近日,支付卡行業(yè)安全標(biāo)準(zhǔn)委員會(huì)(PCISSC)警告說(shuō)��,當(dāng)新的歐盟立法在2018年生效時(shí)�,英國(guó)企業(yè)可能面臨高達(dá)1220億英鎊的數(shù)據(jù)違規(guī)處罰。
根據(jù)英國(guó)政府2015年信息安全漏洞調(diào)查�����,90%的大型組織和74%的中小企業(yè)報(bào)告具有安全漏洞���,將會(huì)導(dǎo)致總共14億英鎊的監(jiān)管罰款�。
2018年���,歐盟一般數(shù)據(jù)保護(hù)法規(guī)(GDPR)將對(duì)歐洲一些公司和集團(tuán)罰款2000萬(wàn)歐元����,或是全球年?duì)I業(yè)額的4%���,遠(yuǎn)遠(yuǎn)超過(guò)目前的最大數(shù)額50萬(wàn)英鎊�。
這意味著��,如果數(shù)據(jù)泄露保持在2015年的水平���,那么這些企業(yè)將支付給歐洲監(jiān)管機(jī)構(gòu)的罰款增加近90倍�,從2015年的14億英鎊增加到12200億英鎊,根據(jù)PCISSC的計(jì)算����,根據(jù)最高罰款可高達(dá)4%的全球營(yíng)業(yè)額。
對(duì)于大型英國(guó)機(jī)構(gòu)����,這可能會(huì)導(dǎo)致數(shù)據(jù)泄露的監(jiān)管罰款高達(dá)700億英鎊,超過(guò)130倍的增長(zhǎng)�����,每個(gè)組織平均增加到1100萬(wàn)英鎊�����。而中小企業(yè)的監(jiān)管罰款可能增加57倍���,上升到520億英鎊,平均每個(gè)中小企業(yè)的罰款為13,000英鎊���。
監(jiān)管罰款只是企業(yè)損失的一部分��,PCISSC表示����,聲譽(yù)受損,業(yè)務(wù)中斷和收入損失也對(duì)遭受數(shù)據(jù)泄露的企業(yè)產(chǎn)生重大影響���。
PCISSC與組織合作開(kāi)發(fā)了加強(qiáng)支付和數(shù)據(jù)安全標(biāo)準(zhǔn)��,促使企業(yè)現(xiàn)在采取行動(dòng)����,預(yù)防����,檢測(cè),以及應(yīng)對(duì)可能導(dǎo)致違反支付數(shù)據(jù)和其他個(gè)人數(shù)據(jù)的網(wǎng)絡(luò)攻擊��。
新的歐盟立法將會(huì)讓歐洲的那引動(dòng)大型組織和中小企業(yè)改變游戲規(guī)則��,因?yàn)楸O(jiān)管機(jī)構(gòu)是否能夠?qū)ζ桨埠娇展镜陌踩`規(guī)行為施加懲罰�,仍有待觀察,而面對(duì)這些罰款�,這些企業(yè)是否能夠承擔(dān)成本是一個(gè)問(wèn)題。 PCISSC的國(guó)際總監(jiān)JeremyKing說(shuō)。
無(wú)論大小公司都需要立即采取行動(dòng)���,開(kāi)始制定強(qiáng)有力的標(biāo)準(zhǔn)和程序���,以應(yīng)對(duì)網(wǎng)絡(luò)安全威脅,或者只能面對(duì)監(jiān)管罰款和聲譽(yù)損害��,并支付天文數(shù)字的費(fèi)用的前景�。
關(guān)于PCISSC
PCISSC延長(zhǎng)了組織在更新PCIDSS3.2之前的TLS加密標(biāo)準(zhǔn)的最后期限。
PCISSC已經(jīng)發(fā)布了關(guān)于滲透測(cè)試的指令性的新的補(bǔ)充指南���,旨在扭轉(zhuǎn)當(dāng)前趨勢(shì)����,并改善商家合規(guī)性����。
PCISSC的新指南包括標(biāo)記化安全性的一些基本方面����,以及商家需要了解的標(biāo)記化產(chǎn)品。
然而�,PCISSC計(jì)算沒(méi)有考慮GDPR的兩級(jí)制裁方法,這也讓企業(yè)認(rèn)為是不嚴(yán)重的違約行為卻面臨高達(dá)1000萬(wàn)歐元罰款或全球年?duì)I業(yè)額的2%����,這以較高者為準(zhǔn)����。
