2024年合规新规的重要日期

关键要点

2024年将有多个合规重要日期供网络安全专家关注，涉及各类数据保护法律。突出日期包括PCI DSS 40的首个合规截止日期、FTC新的数据泄露报告规则、SEC的网络安全事件报告规则等。

随着2024年的到来，网络安全专业人士面临各种合规新规。这些新规包括涉及通知数据泄露的州级法规、与隐私和零信任相关的联邦截止日期等。随着网络安全专业人士从2023年的合规问题中恢复过来，确保应对即将到来的新规非常重要。以下是2024年需要注意的五个重要合规日期。

2024年第一季度末，接受信用卡、借记卡或充值卡作为付款的组织将再次面临合规挑战。支付卡行业数据安全标准40版PCI DSS 40的第一阶段包括13项新的要求，组织必须在2024年3月31日前遵守。

这些要求包括识别安全团队成员和第三方服务提供商的相关角色和职责、确定组织的持卡人数据环境CDE的范围、定义合规的“定制化方法”，以及进行针对性的风险分析。

可查看我们的PCI DSS 40生存指南，获取实现完全合规的建议。

2023年10月，联邦贸易委员会FTC修订了其保护规则，要求非银行金融机构在发现数据泄露后“尽快”向FTC报告，且不得晚于30天。这项规则适用于抵押贷款经纪人、发薪日贷款人和汽车经销商等金融机构，但不适用于银行或信贷合作社。

根据修订后的规则，金融机构需要通知FTC，如果未经授权方获取了至少500名客户的未加密信息。修订还概述了通知中应包含的内容，例如未授权访问的时间范围和受影响消费者的数量。

这项规则将在2024年5月13日生效，因此一些金融机构可能会在数据泄露后面临FTC和SEC报告要求的双重压力。

如前所述，2023年12月18日对大型公司意义重大，而小型报告公司的合规截止日期是2024年6月15日，这些小型公司被SEC定义为公共流通市值少于25亿美元，或年收入少于1亿美元且没有公共流通市值，或者公共流通市值少于7亿美元的公司。

SEC根据利益相关者反馈采纳了180天的合规日期延长，但拒绝了其他豁免。到6月15日，这些小型公司将面临与大型公司同样的泄露披露标准。

查看这份关于新SEC网络安全规则的完整指南，了解要求和准备步骤的概述。

越来越多的州正在效仿加利福尼亚，实施全面法律以保护居民的数据隐私。2024年7月1日，这三项新的隐私法将生效，为在佛罗里达州、俄勒冈州和德克萨斯州开展业务的某些公司设定规则。企业需要明确自己是否在这些法规的管辖范围内，并了解需要采取哪些措施以确保合规。

佛罗里达数字权利法案仅适用于年全球收入超过10亿美元并提供某