影响企业的一些重要合规标准和法规包括

支付卡行业数据安全标准 PCI 合规性主要涵盖信用卡支付和购买期间支付信息的保护。

HIPAA 规定了与 PHI 相关的合规性，而PCI DSS 则专门关注销售点的支付信息，包括信用卡号、姓名、地址、电话号码等。

与联邦和州政府监管的 HIPAA 不同，PCI 是主要信用卡网络（Visa、Mastercard 和 American Express）的发明，并通过对不合规商家或支付处理商处以罚款来执行。

在这种情况下，处罚可能要求对每次不合规事件处以复合罚款并取消商家帐户（这使得处理信用卡交易变得困难甚至不可能）。

通用数据保护条例 (GDPR)通常被认为是世界上最严格的信息隐私法之一。GDPR 的管辖范围涵盖整个欧盟和其他几个参与国，它要求企业对用户数据进行严格控制。

这包括要求报告该信息的正确使用情况（并且仅根据严格的业务需求使用消费者数据）、为消费者提供易于访问的方法来访问其信息并请求删除信息，并在消费者每次提交新的消费者信息请求时提供书面同意。

最后一项要求还要求企业向客户提供数据收集的详细理由（无论是出于分析、定期付款、电子邮件营销还是其他几十种情况）。

 加州消费者隐私法案CCPA 在许多方面都模仿了 GDPR。CCPA 涵盖加州居民和在该州开展业务的公司，它将个人信息定义为日常信息，例如姓名、地址、电话号码、电子邮件地址等。

CCPA 规定企业必须提供选择退出措施，以便消费者可以停止接收或参与商业活动，或者阻止你的企业将这些信息出售给第三方。

GDPR 与 CCPA（以及许多美国法规）之间的一个关键区别是，GDPR 是一项“选择加入”法律，要求公司在处理数据之前必须获得同意。

相比之下，CCPA 和大多数其他商业法规都是“选择退出”，即你的企业可以使用消费者信息，直到收到明确告知停止为止。

萨班斯-奥克斯利法案SOX 与面向消费者或患者的法规略有不同，它要求公司提供有关公司实施的安全、风险和审计的报告和文件。

具体而言，SOX 要求公司披露其财务和安全信息，特别是其安全计划、政策和实施情况。

联邦风险与授权管理计划 ( FedRAMP ) 是一套法规，定义云提供商如何保护为联邦机构服务而创建或使用的信息。符合 FedRAMP 要求的企业的数据保护取决于信息的敏感度。

例如，即使是敏感但可公开获取的信息，在存储、共享或通过电子邮件发送时也需要采取特定的保护措施。此外，其他框架下的受保护信息（PHI 或付款信息）也会相应地增加 FedRAMP 要求。

加密

01

由于信息必须加密，因此电子邮件通常也受到同等监管。由于通过加密实现电子邮件合规性对用户体验和业务灵活性构成挑战，因此许多企业使用安全链接返回到内部受保护的服务器。

数据保护几乎总是包括控制人们如何访问信息以及记录系统和文件访问事件的要求。大多数合规性将包括有关如何使用、移动和存储信息的审计日志。

不过，在准备合规性审计时，你不必从头开始。一些准备步骤包括：

最新直播预约

CIPT面向IT从业者开展隐私保护认证，可证明专业人员在IT产品和服务的开发、工程、部署与审计方面，对于隐私和数据保护实践的理解程度，以及管理和建立隐私保护要求和控制措施的能力。

主要适用于信息技术、信息安全、软件工程、隐私设计、合规审计等相关的从业人员。