¿Qué es Lazarus Alliance?

Lazarus Alliance es un proveedor global de servicios de ciberseguridad proactiva, propiedad de veteranos. Durante más de 26 años, hemos brindado soluciones de auditoría, cumplimiento, gestión de riesgos, privacidad, pruebas de penetración y gobernanza a organizaciones de todos los tamaños en todos los sectores y jurisdicciones.

¿Qué significa Ciberseguridad Proactiva®?

La ciberseguridad proactiva® es nuestra filosofía central: detener las amenazas antes de que se conviertan en problemas. Nos centramos en la monitorización continua, la gestión de riesgos en tiempo real y la creación de programas sostenibles, en lugar de auditorías reactivas que solo cumplen con los requisitos mínimos.

¿Qué marcos de cumplimiento normativo respaldan?

Nos especializamos en FedRAMP (3PAO), CMMC (C3PAO), GovRAMP, SOC 1 y 2, HIPAA, PCI DSS, ISO 27001, NIST 800-53/171, GDPR, CCPA y docenas de otros estándares estadounidenses e internacionales, incluidos C5, ENS y EUCS.

¿En qué se diferencia Lazarus Alliance de otras empresas de cumplimiento normativo?

Ofrecemos una experiencia colaborativa y personalizada, en lugar de una auditoría hostil. Nos centramos en la colaboración, la transparencia y la reducción real de riesgos mediante nuestra plataforma patentada IT Audit Machine® (ITAM) y nuestros Cybervisors® con inteligencia artificial.

¿Qué es un Cybervisor®?

Un Cybervisor® es nuestro asesor de ciberseguridad de alto nivel, potenciado por IA, que trabaja como una extensión de su equipo. Proporciona orientación estratégica, implementación práctica y soporte continuo para acelerar el cumplimiento normativo y fortalecer su postura de seguridad general.

¿Trabajas con empresas emergentes y pequeñas empresas?

Sí. Colaboramos con organizaciones de todos los tamaños, desde startups hasta empresas globales como Cisco y Vanguard, en todos los sectores principales. Nuestra metodología eficiente permite alcanzar el cumplimiento normativo sin complejidad ni costes innecesarios.

¿Ofrecen servicios a nivel internacional?

Por supuesto. Brindamos apoyo a clientes en todo el mundo con amplia experiencia en regulaciones estadounidenses e internacionales, incluyendo CCPA, PIPEDA, DPDP y otros requisitos globales de privacidad y ciberseguridad.

¿Cómo puedo empezar a usar Lazarus Alliance?

Contáctenos hoy para una consulta sin compromiso. Uno de nuestros asesores cibernéticos escuchará sus necesidades y le ofrecerá una estrategia clara y personalizada para su organización. Llame al 1-888-896-7580 o complete el formulario en esta página.

Auditorías de CPRA y CCPA: Servicios de cumplimiento de Lazarus Alliance

California reemplazó la CCPA al promulgar la Ley de derechos de privacidad de California (“CPRA”). La CPRA modifica la Ley de Privacidad del Consumidor de California (“CCPA”). Lazarus Alliance se coordinará directamente con su organización para programar su evaluación de la Ley de Derechos de Privacidad de California (CPRA). Nuestros evaluadores lo ayudarán a identificar el nivel de certificación según los requisitos comerciales específicos de su empresa.

Las partes importantes son:

Las empresas deberán cumplir con la nueva regulación si prestan servicios a residentes de California y tienen al menos $25 millones en ingresos anuales.
Empresas que obtienen el 50% o más de sus ingresos anuales de la venta o compartir información personal de los consumidores.
Las empresas que están categorizadas como “proveedores externos” y “proveedores de servicios” bajo la CCPA, la CPRA ahora agrega “contratista” como una clase distinta de entidades reguladas.
Empresas de cualquier tamaño que tengan datos personales de al menos 100,000 personas o que obtengan más de la mitad de sus ingresos de la venta de datos personales.

Para respaldar la aplicación de la CPRA, California creó la Agencia de Protección de la Privacidad de California (“Agencia de Privacidad”). La Agencia de Privacidad tendrá pleno poder administrativo, autoridad y jurisdicción para implementar y hacer cumplir la CCPA y la CPRA. La agencia está facultada para imponer una multa de $2,500 por cada violación de la CPRA o $7,500 por cada violación intencional o cada violación que involucre a un menor. Antes de esta ley, la CCPA estaba siendo aplicada por la Oficina del Fiscal General de California.

La CPRA elimina la disposición de notificación y subsanación de 30 días de la CCPA, pero la Agencia de Privacidad tiene la discreción de proporcionar a una empresa un período de tiempo para subsanar la presunta infracción y teniendo en cuenta la falta de intención de violar la CPRA y los esfuerzos voluntarios para subsanar la presunta infracción antes de recibir la notificación de una queja.

Habla con uno de nuestros Cibervisores™

Solo los hechos ...

¿Qué es una Empresa Cubierta?

