
6. ISAE 3000 – Tiêu chuẩn chứng thực quốc tế về đảm bảo thông tin phi tài chính 
7. NIST Cybersecurity Framework – Khung bảo mật được tiêu chuẩn hóa để quản lý và giảm rủi ro an ninh mạng.  
8. CSA CCM Cấp độ 1, Cấp độ 2 – Tự đánh giá STAR, Chứng nhận STAR, Chứng nhận STAR và Đánh giá C-STAR.
9. Các biện pháp kiểm soát bảo mật quan trọng của CIS Các tiêu chuẩn toàn cầu về bảo mật internet
10. Lá chắn bảo mật của Hoa Kỳ Giải quyết khiếu nại cho công dân EEA
11. ISO/IEC 27018:2019 – Bảo vệ PII

Kết luận

Người tiêu dùng mong đợi sự riêng tư và bảo mật của dữ liệu cá nhân của họ và doanh nghiệp có trách nhiệm xây dựng và duy trì mối quan hệ tin cậy. Các vụ vi phạm dữ liệu và trộm danh tính gần đây nêu bật tầm quan trọng của luật bảo vệ dữ liệu và việc tuân thủ như CCPA và GDPR. 

Với giải pháp nhận dạng như LoginRadius, bạn có thể loại bỏ các quy trình dài làm hỏng trải nghiệm người dùng và vẫn duy trì quản trị quốc tế đối với quyền riêng tư dữ liệu. 

*** Đây là một blog hợp tác của Mạng Blogger Bảo mật từ Blog danh tính tác giả bởi lmax. Đọc bài viết gốc tại: https://www.loginradius.com/blog/2020/03/how-loginradius-helps-enterprises-stay-ccpa-compliant-in-2020/