Como a microsegmentação ajuda você a cumprir as obrigações de segurança da CCPA

The California Consumer Privacy Act (CCPA) took effect on January 1, 2020, and auditing and enforcement started on July 1. This new privacy regulation will have a significant impact on privacy initiatives not only in California, but also on organizations that have significant business operations in the state and are, therefore, collecting or have access to CA residents’ data.

A maioria das discussões iniciais sobre a CCPA se concentrou na obrigação das empresas de honrar as solicitações dos residentes da Califórnia de acessar, excluir e cancelar a coleta de dados. Se você é residente da Califórnia, está muito familiarizado com os incessantes avisos de privacidade que aparecem toda vez que você visita um site. O outro tópico da conversa em torno da CCPA se concentrou na obrigação de parar de vender dados do consumidor mediante solicitação de um indivíduo.

There is a small section in the CCPA document that focuses on data breaches and security. In my opinion, the violations outlined in these clauses have significantly greater impact on a business’s brand and future top-line growth. Private litigants did not waste any time filing lawsuits under the new law. For example, Marriott International announced a breach, which impacted 5.2 million customers, on March 31, 2020. A couple of days later (April 3), a CA consumer filed a class action lawsuit against the company under the CCPA data breach clause. If you’d like to learn more about this case and similar legal actions, privacy law firm Kelley Drye publishes a quarterly CCPA Litigation Round-up.

With all this talk of regulations, you may be wondering what role micro-segmentation plays in CCPA and how you can use micro-segmentation to address your CCPA data breach exposure.

Então, com isso em mente, vamos nos aprofundar no que é a CCPA e nos concentrar nos requisitos de segurança e proteção contra violações de dados. (Aviso legal: embora eu tenha consultado as equipes jurídicas e de segurança da Illumio sobre o conteúdo deste blog, as informações não devem ser consideradas como aconselhamento jurídico.

O que é CCPA?

Oficialmente chamada de AB-375, a Lei de Privacidade do Consumidor da Califórnia (CCPA) é uma lei estadual destinada a melhorar os direitos de privacidade e a proteção do consumidor para residentes da Califórnia, Estados Unidos. O projeto foi aprovado pela Assembleia Legislativa do Estado da Califórnia e sancionado em 28 de junho de 2018 e entrou em vigor em janeiro 1 de 2020.

Quem é obrigado a cumprir a CCPA?

Sua organização é legalmente obrigada a cumprir a CCPA se atender aos seguintes critérios: (1) opera com fins lucrativos e (2) coleta informações pessoais de consumidores residentes da Califórnia e (3) está fazendo negócios na Califórnia — E também ultrapassa pelo menos um dos limites listados: (1) a receita bruta anual excede $25 milhões ou (2) compra, recebe, compartilha ou vende anualmente informações pessoais de 50.000 consumidores ou mais, residências, ou dispositivos, ou (3) obtém mais de 50% de sua renda anual receita da venda de informações pessoais dos consumidores.

Além disso, uma entidade é considerada uma “empresa” e coberta pela CCPA se controlar ou for controlada por uma entidade que atenda aos critérios acima e compartilhe a marca comum com essa entidade.

O termo jurídico nesta seção é um pouco confuso, então, como lembrete, consulte seu advogado para determinar se sua empresa está coberta pela CCPA.

Quais são as obrigações das organizações cobertas pela CCPA?

Muitos escritórios de advocacia de nível 1 e nível 2 publicaram artigos sobre esse tópico, então não vou gastar muito tempo com isso. O Google é seu amigo. Resumindo, as obrigações incluem, mas não estão limitadas a:

1. Provide consumers with a clear way to opt-out of the business’ sale of the consumer’s personal information. (Note that personal information is not equal to PII. See next question for more details.)
2. Notifique o consumidor sobre suas práticas de coleta, venda e divulgação de dados.
3. Forneça ao consumidor a capacidade de acessar as informações pessoais coletadas.
4. Forneça ao consumidor a capacidade de apagar/solicitar a exclusão de informações pessoais coletadas pela empresa.
5. Implemente procedimentos de segurança razoáveis para proteger os dados do consumidor contra violações de dados.

O que é considerado informação pessoal de acordo com a CCPA?

Observe que a linguagem da CCPA se refere às informações pessoais e não apenas às PII (informações de identificação pessoal). A definição de informações pessoais de acordo com a CCPA também é bastante ampla e inclui, mas não está limitada às seguintes categorias:

• Identificadores diretos — nome real, pseudônimo, endereço postal, números de previdência social, carteira de motorista, informações do passaporte e assinatura. Eles são considerados PII.
• Identificadores indiretos — cookies, beacons, tags de pixel, números de telefone, endereços IP, nomes de contas.
• Dados biométricos — face, retina, impressões digitais, DNA, gravações de voz, dados de saúde. Eles são considerados PII.
• Geolocalização — histórico de localização por meio de dispositivos.
• Atividade na Internet — histórico de navegação, histórico de pesquisa, dados sobre interação com uma página da web, aplicativo ou anúncio.
• Informações confidenciais — características pessoais, comportamento, convicções religiosas ou políticas, preferências sexuais, dados de emprego e educação, informações financeiras e médicas.

