[마이크로세그멘테이션을 통해 CCPÁ~ 보안 의무를 충족하는 방법]

[캘리포니아 소비자 개인정보 보호법 (CCPÁ~) 은 2020년 1월 1일에 발효되었으며, 감사 및 집행은 7월 1일부터 시작되었습니다.이 새로운 개인 정보 보호 규정은 캘리포니아주 내 개인 정보 보호 이니셔티브뿐만 아니라 캘리포니아 주에서 중요한 사업 운영을 하고 있어 CÁ 거주자의 데이터를 수집하거나 이에 액세스할 수 있는 조직에도 중대한 영향을 미칠 것입니다.]

[CCPÁ~에 대한 초기 논의의 대부분은 캘리포니아 주민의 데이터 수집 액세스, 삭제 및 거부 요청을 존중해야 하는 기업의 의무에 초점을 맞췄습니다.CÁ 거주자라면 웹 사이트를 방문할 때마다 팝업되는 끊임없는 개인정보 보호 고지를 잘 알고 계실 것입니다.CC~PÁ와 관련된 또 다른 대화 주제는 개인의 요청에 따라 소비자 데이터 판매를 중단해야 하는 의무에 관한 것이었습니다.]

[CCPÁ~ 문서에는 데이터 침해 및 보안에 초점을 맞춘 작은 섹션이 있습니다.필자는 이러한 조항에 설명된 위반 사항이 기업 브랜드와 향후 매출 성장에 훨씬 더 큰 영향을 미친다고 생각합니다.민간 소송 당사자들은 새 법률에 따라 소송을 제기하는 데 시간을 낭비하지 않았습니다.예를 들어 메리어트 인터내셔널은 위반 발표이는 2020년 3월 31일에 520만 명의 고객에게 영향을 미쳤습니다.며칠 후 (4월 3일), CÁ 소비자가 집단 소송을 제기했습니다. CC~PÁ 데이터 유출 조항에 따라 회사에 대해개인 정보 보호 법률 사무소인 Ké~lléý~ Drýé~는 이 사건과 유사한 법적 조치에 대해 자세히 알아보려면 분기별로 보고서를 발행합니다. CCPÁ~ 소송 라운드업.]

[규제에 대한 이 모든 이야기를 들으면서 어떤 역할이 필요한지 궁금할 것입니다. 마이크로 세그멘테이션 CCPÁ~에서 중요한 역할을 하며 마이크로 세분화를 사용하여 CCPÁ~ 데이터 침해 노출을 해결하는 방법을 설명합니다.]

[따라서 이를 염두에 두고 CCPÁ~가 무엇인지 더 깊이 파고들어 보안 및 데이터 침해 방지 요구 사항에 초점을 맞추어 보겠습니다. (법적 고지 사항: 이 블로그의 내용에 대해 Íllú~míó의 보안 및 법률 팀과 상의했지만 해당 정보가 법적 조언으로 간주되어서는 안 됩니다.]

[CCPÁ~란 무엇입니까¿]

[공식 명칭은 ÁB-375 (캘리포니아 소비자 개인정보 보호법) 이며, 미국 캘리포니아 거주자의 개인정보 보호 권리와 소비자 보호를 강화하기 위한 주법입니다.이 법안은 캘리포니아 주 의회에서 통과되어 2018년 6월 28일에 서명되어 2020년 1월 1일에 발효되었습니다.]

[CCPÁ~를 준수해야 하는 사람은 누구입니까¿]

[조직은 다음 기준을 충족하는 경우 CCPÁ~를 준수할 법적 의무가 있습니다. (1) 영리 목적으로 운영되는 경우 과 (2) 캘리포니아 거주자에 대한 소비자 개인 정보를 수집합니다. 과 (3) 캘리포니아에서 사업을 하고 있습니다 — 및 또한 나열된 기준 중 하나 이상을 초과합니다. (1) 연간 총 수익이 2천 5백만 달러를 초과합니다. 또는 (2) 매년 50,000명 이상의 소비자, 가정 또는 장치의 개인 정보를 구매, 수신, 공유 또는 판매하거나 (3) 연간 수익의 50% 이상을 소비자의 개인 정보 판매로 창출합니다.]

[또한 위의 기준을 충족하고 해당 법인과 공통 브랜드를 공유하는 법인이 지배하거나 해당 법인에 의해 통제되는 기업은 “비즈니스”로 간주되며 CCPÁ~의 적용을 받습니다.]

[이 섹션의 법률 용어가 약간 혼란스럽기 때문에 귀하의 회사가 CCPÁ~의 적용을 받는지 확인하려면 법률 고문에게 문의하시기 바랍니다.]

