该目录包括具有重大安全和隐私影响和要求的法律、法规和行业指南。每个条目都包含一个指向法律或法规全文的链接,以及关于所涵盖的内容和人员的信息。
这份名单有意以美国为中心,但也包括其他国家的一些法律,这些法律对美国的全球公司有影响。
安全法规和指南目录将随着时间的推移而更新和扩展CSOonline.com。请电子邮件编辑德里克·斯莱特(dslater@cxo.com)提供建议或更新。
单击链接可跳到目录的子部分:
*国际法律
第一个:广泛适用的法律和法规
萨班斯 - 奥克斯利法案(又名萨奥法案,SOX)
什么萨班斯 - 奥克斯利法案盖:2002年颁布的萨班斯 - 奥克斯利法案旨在保护投资者,并通过提高公司披露的准确性和可靠性公众。它是21世纪初的高调安然和世通财务丑闻后颁布。它是由美国证券交易委员会,该委员会公布SOX法规和规定要求的审核要求,企业应存储的记录多长时间给予。
更多关于萨班斯 - 奥克斯利法案
谁受影响:美国上市公司董事会,管理层和会计师事务所。
全文萨班斯 - 奥克斯利法案:http://www.gpo.gov/fdsys/pkg/PLAW-107publ204/content-detail.html
关键要求/规定:该法分为11个冠军头衔:
一。上市公司会计监督
2。审计师独立性
3.企业责任
4.加强财务披露
5个。分析师利益冲突
6.委员会资源和权力
7号。研究和报告
8个。公司和刑事欺诈责任
9.白领犯罪处罚增强
10个。企业所得税申报表
11.公司欺诈责任
来源:SarbanesOxleyCompliance.com
支付卡行业数据安全标准(PCI DSS)
它所覆盖:该PCI决策支持系统是一组用于增强支付客户账户数据的安全性要求。它是由PCI安全标准委员会的创始人,包括美国运通,Discover金融服务,JCB国际,万事达卡和Visa,以帮助开发促进全球采用统一的数据安全措施。PCI DSS包括安全管理,政策,程序,网络架构,软件设计和其他重要保护措施的要求。
有关PCI DSS的详细信息
安理会还呼吁发出支付应用数据安全标准(PA DSS)和PCI引脚交易安全(PCI PTS)的要求。
谁受影响:零售商、信用卡公司、任何处理信用卡数据的人。
链接到PCI DSS要求:
目前的版本是PCI DSS 2.0版,发行2010年10月28日。https://www.pcisecuritystandards.org/security_standards/documents.php
您还可以在该页上找到最新PA DSS和PCI PTS要求的全文。
支持文件(包括PCI DSS 1.2版和PCI DSS 2.0版之间的差异显著的总结):https://www.pcisecuritystandards.org/security_standards/pci_dss_supporting_docs.shtml
关键要求/规定:目前,PCI DSS规定了12个要求,在六个基本目标进行组织:
目标1:建立和维护安全零售点系统
要求1:安装和维护防火墙配置以保护持卡人数据
要求2:不要对系统密码和其他安全参数使用供应商提供的默认值
目标2:保护持卡人数据
要求3:保护存储的持卡人数据
要求4:在各种开放的公共网络持卡人数据的加密传输
目标3:保持漏洞管理程序
要求5:使用并定期更新防病毒软件
要求6:开发并维护安全系统和应用程序
目标4:实施严格的访问控制措施
要求7:通过业务限制访问持卡人数据的需求方知
要求8:分配一个唯一的ID给每个人用电脑上网
要求9:限制持卡人数据的物理访问
目标5:定期监控和测试网络
要求10:跟踪并监控所有访问网络资源和持卡人数据
要求11:定期测试安全系统和过程
目标6:保持信息安全政策
要求12:维护一个策略,地址信息安全
来源:PCI安全标准委员会
1999年格拉姆-里奇-布莱利法案
它所覆盖:又称为1999年金融现代化法案,GLB法案包括规定由金融机构持有的保护消费者的个人财务信息。有对隐私要求三个主要部分组成:金融隐私规则,该规则保障和pretexting规定。
谁受影响:金融机构(银行,证券公司,保险公司),以及企业对消费者(包括贷款,中介服务或维护任何类型的消费者贷款提供金融产品和服务;转移或维护资金;编制个别人士报税表;提供财务咨询或信用咨询;提供住宅房地产结算服务;收集消费者债务)。
链接到法律:消费者金融信息的规则内GLB的隐私:http://www.ftc.gov/os/2000/05/65fr33645.pdf
法律法规关于GLB:http://www.ftc.gov/privacy/privacyinitiatives/financial_rule_lr.html
关键要求/规定:GLB的私密性要求包括三个主要部分组成:
金融隐私规则:要求金融机构向客户发出隐私通知,说明其信息收集和共享做法。反过来,客户有权限制其信息的某些共享。从金融机构接收个人金融信息的金融机构和其他公司使用该信息的能力可能受到限制。
保障规则:要求所有金融机构设计、实施和维护保障措施,以保护个人消费信息的机密性和完整性。
Pretexting规定:保护消费者免受个人和蒙混过关,其中包括欺诈性的陈述和模仿获得他们的个人财务信息的公司。
资料来源:美国联邦贸易委员会
电子资金划拨法,E条例