Você deve consultar seu advogado e suas equipes de segurança para confirmar as categorias cobertas pelas cláusulas de segurança de privacidade e violação de dados da CCPA. Essa análise ajudará você a determinar o escopo de suas obrigações de segurança relacionadas à CCPA.

Como você provavelmente está pensando no CCPA do ponto de vista da exposição à violação de dados, quero clicar duas vezes sobre esse problema.

Quais são as obrigações de segurança de acordo com a CCPA?

The official CCPA document is surprisingly short, and if you have the chance to read it, you will realize that there is no prescriptive language on data security. It does include the data breach clause, which creates a private right of action for data breaches arising from failure to maintain “reasonable security” under California Civil Code 1798.81.5 (d)(1)(A). (Another reminder to please check with your lawyer).

Também inclui uma linguagem sobre os direitos de violação de dados do consumidor, o que penaliza as empresas cobertas por violações decorrentes de uma “violação do dever de implementar e manter procedimentos e práticas de segurança razoáveis”.

Qual é a recomendação para implementar “medidas de segurança razoáveis”?

CCPA does not provide prescriptive guidance on “reasonable security.” Kamala Harris, who was the CA State AG during time the law was drafted, opined in the CA Data Breach Report 2012-2015 that the state considers the Center for Internet Security (CIS) Top 20 Security Controls as the baseline for reasonable security procedures and practices. There has been no update to this opinion from the current CA State AG, Xavier Becerra, so we can assume that the 2016 recommendations still stand.

Quais são os 20 principais controles de segurança do CIS?

The CIS Top 20 Security Controls Framework has been around for more than 10 years and is updated frequently. The framework is derived from the most common attack patterns highlighted in the leading threat reports and vetted across a very broad community of government and industry practitioners. It reflects the combined knowledge of commercial and government forensic and incident response experts. It is no surprise that the CA State AG would recommend this framework as the baseline, because many organizations already take this approach, and then augment the controls to address their environment’s specific requirements.

Só para ficar claro, você não pode confiar em um único produto para implementar esses controles. O ideal é que você deseje uma solução que ofereça suporte à ativação desses controles e tenha APIs robustas para funcionar bem com seus outros investimentos em segurança, como SIEM, scanners de vulnerabilidade, CMDB, SCMs, orquestração de contêineres etc.

Illumio directly meets and supports 16 of the CIS Top 20 Security Controls. Here is a high-level mapping for easy viewing. I recently authored a separate blog on Mapping Illumio to the CIS Top 20 Controls if you want to double-click on each of these controls. (Note: “supports” in the Illumio capability column means that customers use Illumio data or feature to enable a portion of the control.

Como as organizações podem usar o Illumio e o CIS Top 20 Security Controls Framework para viabilizar os requisitos de “medidas de segurança razoáveis” da CCPA?

Se você adotou os 20 principais controles do CIS para cumprir suas obrigações de segurança da CCPA, você pode usar o Illumio para:

1. Gain better visibility and effectively assess the scope of security obligations. CCPA requires organizations to create and maintain an inventory of all resources and applications that collect and store consumer data. To address this, Illumio provides real-time visibility. You can use the application dependency map to start creating your inventory and to validate the accuracy of the information typically found in static, point-in-time tools like asset management and CMDB systems. With little effort, you can see which applications, data stores, machines, workloads, and endpoints are in-scope for CCPA, and which connections and flows are authorized.
2. Reduza seu superfície de ataque e dificulte que pessoas mal-intencionadas acessem seus dados da CCPA. O Illumio ajuda você a projetar e aplicar políticas para proteger aplicativos e tráfego entre cargas de trabalho, entre cargas de trabalho e usuários e entre endpoints de usuários, programando os firewalls de estado de camada 3/camada 4 que residem em cada host.
3. Mantenha e monitore sua microssegmentação postura de segurança. Illumio’s agents, better known as VENs, act like sensors and continuously monitor your environment for new workload and end-user connections, and also for changes in connectivity to any data and applications that are in scope for CCPA. It can also block unauthorized connections or attempts to connect.
4. Aumente o tempo de conformidade de segurança. O prazo final da CCPA era 1 de janeiro de 2020. A fiscalização, as auditorias e os relatórios começaram em 1 de julho de 2020. A Illumio ajudará a atender aos controles do CIS 20 rapidamente, acelerando o planejamento e o design com visibilidade em tempo real e modelagem de políticas baseada em rótulos. Uma solução de microssegmentação em nível de host com vários sistemas operacionais significa que você não precisa rearquitetar sua rede/SDN.

If you’d like to learn more about Illumio’s capabilities, check out Illumio Core.