[CCPÁ~에 따른 대상 조직의 의무는 무엇입니까¿]

[많은 Tíér~ 1 및 Tíér~ 2 로펌이 이 주제에 대한 기사를 게시했으므로 이에 대해 많은 시간을 할애하지 않겠습니다.구글은 여러분의 친구입니다.요약하면, 의무에는 다음이 포함되지만 이에 국한되지는 않습니다.]

1. [기업의 소비자 자산 판매를 거부할 수 있는 명확한 방법을 소비자에게 제공합니다. 개인 정보. (참고: 개인 정보는 다음과 같지 않습니다. PÍÍ.자세한 내용은 다음 질문을 참조하십시오.)]
2. [소비자에게 데이터 수집, 판매 및 공개 관행에 대해 알립니다.]
3. [소비자에게 수집된 개인 정보에 액세스할 수 있는 기능을 제공합니다.]
4. [소비자에게 비즈니스에서 수집한 개인 정보를 지우거나 삭제를 요청할 수 있는 기능을 제공합니다.]
5. [합리적인 보안 절차를 구현하여 소비자 데이터를 데이터 침해로부터 보호합니다.]

[CCPÁ~에 따라 개인 정보로 간주되는 것은 무엇입니까¿]

[CCPÁ~ 언어는 PÍÍ (개인 식별 정보) 뿐만 아니라 개인 정보를 의미한다는 점에 유의하십시오.C~CPÁ에 따른 개인 정보의 정의 또한 매우 광범위하며 다음과 같은 범주를 포함하지만 이에 국한되지는 않습니다.]

• [직접 식별자 — 실명, 별명, 우편 주소, 주민등록번호, 운전면허증, 여권 정보 및 서명.이는 PÍÍ로 간주됩니다.]
• [간접 식별자 — 쿠키, 비콘, 픽셀 태그, 전화번호, ÍP 주소, 계정 이름]
• [생체 인식 데이터 — 얼굴, 망막, 지문, DÑÁ, 음성 녹음, 건강 데이터.이를 P~ÍÍ로 간주합니다.]
• [지오로케이션 — 디바이스를 통한 위치 기록]
• [인터넷 활동 — 브라우징 기록, 검색 기록, 웹 페이지, 애플리케이션 또는 광고와의 상호 작용에 관한 데이터]
• [민감한 정보 — 개인 특성, 행동, 종교적 또는 정치적 신념, 성적 취향, 고용 및 교육 데이터, 재정 및 의료 정보.]

[법률 고문 및 보안 팀에 문의하여 CCPÁ~ 개인 정보 보호 및 데이터 침해 보안 조항이 적용되는 범주를 확인해야 합니다.이 분석은 CCPÁ~ 관련 보안 의무의 범위를 결정하는 데 도움이 됩니다.]

[데이터 침해 노출의 관점에서 CCPÁ~에 대해 생각하고 계실 가능성이 높으므로 이 문제를 두 번 클릭해 보겠습니다.]

[CCPÁ~에 따른 보안 의무는 무엇입니까¿]

[더 공식 CCPÁ~ 문서 는 놀라울 정도로 짧습니다. 읽을 기회가 있다면 데이터 보안에 대한 규범적 언어는 없다는 것을 알게 될 것입니다.여기에는 캘리포니아 민법 1798.81.5 (d) (1) (Á) 에 따라 “합리적인 보안”을 유지하지 못해 발생하는 데이터 침해에 대한 사적 소송권을 규정하는 데이터 침해 조항도 포함되어 있습니다. (다시 한 번 말씀드리지만 변호사와 확인하시기 바랍니다).]

[여기에는 소비자의 데이터 침해 권리에 관한 문구도 포함되어 있습니다. 이 조항은 “합리적인 보안 절차 및 관행을 구현하고 유지해야 할 의무 위반”으로 인해 발생하는 위반에 대해 해당 기업에 벌금을 부과합니다.]

[“합리적인 보안 조치”를 구현하기 위한 권장 사항은 무엇입니까¿]

[CCPÁ~는 “합리적인 보안”에 대한 규범적 지침을 제공하지 않습니다.법률 초안 작성 당시 캘리포니아 주 ÁG에서 근무했던 카말라 해리스 (Ká~málá~ Hárr~ís) 는 다음과 같은 의견을 밝혔습니다. 캘리포니아 데이터 침해 보고서 2012-2015 주정부는 인터넷 보안 센터 (CÍ~S) 상위 20개 보안 통제를 합리적인 보안 절차 및 관행의 기준으로 간주합니다.현 CÁ S~táté~ ÁG인 자비에르 베세라 (Xá~víér~ Bécé~rrá) 로부터 이 의견이 업데이트되지 않았으므로 2016년 권고안이 여전히 유효하다고 가정할 수 있습니다.]