它所覆盖:在1978年制定,这部法律保护消费者的错误与舞弊电子资金转账参与。它携带了电子资金划拨法,其中规定的基本权利,责任和EFT消费者的金融机构提供这些服务的责任的目的。EFT的包括ATM转账,电话帐单支付服务,商店定点销售终端转移和从或向消费者的账户(如直接存款和社会保障金)预先授权转账。自2010年8月,一名新规定指出,事业单位不得对该休眠,不活动或服务费的预付费产品,如礼品卡,也不能有不少于五年的有效期。
谁受影响:金融机构持有的消费账户或提供EFT服务,以及商户和其他收款人。
链接到法律:
http://www.fdic.gov/regulations/laws/rules/6500-3100.html
与2010年更新:http://ecfr.gpoaccess.gov/cgi/t/text/text-idx?c=ecfr&tpl=/ecfrbrowse/Title12/12cfr205_main_02.tpl
关键要求/规定:调控E包括以下条款:
*接入设备(借记卡,PIN码,手机转账,缴费代码,私人标签卡)的定义。
*消费者接受装置(通过用于非请求装置的装置或验证的请求)。
*金融机构的责任,如披露要求和记录保存。
*消费者的权利和责任,如报告丢失或被盗的接入设备和通知错误的机构程序。
*预授权借记和电子支票交易规则。
错误解决过程。
*未经授权的EFT。
来源:BankersOnline.com,阿尔斯通与伯德律师事务所
海关贸易伙伴反恐(C-TPAT)
它所覆盖:C-TPAT是2004年成立的全球供应链安全倡议。这是一项由美国海关和边境保护局管理的自愿倡议,旨在防止恐怖分子和恐怖武器进入美国。该倡议旨在建立合作的政府与企业关系,以加强和改善整个国际供应链和美国边境安全。要求企业确保其安全实践的完整性,并在供应链中沟通和验证其业务伙伴的安全准则。
更多关于C-TPAT和供应链安全的信息
参与C-TPAT的好处包括减少CBP检查次数、优先处理CBP检查、分配C-TPAT供应链安全专家来验证安全性在整个公司的供应链等等。
谁受影响:与贸易有关的业务,如进口商、承运人、合并商、物流供应商、持牌报关行和制造商。
链接到C-TPAT的概述:
http://www.cbp.gov/xp/cgov/trade/cargo_security/ctpat/what_ctpat/ctpat_overview.xml
不同玩家的安全标准:
http://www.cbp.gov/xp/cgov/trade/cargo_security/ctpat/security_criteria/
关键要求/规定:C-TPAT依赖于由以下五个目标组成的多层方法:
1.确保C-TPAT伙伴提高其供应链的安全性,据此,C-TPAT安全标准。
2。提供激励和福利,包括加快处理C-TPAT向C-TPAT合作伙伴的货运。
3.国际化C-TPAT的核心主体。
四。支持其他CBP倡议,如自由和安全贸易、安全货运倡议、集装箱安全倡议。
5个。改进C-TPAT项目的管理。
C-TPAT安全标准包括以下几个方面:
*商业伙伴
*运输安全
*物理访问控制
*人员安全
*程序安全
*人身安全
*安全培训/威胁的认识
*信息技术安全
资料来源:美国海关和边境保护局
自由与安全贸易项目(FAST)
它所覆盖:FAST是美国海关和边境保护局的预先核准的,低风险的货物从加拿大和墨西哥进入美国的自愿商业净空程序运行。9月11日之后启动,该计划允许对谁已完成背景调查,并履行一定的资格要求商业运输公司加急办理。参与FAST需要在供应链中的每一个环节 - 到载体从制造商到驾驶员进口商 - 在C-TPAT计划认证(见上文)。卡花费$ 50的有效期为5年。
使用FAST和C-TPAT的好处包括:
*当恐怖警报,FAST / C-TPAT的驱动程序将被允许过关。
*专用车道,提高速度和效率
*降低了遵守海关要求的成本。
谁受影响:进口商、承运人、合并商、特许报关行和制造商。
链接到FAST计划细节: http://www.cbp.gov/xp/cgov/trade/cargo_security/ctpat/fast/fast_驱动程序/
关键要求/规定:高速公路运营商授权使用FAST / C-TPAT计划需要满足以下要求:
*所有相关的立法和监管要求相符的证明历史。
*已承诺按照C-TPAT和加拿大PIP计划的要求,加强安全业务实践。
*使用快速通行证时,请使用持有有效快速商用驾驶员卡的驾驶员。
*在寻求可以快速清关进入加拿大运营商的情况下,被粘合并有海关自我评估(CSA)计划所需的必要的业务流程。
资料来源:美国海关和边境保护局
儿童在线隐私保护法
它所覆盖:COPPA,发生在2000年生效,适用于从13岁以下儿童由美国联邦贸易委员会(FTC)监控个人信息的网上收集,规则限制了企业如何收集和披露儿童的个人信息。他们编纂什么是网站经营者必须在隐私政策,何时以及如何寻求从父核实的方式同意,什么责任,运营商必须保护儿童的隐私和安全联机。
谁受影响:商业网站和在线服务下13针对儿童收集儿童的个人信息,以及普通观众的网站与实际的知识,他们正在收集儿童的个人信息运营商。
链接到法律: http://www.ftc.gov/ogc/coppa1.htm
关键要求/规定:COPPA的基本规定,包括:
*隐私声明,对布局和内容的细节。
*直接通知家长,与内容细节。