近日,支付卡行業(yè)安全標(biāo)準(zhǔn)委員會(huì)(PCISSC)警告說�����,當(dāng)新的歐盟立法在2018年生效時(shí),英國企業(yè)可能面臨高達(dá)1220億英鎊的數(shù)據(jù)違規(guī)處罰��。
根據(jù)英國政府2015年信息安全漏洞調(diào)查,90%的大型組織和74%的中小企業(yè)報(bào)告具有安全漏洞�����,將會(huì)導(dǎo)致總共14億英鎊的監(jiān)管罰款���。
2018年��,歐盟一般數(shù)據(jù)保護(hù)法規(guī)(GDPR)將對(duì)歐洲一些公司和集團(tuán)罰款2000萬歐元��,或是全球年?duì)I業(yè)額的4%���,遠(yuǎn)遠(yuǎn)超過目前的最大數(shù)額50萬英鎊����。
這意味著,如果數(shù)據(jù)泄露保持在2015年的水平��,那么這些企業(yè)將支付給歐洲監(jiān)管機(jī)構(gòu)的罰款增加近90倍���,從2015年的14億英鎊增加到12200億英鎊���,根據(jù)PCISSC的計(jì)算�,根據(jù)最高罰款可高達(dá)4%的全球營業(yè)額�。
對(duì)于大型英國機(jī)構(gòu),這可能會(huì)導(dǎo)致數(shù)據(jù)泄露的監(jiān)管罰款高達(dá)700億英鎊�,超過130倍的增長,每個(gè)組織平均增加到1100萬英鎊�����。而中小企業(yè)的監(jiān)管罰款可能增加57倍�,上升到520億英鎊,平均每個(gè)中小企業(yè)的罰款為13,000英鎊�。
監(jiān)管罰款只是企業(yè)損失的一部分,PCISSC表示�,聲譽(yù)受損,業(yè)務(wù)中斷和收入損失也對(duì)遭受數(shù)據(jù)泄露的企業(yè)產(chǎn)生重大影響���。
PCISSC與組織合作開發(fā)了加強(qiáng)支付和數(shù)據(jù)安全標(biāo)準(zhǔn)�����,促使企業(yè)現(xiàn)在采取行動(dòng)��,預(yù)防��,檢測�,以及應(yīng)對(duì)可能導(dǎo)致違反支付數(shù)據(jù)和其他個(gè)人數(shù)據(jù)的網(wǎng)絡(luò)攻擊。
新的歐盟立法將會(huì)讓歐洲的那引動(dòng)大型組織和中小企業(yè)改變游戲規(guī)則�,因?yàn)楸O(jiān)管機(jī)構(gòu)是否能夠?qū)ζ桨埠娇展镜陌踩`規(guī)行為施加懲罰,仍有待觀察���,而面對(duì)這些罰款�����,這些企業(yè)是否能夠承擔(dān)成本是一個(gè)問題�����。 PCISSC的國際總監(jiān)JeremyKing說��。
無論大小公司都需要立即采取行動(dòng)�,開始制定強(qiáng)有力的標(biāo)準(zhǔn)和程序��,以應(yīng)對(duì)網(wǎng)絡(luò)安全威脅����,或者只能面對(duì)監(jiān)管罰款和聲譽(yù)損害���,并支付天文數(shù)字的費(fèi)用的前景���。
關(guān)于PCISSC
PCISSC延長了組織在更新PCIDSS3.2之前的TLS加密標(biāo)準(zhǔn)的最后期限����。
PCISSC已經(jīng)發(fā)布了關(guān)于滲透測試的指令性的新的補(bǔ)充指南��,旨在扭轉(zhuǎn)當(dāng)前趨勢��,并改善商家合規(guī)性��。
PCISSC的新指南包括標(biāo)記化安全性的一些基本方面�����,以及商家需要了解的標(biāo)記化產(chǎn)品����。
然而,PCISSC計(jì)算沒有考慮GDPR的兩級(jí)制裁方法����,這也讓企業(yè)認(rèn)為是不嚴(yán)重的違約行為卻面臨高達(dá)1000萬歐元罰款或全球年?duì)I業(yè)額的2%,這以較高者為準(zhǔn)�。
