California vedtok over sommeren CCPA – the California Consumer Privacy Act of 2018 – som er planlagt å tre i kraft 1. januar 2020. Loven har mange av elementene til GDPR og det forventes at den vil å står påvirkning i USA også utover staten California.

Loven legger også opp til ganske ekstreme sanksjoner, men knytter i motsetning til GDPR opp beløpet direkte mot størrelsen på hendelsen, med minimum 100 dollar pr bruker som er involvert. Den nylige hendelsen med markedsselskapet Exactis – hvor 340 millioner brukere ble rammet – ville dermed utløst sanksjoner i størrelsesorden 34 milliarder dollar – eller nesten 300 MILLIARDER kroner.

CCPA har imidlertid også noen interessante tvister, hvorav en interessant variant er at man kan tilby kunden økonomiske incentiver som motytelse for å benytte seg av persondata. Hvordan høres “gratis frakt, og vi kan selge dine persondata til tredjepart” ut?

Les mer om CCPA her.


Cybersikkerhet nevnes ofte som det største usikkerhetsmomentet for selskaper som ønsker å ta i bruk skytjenester. I Norge jobber CSA med å skape lokale arenaer for dialog og kunnskapsutveksling knyttet spesifikt til skytjenester og sikkerhet knyttet til bruk av dette.

Viktige virkemidler er medlemsmøter, gjerne i samarbeid med organisasjoner som Dataforeningen, ISF og ISACA. 12. september arrangeres medlemsmøte i Trondheim hvor den rivende utvikling innen finanstjenester er tema.

Medlemskap i Cloud Security Alliance Norway oppnås ved påmelding til organisasjonens Linkedin-gruppe.

CSA arrangerer også kurs og tilbyr sertifiseringer innen sikring av skytjenester. 27. august kjøres kurset “Certificate of Cloud Security Knowledge” (CCSK) i forbindelse med den tradisjonelle ISF Høstkonferansen. Kurset har over 30 deltagere fra både privat næringsliv og det offentlige og leder til den internasjonalt anerkjente CCSK-sertifiseringen. 17. oktober kjøres et tilsvarende kurs i Bergen i forbindelse med den årlige konferensen Sikkerhetssymposiet i regi av Dataforeningen.

CSA tilbyr også rammeverket Cloud Controls Matrix (CCM) for å vurdere og evaluere sikkerhet i forbindelse med anskaffelse av skytjenester, både for kunder og leverandører. Dette kombineres med sertifiseringsprogrammet Security, Trust & Assurance Registry (STAR), et tredelt program for skyleverandører som tilbyr egenvurdering, tredjepartsrevisjon og kontinuerlig overvåking. I Norge jobber CSA Norway med å utarbeide en norsktilpasset utgave av CCM rammeverket, i samarbeid med offentlig sektor og det private næringsliv.

CSA har også utarbeidet et omfattende rammeverk for GDPR direkte relatert til skytjenester; CSA Code of Conduct for GDPR Compliance som inngår som en del av CCM rammeverket.

I 2009 publiserte CSA “Security Guidance for Critical Areas of Focus In Cloud Computing”, som gir en praktisk handlingsplan for organisasjoner som ønsker å adoptere skyparadigmet på en trygg og sikker måte. I 2017 forelå versjon 4oppdatert med emner som DevOps, IoT, mobil og Big Data. Det følgende året lanserte CSA bransjens første cloud security brukersertifisering, Certificate of Cloud Security Knowledge (CCSK) som i stor grad baseres seg på og sikrer en strukturert gjennomgang av Security Guidance. Dette kvalitetssikrer faglig kompetanse innen skysikkerhet, sammen med Cloud Controls Matrix (CCM), verdens eneste metarammeverk av skyspesifikke sikkerhetskontroller kartlagt mot ledende standarder, god praksis og forskrifter. Dette ble fulgt opp i 2015 hvor CSA sammen med (ISC)² lanserte CSA Certified Cloud Security Professional (CCSP) sertifisering, som representerer de avanserte ferdighetene som kreves for å sikre skyen.

CSAs har omfattende forskningsprogrammer som samarbeider med industri, høyere utdanning og regjeringer på global basis. CSA er leverandøruavhengig og har tilstedeværelse på alle kontinenter bortsett fra Antarktis. Med egne kontorer, partnerskap, medlemsorganisasjoner og kapitler, er det alltid CSA-sertifiserte eksperter i det lokale markedet. CSA holder kontinuerlig en rekke utdanningsaktiviteter over hele verden og via internett.