HoganLovells律師事務(wù)所的歐洲隱私和網(wǎng)絡(luò)安全負(fù)責(zé)人EduardoUstaran說(shuō): 對(duì)于罰款的雙層方法僅僅反映了歐盟決策者認(rèn)為的頂級(jí)問(wèn)題與中度問(wèn)題的關(guān)注��。但無(wú)論如何�,從目前的罰款水平的躍升來(lái)看是絕對(duì)的指數(shù)級(jí)提升。人們正在談?wù)摰牧P款已從幾十萬(wàn)歐元上升到幾億歐元�����。
Ustaran說(shuō)���,企業(yè)注意的關(guān)鍵領(lǐng)域是處理的基本原則���,包括同意條件,數(shù)據(jù)主體的權(quán)利和合法的國(guó)際數(shù)據(jù)傳輸?shù)臈l件���。他說(shuō)�,大規(guī)模的風(fēng)險(xiǎn)對(duì)人們的隱私可能是決定對(duì)誰(shuí)罰款和罰款多少的一個(gè)主要因素���。
Ustaran說(shuō): 任何人猜測(cè)英國(guó)政府是否會(huì)在退歐之后�����,其隱私立法中使用類似的公式來(lái)計(jì)算���,但英國(guó)的信息專員們肯定不會(huì)放棄大額罰款���。
2016年10月,英國(guó)信息專員辦公室(ICO)對(duì)于2015年TalkTalk公司遭遇的網(wǎng)絡(luò)攻擊實(shí)施了40萬(wàn)歐元的罰款�,在此次攻擊中,該公司泄露了超過(guò)15萬(wàn)客戶的個(gè)人詳細(xì)信息����。
英國(guó)信息專員伊麗莎白 德納姆說(shuō),電信提供商未能應(yīng)用 最基本的網(wǎng)絡(luò)安全措施 ���,使其數(shù)據(jù)庫(kù)容易遭受SQL注入攻擊�,因?yàn)槲茨軕?yīng)用修復(fù)軟件����,使其犯的錯(cuò)誤已經(jīng)超過(guò)了三年��。
德納姆在擔(dān)任此職位后的第一次公開(kāi)演講中警告說(shuō),雖然英國(guó)信息專員辦公室(ICO)有權(quán)頒發(fā)高達(dá)50萬(wàn)英鎊的罰款���,但是這一比例可能會(huì)上升到與歐盟一般數(shù)據(jù)保護(hù)法規(guī)(GDPR)相符的全球營(yíng)業(yè)額的4%���。
她還警告說(shuō),盡管技術(shù)變革的步伐并沒(méi)有停止����,英國(guó)信息專員辦公室(ICO)希望看到組織對(duì)其行動(dòng)承擔(dān)責(zé)任,認(rèn)為個(gè)別企業(yè)需要了解他們?yōu)樗藙?chuàng)造的風(fēng)險(xiǎn)��,并減輕風(fēng)險(xiǎn)���。
德納姆表示�����,GDPR極有可能將在英國(guó)離開(kāi)歐盟之前生效��。 歐盟一般數(shù)據(jù)保護(hù)法規(guī)(GDPR)已經(jīng)生效�,只是成員國(guó)沒(méi)有義務(wù)將其應(yīng)用到2018年5月25日���。 她說(shuō)����。
德納姆表示,所有想在歐盟開(kāi)展業(yè)務(wù)的英國(guó)公司都必須遵守歐盟一般數(shù)據(jù)保護(hù)法規(guī)(GDPR)�����。她說(shuō)�����,法律的主要轉(zhuǎn)變是讓消費(fèi)者控制他們的數(shù)據(jù)�,這與建立信任有關(guān),也是英國(guó)信息專員辦公室(ICO)理念的一部分���。
在全球經(jīng)濟(jì)中��,我們需要法律和標(biāo)準(zhǔn)的一致性�����, 她說(shuō)��。 歐盟一般數(shù)據(jù)保護(hù)法規(guī)(GDPR)是一項(xiàng)強(qiáng)有力的法律�����,一旦人們走出歐洲��,仍然需要被認(rèn)為是足夠的或基本上相等的法律��。當(dāng)英國(guó)離開(kāi)歐盟之后���,這可能是2019年或更晚的時(shí)候,一項(xiàng)新的數(shù)據(jù)保護(hù)法將會(huì)生效�����。
德納姆表示�,英國(guó)信息專員辦公室(ICO)正在與政府部長(zhǎng)和高級(jí)官員討論未來(lái)的英國(guó)數(shù)據(jù)保護(hù)法應(yīng)該是什么樣子。 這個(gè)目標(biāo)是一個(gè)逐步的監(jiān)管制度�,它將受到審查,不會(huì)讓英國(guó)公開(kāi)讓其他國(guó)家拋棄����,包括法律。 她說(shuō)���。 這將具有與歐洲一樣的一致性和充分性�。
編輯:Harris
