CCPA y gestión de riesgos de terceros
La Ley de Privacidad del Consumidor de Californiaregula la recopilación y venta de datos de consumidores por parte de las empresas con el fin de proteger la información personal confidencial de los residentes de California y proporcionar a los consumidores control sobre cómo se utiliza dicha información. La CCPA se actualizará en 2023 con sanciones más severas a través de la Ley de Derechos de Privacidad de California.
La CCPA se aplica a los datos de los consumidores recopilados de cualquier residente de California, ya sea por una empresa con sede en ese estado o que simplemente opera allí.
Por lo tanto, las organizaciones deben asegurarse de que sus socios externos y proveedores de servicios estén bien preparados para proteger la información de los consumidores. El primer paso en cualquier programa de seguridad es identificar y priorizar los riesgos existentes mediante una evaluación exhaustiva de la seguridad.
Normativa pertinente
- 1798.81.5 (b) «Una empresa que posea, conceda licencias o mantenga información personal sobre un residente de California deberá implementar y mantener procedimientos y prácticas de seguridad razonables y adecuados a la naturaleza de la información, con el fin de proteger la información personal contra el acceso, la destrucción, el uso, la modificación o la divulgación no autorizados».
- 1798.185 (a) «Realizar una auditoría de ciberseguridad con periodicidad anual, lo que incluye definir el alcance de la auditoría y establecer un proceso para garantizar que las auditorías sean exhaustivas e independientes. Los factores que se tendrán en cuenta para determinar cuándo el tratamiento puede suponer un riesgo significativo para la seguridad de la información personal incluirán el tamaño y la complejidad de la empresa, así como la naturaleza y el alcance de las actividades de tratamiento».
- 1798.140(c)«Permite, sujeto al acuerdo con el contratista [o proveedor de servicios], que la empresa supervise el cumplimiento del contrato por parte del contratista [o proveedor de servicios] mediante medidas que incluyen, entre otras, revisiones manuales continuas y análisis automatizados, así como evaluaciones periódicas, auditorías u otras pruebas técnicas y operativas al menos una vez cada 12 meses».
- 1798.185 (b) «Presentar periódicamente a la Agencia de Protección de la Privacidad de California una evaluación de riesgos con respecto al tratamiento de la información personal».
Cumplimiento de los requisitos de la CCPA en materia de gestión de riesgos de terceros (TPRM)
Así es como Prevalent puede ayudarle a abordar las mejores prácticas de gestión de riesgos de terceros de la CCPA:
Mejores prácticas de la CCPA
Cómo ayudamos
Descubrimiento y mapeo de datos
Prevalent admite evaluaciones programadas para identificar los flujos de datos entre relaciones, identificando dónde existen los datos, dónde fluyen y con quién se comparten fuera de la organización utilizando una capacidad única de mapeo de relaciones. Genera automáticamente un registro de riesgos que destaca las áreas de riesgo clave para aportar visibilidad a los datos.
Autoevaluaciones
Prevalent lleva a cabo una evaluación del impacto sobre la privacidad (PIA) centrada en los datos y procesos empresariales más sensibles relacionados con la privacidad y con mayor riesgo. Evalúa el origen, la naturaleza y la gravedad del riesgo potencial, y ofrece recomendaciones para mitigar los riesgos identificados, garantizando el cumplimiento futuro de la normativa en materia de privacidad.
Evaluación de riesgos de proveedores
Prevalent evalúa los controles de privacidad de datos de los proveedores con respecto a la CCPA utilizando el Marco de Cumplimiento de Prevalent (PCF). El contenido específico del cuestionario ayuda a identificar y asignar los riesgos detectados durante la evaluación a los controles, lo que permite obtener una visión clara de los posibles puntos críticos.
Respuesta al riesgo
Prevalent automatiza la identificación de riesgos basándose en los umbrales establecidos en la plataforma. Acelera la respuesta con reglas de flujo de trabajo predefinidas que escalan los riesgos identificados al responsable adecuado para su revisión y resolución inmediatas.
Seguimiento y presentación de informes sobre el cumplimiento normativo
Informes prevalentes contra la CCPA utilizando el Marco de Cumplimiento Prevalente, que mapea automáticamente los riesgos y las respuestas a los controles, proporciona una calificación de porcentaje de cumplimiento y ofrece informes específicos para cada parte interesada con el fin de aportar visibilidad a la seguridad de los datos.
Supervisión de la notificación de sucesos de violación
Prevalent proporciona acceso a una base de datos que contiene más de 10 años de historial de violaciones de datos de miles de empresas de todo el mundo. Incluye los tipos y cantidades de datos robados, cuestiones de cumplimiento normativo y regulatorio, y notificaciones en tiempo real de violaciones de datos de proveedores.
Solicitudes de acceso a los datos personales
Prevalent permite a los proveedores y usuarios empresariales activar flujos de trabajo de solicitud de acceso a datos (SAR) basados en las solicitudes que reciben, utilizando una evaluación proactiva para capturar los datos relevantes. Aprovechando el mapa de relaciones, los equipos de riesgo y privacidad pueden visualizar con quién se comparten los datos y quién está expuesto a los datos de ese proveedor.