La CPRA modifica la definición de “empresa” de la CCPA y cambia las entidades que están cubiertas. Por un lado, la CPRA aumenta el umbral de recolección de la CCPA de 50,000 100,000 consumidores u hogares a 50 XNUMX y elimina los dispositivos de este recuento. Este cambio brindará alivio a las pequeñas empresas. Por otro lado, la CPRA amplía la cobertura para incluir a las entidades que obtienen el XNUMX % o más de sus ingresos anuales de la venta o compartir información personal de los consumidores, independientemente de si reciben una compensación monetaria. Si bien el acto de compartir Se ha añadido la información personal del consumidor, pero el umbral del 50 % permanece sin cambios. Otros cambios incluyen empresas conjuntas o asociaciones y entidades autocertificadas.

Finalmente, además de las categorías de "proveedores externos" y "proveedores de servicios" bajo la CCPA, la CPRA añade "contratista" como una clase distinta de entidades reguladas. Un contratista es un tercero a quien la empresa pone a disposición información personal del consumidor para fines comerciales. Al igual que con los proveedores de servicios, los contratistas ahora deben firmar un contrato escrito y aceptar tomar las medidas adecuadas para proteger los datos electrónicos cubiertos.

¿Qué es la información personal confidencial?

Uno de los cambios más significativos de la CCPA es la creación de una nueva clasificación de información personal: información personal confidencial. Se trata de una subcategoría de información personal que incluye:

Números de seguro social, licencia de conducir, identificación estatal o pasaporte
Información de la cuenta financiera
Geolocalización precisa
Raza de origen étnico
Vida sexual u orientación sexual.
Creencias religiosas o filosóficas.
Membresía de la unión
Comunicación no pública
Datos genéticos, biométricos y de salud

La recopilación de información personal confidencial requiere requisitos adicionales de divulgación, exclusión voluntaria y uso. El tratamiento diferenciado incluye otorgar a los consumidores el derecho a limitar la divulgación y el uso de información personal confidencial, excepto cuando sea necesario para realizar los servicios. Las empresas deben proporcionar un enlace en su sitio web titulado “Limita el uso de mi información personal confidencial”, además del enlace de exclusión voluntaria requerido por la CCPA para que los consumidores puedan ejercer este derecho.

¿Cuáles son los derechos de privacidad del consumidor nuevos y ampliados?

La CCPA extendió a los residentes de California derechos que iban mucho más allá de los derechos de privacidad del consumidor existentes en los EE. UU.: el derecho a saber, el derecho de acceso, el derecho de eliminación y un derecho privado de acción con daños legales. La CPRA amplía algunos de estos derechos y agrega otros nuevos.

Derecho ampliado a saber/derecho de accesoLa CPRA amplía este derecho más allá del período normal de revisión retrospectiva de 12 meses de la CCPA, siempre que hacerlo no sea "imposible" o no implique un esfuerzo "desproporcionado". La CPRA amplía el requisito de la CCPA de proporcionar las categorías de terceros a quienes divulga información personal para incluir las categorías de proveedores de servicios y contratistas a quienes divulga información.
Derecho ampliado a eliminarLa CCPA permite a los residentes de California el derecho a solicitar que una empresa elimine su información personal si ya no es necesaria para cumplir con uno de los fines legales. La CPRA amplía este derecho, al exigir que las empresas envíen la solicitud de eliminación a terceros que hayan comprado o recibido la información personal del consumidor, de modo que todas las partes deben cumplir con la solicitud.
Derecho a optar por no participarLa CCPA otorga a los consumidores el derecho a impedir que las empresas vendan sus datos a terceros. La CPRA amplía este derecho para incluir... compartir de información personal, además de vender. Las empresas ahora deben notificar a los consumidores cuándo se compartirá su información y también notificarles su derecho a optar por no participar.
Derechos de inclusión voluntaria para menores de edad. La CCPA exige que las empresas obtengan el consentimiento expreso para vender la información personal de un menor de California menor de 16 años. La CPRA amplía este derecho y exige que las empresas esperen 12 meses antes de solicitar el consentimiento de un menor para vender o compartir su información personal después de que el menor se haya negado.

Además de ampliar varios derechos de la CCPA, la CPRA también introduce varios nuevos derechos de privacidad del consumidor:

Derecho a la información correctaLos consumidores de California ahora tienen derecho a solicitar que una empresa corrija cualquier información personal inexacta.
Derecho a limitar el uso y la divulgación de información confidencialLos consumidores de California ahora tienen derecho a limitar el uso y la divulgación de información personal confidencial a los usos necesarios para realizar servicios o proporcionar bienes que un consumidor promedio espera razonablemente. Los proveedores de servicios y terceros también deben cumplir con esta limitación.
Derecho de acceso a la información sobre la toma de decisiones automáticaAl igual que con el RGPD, los consumidores ahora tienen derecho a acceder a información sobre cómo las empresas utilizan la tecnología de toma de decisiones automatizada. La CPRA otorga a los consumidores el derecho a optar por no participar en ningún proceso de toma de decisiones automatizada.
Derecho a la portabilidad de datos Los consumidores de California ahora tienen el derecho de solicitar que las empresas transfieran información personal a otra entidad, en la medida en que sea técnicamente posible.

