该目录包括法律,法规和行业指南与重大的安全和隐私影响和要求。每个条目都包括一个链接到该法律或注册表的全文,以及涉及哪些内容和何人的信息。
这份榜单有意以美国为中心,但也包括了一些对美国跨国公司有影响的其他国家的法律。
安全法规和指南目录将随着时间的推移而更新和扩展CSOonline.com。请给编辑Derek Slater (dslater@cxo.com)发邮件,提供建议或更新。
点击链接跳到目录的一个子目录:
*国际法律
第一节广泛适用的法律、法规
萨班斯-奥克斯利法案
萨班斯-奥克斯利法案包括什么当前位置萨班斯-奥克斯利法案于2002年颁布,旨在通过提高企业披露信息的准确性和可靠性来保护投资者和公众。这是在21世纪初安然(Enron)和世通(WorldCom)高调爆出财务丑闻之后制定的。它由美国证券交易委员会(Securities and Exchange Commission)管理,该委员会发布SOX规则和要求,其中定义了审计要求以及企业应该存储的记录和存储时间。
更多关于《萨班斯-奥克斯利法案》
是谁的影响:美国上市公司董事会、管理层和公共会计事务所。
萨班斯-奥克斯利法案全文:http://www.gpo.gov/fdsys/pkg/PLAW-107publ204/content-detail.html
关键需求/规定该法案分为11个标题:
1.上市公司会计监督
2.审计师的独立性
3.企业责任
4.增强财务信息披露
5.利益冲突分析
6.委员会资源及管理局
7.研究和报告
8.公司和刑事欺诈责任
9.提高白领罪行刑罚
10.企业纳税申报表
11.公司欺诈责任
来源:SarbanesOxleyCompliance.com
支付卡行业数据安全标准
它涵盖了:PCI DSS是一组增强支付客户帐户数据安全性的要求。它是由PCI安全标准委员会的创始人开发的,包括美国运通、Discover Financial Services、JCB International、MasterCard Worldwide和Visa,以帮助促进全球采用一致的数据安全措施。PCI DSS包括安全管理、策略、程序、网络架构、软件设计和其他关键保护措施的要求。
关于PCI DSS的更多信息
委员会还发布了称为支付应用数据安全标准(PA DSS)和PCI Pin交易安全(PCI PTS)的要求。
是谁的影响:零售商、信用卡公司、任何处理信用卡数据的人。
链接到PCI DSS需求:
当前版本是PCI DSS v2.0,发布于10/28/2010。https://www.pcisecuritystandards.org/security_standards/documents.php
您还可以在该页面上找到最新PA DSS和PCI PTS要求的全文。
支持文档(包括PCI DSS v1.2和PCI DSS v2.0之间的显著差异的总结):https://www.pcisecuritystandards.org/security_standards/pci_dss_supporting_docs.shtml
关键需求/规定目前,PCI DSS规定了12项要求,分为6个基本目标:
目标1:建立和维护一个安全零售销售点系统
要求1:安装并维护防火墙配置以保护持卡人数据
要求2:不要使用供应商提供的默认系统密码和其他安全参数
目标2:保护持卡人数据
要求3:保护已存储的持卡人数据
要求4:通过开放的公共网络对持卡人数据的传输进行加密
目标3:维护漏洞管理项目
要求五:使用并定期更新杀毒软件
要求6:开发和维护安全的系统和应用程序
目标4:实施强有力的访问控制措施
需求7:根据业务需求限制对持卡人数据的访问
要求8:给每个能使用电脑的人分配一个唯一的ID
要求9:限制对持卡人数据的物理访问
目标5:定期监控和测试网络
要求10:跟踪和监控对网络资源和持卡人数据的所有访问
要求11:定期测试安全系统和流程
目标6:保持一种信息安全政策
需求12:维护信息安全策略
来源:PCI安全标准委员会
《1999年格雷姆-里奇-比利利法案》
它涵盖了《GLB法案》也被称为1999年的《金融现代化法案》,其中包括保护金融机构持有的消费者个人金融信息的条款。隐私要求有三个主要部分:金融隐私规则、保障规则和借口条款。
是谁的影响:金融机构(银行、证券公司、保险公司),以及向消费者提供金融产品和服务(包括贷款、经纪或服务任何类型的消费贷款)的公司;转移或者保护资金;准备个人报税表;提供财务建议或信贷咨询;提供住宅房地产结算服务;收集消费者债务)。
与法律挂钩: GLB内部的消费者金融信息隐私规则:http://www.ftc.gov/os/2000/05/65fr33645.pdf
与GLB有关的法律法规:http://www.ftc.gov/privacy/privacyinitiatives/financial_rule_lr.html
关键需求/规定:环保局的私隐规定包括三个主要部分:
《财务私隐规则》:要求金融机构向客户发出隐私通知,说明其信息收集和共享做法。反过来,客户有权限制其信息的某些共享。从金融机构接收个人财务信息的金融机构和其他公司使用这些信息的能力可能会受到限制。
保障措施的规则:要求所有金融机构设计、实施和维护保障措施,以保护个人消费者信息的机密性和完整性。
该规定:保护消费者免受个人和公司以虚假手段(包括欺诈性声明和冒名顶替)获取其个人财务信息的侵害。
资料来源:联邦贸易委员会
电子资金转让法,条例E
