Artur marcinec - Fotolia
在CCPA和其他法规中实现备份遵守情况
最近颁布的CCPA只是备份管理员需要理解的许多当前和潜在法规之一。以下是一些保持依从性的指导方针。
组织应涉及确保监管备份遵守情况。第一步是确定哪些规定 - 例如加州加州消费者隐私法 - 实际上是适用的。
《加州消费者私隐法》(CCPA)将于2020年1月1日生效。CCPA是一个州一级的法规,所以它不是取代其他法规,而是加强它们。这意味着除了CCPA之外,一个组织还可能受制于联邦数据隐私法规,如HIPAA和国际法规,如GDPR.
CCPA适用于在加州从事收集、出售或共享消费者个人数据并符合以下三个标准中的任何一个的营利性实体:
- 年度总收入超过2500万美元;
- 拥有5万名以上消费者、家庭或设备的个人信息;或
- 其年收入的一半以上来自销售消费者个人信息。
CCPA的目标是保护消费者隐私.它与GDPR有许多相似之处,因为它为收集和销售客户数据建立了指导方针。被要求遵守CCPA的组织应该通过关注其核心业务流程和对业务线应用程序进行任何必要的更改来开始流程,以便确保法规合规.组织必须考虑CCPA和其他法规的影响备份过程.
重新思考处理备份的方法
CCPA具有模糊关于存档和备份遵从性的指导方针.它只是指出“如果业务存储有关存档或备份系统的任何个人信息,则可能会延迟符合存储在存档或备份系统上的数据的消费者的删除请求,直到归档或备份系统相关数据被恢复到活动系统或下一个访问或用于销售,披露或商业目的。“
“接触或使用”一词有多种解释。无论组织最终如何解释它,他们必须开发一种方法从他们的备份和存档系统.否则,还原备份最终可能会撤消记录删除请求。
例如,假设一个ccpa覆盖的公司收到一个请求,要求删除与特定消费者相关的数据。该公司遵从该请求,并从其数据库中删除消费者的数据。不久之后,公司遭遇数据丢失事件,必须恢复备份。如果备份是在删除该消费者的记录之前创建的,那么该记录将被恢复,从而导致CCPA违反。主题的组织因此,CCPA必须想出一种方法来处理这类情况,以实现备份遵从性。
CCPA的要求,涵盖的实体从备份和存档系统中删除消费者数据将强制公司重新思考他们处理备份的方式。在磁带备份的日子中,遵守此要求将相对容易,因为录像带是定期覆盖的。但是,使用磁盘和云备份使CCPA备份顺应性变得复杂化。应用程序和备份供应商最有可能发展比目前存在的合规产品更好。
虽然CCPA是一个州的法规,但其他州开始采用类似的法规可能只是时间问题。即使是不受CCPA约束的公司,也应该开始考虑如何遵守类似的规定。