¿Qué es la adopción de determinados principios del RGPD?

La CPRA ha codificado las siguientes disposiciones inspiradas en el RGPD:

Minimización de datosLa CPRA limita la información personal recopilada por las empresas a lo que sea “razonablemente necesario y proporcionado para lograr los fines para los cuales se recopiló la información personal”. Esta sección también impide que las empresas eludan las obligaciones de la CPRA enviando información personal fuera del estado o a través de terceros, contratistas o proveedores de servicios. Cuando una empresa recopila información personal y la transmite a otra entidad para un propósito comercial, la CPRA también exige que se celebre un acuerdo que especifique los fines limitados de la información personal proporcionada. Las partes receptoras también deben cumplir con las obligaciones de la CPRA y brindar el mismo nivel de privacidad, mientras que la empresa que comparte la información puede tomar medidas razonables para ayudar a garantizar que la información se transfiera de manera adecuada.
Limitación de PropósitoLa CPRA permite a las empresas recopilar información personal solo para “fines específicos, explícitos y legítimos” que se revelan con anticipación a los consumidores.
Limitación de retención de datosLa CPRA contiene limitaciones de retención de datos que, al igual que el RGPD, exigen que las empresas revelen a los consumidores «el plazo durante el cual la empresa pretende conservar cada categoría de información personal o, si esto no es posible, los criterios utilizados para determinar dicho periodo...».
Seguridad razonableLa CPRA aborda expresamente las brechas de seguridad, otra disposición inspirada en el RGPD. Si una empresa incumple su obligación de implementar y mantener procedimientos y prácticas de seguridad adecuados, los consumidores pueden interponer una acción civil para obtener una indemnización por daños y perjuicios, medidas cautelares o declaratorias, o cualquier otra reparación que el tribunal considere adecuada.

¿Qué es el Derecho Privado de Acción?

La ampliación del derecho de acción privado que contempla la CPRA es posiblemente una de las disposiciones más importantes para las empresas, dado el reciente aumento de las filtraciones de datos. La CCPA otorga a los consumidores de California el derecho privado a emprender acciones legales si su información personal no cifrada o no redactada se expone porque una empresa no implementó medidas de seguridad razonables. La CPRA amplía este derecho privado para incluir el acceso no autorizado a direcciones de correo electrónico, contraseñas o preguntas de seguridad.

Mirando hacia el futuro

Estos son solo algunos de los cambios que la CPRA está implementando en el mundo del cumplimiento de la privacidad y los datos. Si bien todos los aspectos de la CPRA no entrarán en vigencia por completo hasta el 1 de enero de 2023, las empresas que operan en California deben comenzar a sentar las bases internas para el cumplimiento de la CPRA a lo largo de 2021 y 2022.

Para prepararse para la CPRA, las organizaciones pueden tomar medidas proactivas como:

Determinar si usted está sujeto a la CPRAAlgunas empresas que no estaban sujetas a la CCPA se verán afectadas por la CPRA, y viceversa.
Solicitudes de consumidores:Las empresas deben asegurarse de contar con procesos internos suficientes para gestionar las solicitudes de los consumidores e identificar cómo ampliar dichos procesos para permitir que los consumidores ejerzan derechos nuevos y ampliados bajo la CPRA.
Actualizar políticas de privacidadLas empresas deben revisar y considerar qué actualizaciones deben realizarse a su aviso de recopilación inicial y al aviso de privacidad del sitio web para reflejar los nuevos requisitos, incluidos aquellos relacionados con la información personal confidencial y los derechos nuevos/ampliados.
Mapeo de datos y auditoríasLas empresas deberían considerar la posibilidad de realizar un ejercicio de mapeo de datos para identificar los tipos de datos que almacena la organización, cómo fluyen a través de la organización, quién tiene acceso a los datos y el impacto de una posible violación.
Revisar acuerdos con tercerosLas empresas deben auditar los acuerdos con terceros para determinar si es necesario un anexo de protección de datos para que el acuerdo cumpla con la CPRA.

Por último, es importante recordar que la CCPA sigue vigente y permanecerá así hasta 2023. Mientras tanto, Lazarus Alliance está lista para ayudar a su empresa a garantizar el cumplimiento de la CCPA y la CPRA.

Ley de Prácticas Relativas a la Conducta y la Responsabilidad Corporativa de los Consumidores (CCPA) Auditoría y Evaluaciones; ¡estamos listos cuando usted lo esté! Llámenos +1 (888) 896-7580 .

Habla con uno de nuestros Cibervisores™

Descargue nuestro folleto de empresa.

Solo los hechos ...

Beneficios de trabajar con Lazarus Alliance...

Reducciones de costos

Proactivo, no reactivo

De principio a fin en tiempo récord

Habla con uno de nuestros expertos