З 1 січня 2026 року ландшафт кібербезпеки в Каліфорнії зазнає кардинальних змін. Набувають чинності нові регуляторні вимоги Закону про конфіденційність споживачів Каліфорнії (CCPA), які зобов’язують компанії проводити щорічні комплексні аудити кібербезпеки. Це фундаментальний перехід до проактивного захисту з акцентом на сувору відповідальність.
I. Хто на лінії вогню? Пороги застосовності
Вимоги стосуються бізнесів, чия обробка даних становить «значний ризик». Ви підпадаєте під дію правил, якщо за попередній рік:
- Дохід від даних: Ви отримали 50% або більше річного доходу від продажу або обміну даними споживачів Каліфорнії.
- Масштаб та прибуток: Ваш річний валовий дохід перевищив $25 млн і ви:
- Обробили дані 250,000+ споживачів або домоволодінь.
- Обробили чутливі дані 50,000+ споживачів.
II. Графік комплаєнсу
Річний валовий дохід | Дедлайн звіту | Період аудиту |
Понад $100 млн | 1 квітня 2028 р. | Весь 2027 рік |
$50 млн – $100 млн | 1 квітня 2029 р. | Весь 2028 рік |
Менше $50 млн | 1 квітня 2030 р. | Весь 2029 рік |
III. Вимоги до аудиту та незалежності
- Кваліфікація: Аудит проводить фахівець за стандартами AICPA, ISO або NIST.
- Незалежність: Аудитор не може перевіряти системи, які він сам розробляв.
- Докази: Висновки мають ґрунтуватися на документах та тестуванні, а не на запевненнях менеджменту.
- Архів: Матеріали аудиту зберігаються 5 років.
IV. Сфера охоплення аудиту
Аудит має оцінювати захист даних від несанкціонованого доступу та втрати, зокрема:
- Багатофакторну автентифікацію (MFA) та шифрування.
- Інвентаризацію даних та мапи потоків інформації.
- Тестування на проникнення та управління вразливостями.
- Нагляд за підрядниками та третіми сторонами.
- Плани реагування на інциденти та відновлення після катастроф.
V. Щорічна сертифікація до CPPA
Компанія має щороку подавати сертифікацію до Агентства із захисту приватності Каліфорнії (CPPA) до 1 квітня. Документ підписується топ-менеджером під загрозою покарання за неправдиві свідчення.