它涵盖了请看例句:该法于1978年颁布,保护从事电子资金转移的消费者免受错误和欺诈。它实现了电子资金转让法的目的,该法案确立了提供这些服务的金融机构的电子资金转让法消费者的基本权利、责任和责任。EFTs包括自动取款机转账、电话账单支付服务、商店中的销售点终端转账以及从消费者账户或到消费者账户的预先授权转账(如直接存款和社保支付)。2010年8月生效的一项新规定规定,机构不得对礼品卡等预付费产品征收休眠、停用或服务费,而且这些产品的有效期不得少于5年。
是谁的影响:持有消费者账户或提供EFT服务的金融机构,以及商家和其他收款人。
与法律挂钩:
http://www.fdic.gov/regulations/laws/rules/6500-3100.html
2010年更新:http://ecfr.gpoaccess.gov/cgi/t/text/text-idx?c=ecfr&tpl=/ecfrbrowse/Title12/12cfr205_main_02.tpl
关键需求/规定:条例E包括以下规定:
*接入设备(借记卡、pin、电话转账、账单支付代码、私人标签卡)的定义。
*消费者接受设备(通过设备请求或未经请求的设备验证)。
*金融机构的职责,如披露要求和记录保留。
*消费者的权利和责任,例如报告丢失或被盗的接入设备和通知机构错误的程序。
*预授权借记和电子支票交易规则。
*错误解决过程。
*未经授权的水蜥。
资料来源:BankersOnline.com, Alston & Byrd LLP
海关与贸易打击恐怖主义伙伴关系
它涵盖了: C-TPAT是一家成立于2004年的全球供应链安全倡议机构。这是美国海关和边境保护局(U.S. Customs and Border Protection)发起的一项自愿倡议,目的是防止恐怖分子和恐怖主义武器进入美国。该倡议旨在建立政府与企业的合作关系,加强和改善整体国际供应链和美国边境安全。企业被要求确保其安全实践的完整性,并在供应链中沟通和验证其业务伙伴的安全指南。
更多关于C-TPAT和供应链安全
参与C-TPAT的好处包括减少CBP检查次数,优先处理CBP检查,分配C-TPAT供应链安全专家验证整个公司供应链和更多的安全。
是谁的影响:与贸易有关的企业,如进口商、承运人、集成商、物流供应商、持牌报关行和制造商。
链接到C-TPAT的概述:
http://www.cbp.gov/xp/cgov/trade/cargo_security/ctpat/what_ctpat/ctpat_overview.xml
不同玩家的安全标准:
http://www.cbp.gov/xp/cgov/trade/cargo_security/ctpat/security_criteria/
关键需求/规定C-TPAT依赖于一个多层次的方法,包括以下五个目标:
1.确保C-TPAT合作伙伴根据C-TPAT安全标准提高其供应链的安全性。
2.提供激励和福利,包括加速处理C-TPAT发货给C-TPAT合作伙伴。
3.C-TPAT核心原则的国际化。
4.支持海关和边境保护局的其他倡议,如自由和安全贸易、安全货运倡议、集装箱安全倡议。
5.改进C-TPAT项目的管理。
C-TPAT安全标准包括以下领域:
*业务合作伙伴
*运输安全
*物理访问控制
*人员安全
*程序安全
*物理安全
*安全培训/威胁意识
*资讯科技保安
资料来源:美国海关和边境保护局
自由安全贸易计划(FAST)
它涵盖了: FAST是由美国海关和边境保护局(U.S. Customs and Border Protection)运行的自愿商业清关项目,用于从加拿大和墨西哥进入美国的预先批准的低风险货物。该计划是在9/11事件后启动的,允许已完成背景调查并符合特定资格要求的商业航空公司加快处理程序。参与FAST要求供应链中的每一个环节——从制造商到承运人到司机再到进口商——都通过C-TPAT计划的认证(见上文)。信用卡收费50美元,有效期5年。
使用FAST和C-TPAT的好处包括:
*在恐怖分子发出警报时,FAST/C-TPAT司机将被允许越境。
*专用车道,提高速度和效率
*降低符合海关要求的成本。
是谁的影响:进口商、承运人、货物集运商、持牌报关行和制造商。
链接到FAST程序细节: http://www.cbp.gov/xp/cgov/trade/cargo_security/ctpat/fast/fast_driver/
关键需求/规定:获准使用FAST/C-TPAT项目的公路承运人需要满足以下要求:
*符合所有相关法律法规要求的证明历史。
*按照C-TPAT和加拿大PIP计划的要求,承诺加强安全业务。
*在使用FAST许可时,使用持有有效FAST商业驱动卡的驱动程序。
*如果承运人寻求快速通关进入加拿大,需要保税,并具备海关自我评估(CSA)程序所需的必要业务流程。
资料来源:美国海关和边境保护局
儿童在线隐私保护法案
它涵盖了:该条例于2000年生效,适用于网上收集13岁以下儿童的个人资料。在美国联邦贸易委员会(FTC)的监督下,这些规定限制了公司收集和披露儿童个人信息的方式。这些法规规定了网站运营商必须在隐私政策中包含哪些内容,何时以及如何从父母那里获得可验证的同意,以及运营商在保护儿童的隐私和网络安全方面负有哪些责任。
是谁的影响:针对13岁以下儿童收集个人信息的商业网站和在线服务的运营商,以及具有实际知识的一般受众网站,它们正在收集儿童的个人信息。
与法律挂钩: http://www.ftc.gov/ogc/coppa1.htm
关键需求/规定: COPPA的基本规定包括:
*隐私通知,具体位置和内容。
*直接通知家长,内容详细。