HoganLovells律師事務(wù)所的歐洲隱私和網(wǎng)絡(luò)安全負(fù)責(zé)人EduardoUstaran說: 對(duì)于罰款的雙層方法僅僅反映了歐盟決策者認(rèn)為的頂級(jí)問題與中度問題的關(guān)注。但無論如何,從目前的罰款水平的躍升來看是絕對(duì)的指數(shù)級(jí)提升���。人們正在談?wù)摰牧P款已從幾十萬歐元上升到幾億歐元����。
Ustaran說���,企業(yè)注意的關(guān)鍵領(lǐng)域是處理的基本原則����,包括同意條件�����,數(shù)據(jù)主體的權(quán)利和合法的國際數(shù)據(jù)傳輸?shù)臈l件����。他說,大規(guī)模的風(fēng)險(xiǎn)對(duì)人們的隱私可能是決定對(duì)誰罰款和罰款多少的一個(gè)主要因素��。
Ustaran說: 任何人猜測英國政府是否會(huì)在退歐之后�����,其隱私立法中使用類似的公式來計(jì)算��,但英國的信息專員們肯定不會(huì)放棄大額罰款���。
2016年10月���,英國信息專員辦公室(ICO)對(duì)于2015年TalkTalk公司遭遇的網(wǎng)絡(luò)攻擊實(shí)施了40萬歐元的罰款,在此次攻擊中�����,該公司泄露了超過15萬客戶的個(gè)人詳細(xì)信息��。
英國信息專員伊麗莎白 德納姆說����,電信提供商未能應(yīng)用 最基本的網(wǎng)絡(luò)安全措施 ,使其數(shù)據(jù)庫容易遭受SQL注入攻擊�����,因?yàn)槲茨軕?yīng)用修復(fù)軟件����,使其犯的錯(cuò)誤已經(jīng)超過了三年。
德納姆在擔(dān)任此職位后的第一次公開演講中警告說,雖然英國信息專員辦公室(ICO)有權(quán)頒發(fā)高達(dá)50萬英鎊的罰款��,但是這一比例可能會(huì)上升到與歐盟一般數(shù)據(jù)保護(hù)法規(guī)(GDPR)相符的全球營業(yè)額的4%����。
她還警告說,盡管技術(shù)變革的步伐并沒有停止��,英國信息專員辦公室(ICO)希望看到組織對(duì)其行動(dòng)承擔(dān)責(zé)任����,認(rèn)為個(gè)別企業(yè)需要了解他們?yōu)樗藙?chuàng)造的風(fēng)險(xiǎn),并減輕風(fēng)險(xiǎn)����。
德納姆表示,GDPR極有可能將在英國離開歐盟之前生效�����。 歐盟一般數(shù)據(jù)保護(hù)法規(guī)(GDPR)已經(jīng)生效����,只是成員國沒有義務(wù)將其應(yīng)用到2018年5月25日。 她說�。
德納姆表示�����,所有想在歐盟開展業(yè)務(wù)的英國公司都必須遵守歐盟一般數(shù)據(jù)保護(hù)法規(guī)(GDPR)。她說��,法律的主要轉(zhuǎn)變是讓消費(fèi)者控制他們的數(shù)據(jù)�,這與建立信任有關(guān),也是英國信息專員辦公室(ICO)理念的一部分�����。
在全球經(jīng)濟(jì)中�,我們需要法律和標(biāo)準(zhǔn)的一致性, 她說�。 歐盟一般數(shù)據(jù)保護(hù)法規(guī)(GDPR)是一項(xiàng)強(qiáng)有力的法律,一旦人們走出歐洲�,仍然需要被認(rèn)為是足夠的或基本上相等的法律。當(dāng)英國離開歐盟之后��,這可能是2019年或更晚的時(shí)候����,一項(xiàng)新的數(shù)據(jù)保護(hù)法將會(huì)生效。
德納姆表示��,英國信息專員辦公室(ICO)正在與政府部長和高級(jí)官員討論未來的英國數(shù)據(jù)保護(hù)法應(yīng)該是什么樣子。 這個(gè)目標(biāo)是一個(gè)逐步的監(jiān)管制度����,它將受到審查,不會(huì)讓英國公開讓其他國家拋棄���,包括法律�。 她說�����。 這將具有與歐洲一樣的一致性和充分性�����。
編輯:Harris