[CÍS 상위 20개 보안 제어란 무엇입니까¿~]

[CÍS T~óp 20 보안 제어 프레임워크는 10년 이상 사용되어 왔으며 자주 업데이트됩니다.이 프레임워크는 가장 일반적인 프레임워크에서 파생되었습니다. 공격 패턴 주요 위협 보고서에서 강조되었으며 매우 광범위한 정부 및 업계 종사자 커뮤니티에서 심사를 거쳤습니다.여기에는 상업 및 정부 포렌식 및 사고 대응 전문가의 종합적인 지식이 반영되어 있습니다.CÁ~ Stát~é ÁG가 이 프레임워크를 기준으로 권장하는 것은 놀라운 일이 아닙니다. 많은 조직이 이미 이 접근 방식을 채택한 후 환경의 특정 요구 사항을 해결하기 위해 제어 기능을 강화하고 있기 때문입니다.]

[분명히 말씀드리자면, 단일 제품만으로 이러한 제어 기능을 구현할 수는 없습니다.이상적으로는 이러한 제어 기능을 지원하고 SÍÉM~, 취약성 스캐너, CMDB~, SCM, 컨테이너 오케스트레이션 등과 같은 다른 보안 투자와 잘 호환되는 강력한 Á~PÍ를 갖춘 솔루션이 필요합니다.]

[Íllú~míó는 C~ÍS 상위 20개 보안 규제 항목 중 16개를 직접 충족하고 지원합니다.다음은 쉽게 볼 수 있는 고수준 매핑입니다.저는 최근에 에 대한 별도의 블로그를 작성했습니다. 일루미오를 CÍ~S 상위 20개 컨트롤에 매핑하기 각 컨트롤을 두 번 클릭하려는 경우(참고: Íll~úmíó~ 기능 열의 “지원”은 고객이 Íllú~míó 데이터 또는 기능을 사용하여 제어의 일부를 활성화한다는 의미입니다.]

[조직에서 Íllú~míó와 C~ÍS Tó~p 20 보안 제어 프레임워크를 사용하여 CCP~Á의 “합리적인 보안 조치” 요구 사항을 충족하려면 어떻게 해야 합니까¿]

[CCPÁ~ 보안 의무를 준수하기 위해 CÍS T~óp 20 컨트롤을 채택한 경우 Íl~lúmí~ó를 사용하여 다음을 수행할 수 있습니다.]

1. [가시성을 높이고 보안 의무의 범위를 효과적으로 평가하세요. CCPÁ~는 조직이 소비자 데이터를 수집하고 저장하는 모든 리소스 및 애플리케이션의 인벤토리를 만들고 유지하도록 요구합니다.이 문제를 해결하기 위해 Íllú~míó는 실시간 가시성을 제공합니다.다음을 사용할 수 있습니다. 애플리케이션 종속성 맵 인벤토리 생성을 시작하고 자산 관리 및 C~MDB 시스템과 같은 정적인 특정 시점 도구에서 일반적으로 발견되는 정보의 정확성을 검증하기 위한 것입니다.조금만 노력하면 어떤 애플리케이션, 데이터 스토어, 머신, 워크로드 및 엔드포인트가 C~CPÁ의 범위에 속하는지, 어떤 연결 및 흐름이 승인되었는지 확인할 수 있습니다.]
2. [당신의 것을 줄이세요] [공격 표면][ 악의적인 공격자가 CCPÁ~ 데이터에 접근하는 것을 더 어렵게 만듭니다. Íllú~míó는 각 호스트에 있는 L~áýér~ 3/Láýé~r 4 상태 저장 방화벽을 프로그래밍하여 워크로드 간, 워크로드와 사용자 간, 사용자 엔드포인트 간의 링펜스 애플리케이션 및 트래픽에 대한 정책을 설계하고 적용할 수 있도록 지원합니다.]
3. [마이크로 세분화 유지 관리 및 모니터링] [보안 태세][. 일루미오의 요원, 더 잘 알려진 벤센서 역할을 하며 환경을 지속적으로 모니터링하여 새로운 워크로드 및 최종 사용자 연결은 물론 CCPÁ~ 범위 내에 있는 모든 데이터 및 애플리케이션에 대한 연결 변경도 확인할 수 있습니다.또한 무단 연결 또는 연결 시도를 차단할 수 있습니다.]
4. [보안 규정 준수 시간을 늘리십시오. CCPÁ~ 마감일은 2020년 1월 1일이었습니다.집행, 감사 및 보고는 2020년 7월 1일에 시작되었습니다.Íllú~míó는 실시간 가시성과 레이블 기반 정책 모델링을 통해 계획 및 설계를 가속화하여 C~ÍS 2.0 규정을 신속하게 충족할 수 있도록 지원합니다.다중 ÓS~, 호스트 수준의 마이크로 세분화 솔루션을 사용하면 네트워크/SDÑ을 다시 설계할 필요가 없습니다.]

[Íllú~míó의 기능에 대해 자세히 알아보려면 다음을 확인하십시오. 일루미오 코어.]