Скорее всего, ваш бизнес собирает личную информацию о клиентах, сотрудниках и / или партнерах. Это означает, что вы обязаны защищать эту информацию. Невыполнение этого требования может привести к юридическим проблемам или даже банкротству. К сожалению, многие предприятия оказались в таких ситуациях за последние несколько лет.
Джейн Хилс Ши (Jane Hils Shea), адвокат по технологиям и конфиденциальности данных для Frost Brown Todd, сказала в интервью по электронной почте «Small Business Trends»: «Частота и масштабы утечек данных находятся на рекордно высоком уровне как с точки зрения количества нарушений, так и количества отдельных записей. скомпрометированы, а расходы, связанные с ответом на утечку данных, увеличиваются »
$config[code] not foundВот что должен знать ваш малый бизнес о личной информации и о том, как ее защитить.
Что такое личная информация?
Персонально идентифицируемая информация или конфиденциальные личные данные могут быть чем угодно, что используется для идентификации личности человека. Например:
- название
- Номер социального страхования
- Контакты
- Платежная информация
- Айпи адрес
Существует большая вероятность того, что ваш бизнес уже собирает часть этой информации о ваших клиентах. Каждый раз, когда кто-то платит кредитной картой или подписывается на ваш список адресов электронной почты, используя свое имя и контактную информацию, вы получаете доступ к личной информации.
Это означает, что вам нужно иметь политики для защиты этой информации и дать клиентам возможность точно знать, как вы собираетесь использовать эти данные. Вот что вам нужно знать.
Почему личная информация важна для вашего малого бизнеса?
Существуют законы и нормативные акты, которые обязывают компании соблюдать определенные стандарты в отношении хранения и защиты личной информации. В большинстве случаев вы привязаны к фактическому языку, который вы используете в своей собственной политике конфиденциальности. Поэтому важно, чтобы вы точно определили, как вы планируете использовать любую личную информацию, которую вы собираете, и чтобы клиенты соглашались с этой политикой, когда они имеют с вами дело. Тем не менее, существуют и другие стандарты, применимые к конкретным отраслям.
Ши говорит: «Интернет-бизнес, который собирает персональные данные о лицах, находящихся в США, в основном связан с обещаниями, сделанными в его политике конфиденциальности веб-сайта. Если бизнес является частью сферы финансовых услуг или здравоохранения, на него могут распространяться требования Закона Грэма-Лича-Блили (GLBA) или Закона о защите и переносимости медицинской информации (HIPAA). Если он собирает данные о детях младше 13 лет, он может нести ответственность в соответствии с Законом о конфиденциальности и защите детей в Интернете (COPPA) ».
Платежи являются еще одной важной областью, где предприятия должны сосредоточить свои усилия по обеспечению безопасности. Ши объясняет: «Компании, принимающие кредитные карты, должны быть уверены, что они соответствуют отраслевым стандартам безопасности данных платежных карт (PCI-DSS). Все компании, принимающие платежи по кредитным картам, обязаны по соглашению об обработке карт внедрить и поддерживать PCI-DSS ».
Онлайн-компании также должны знать о международных законах или тех, которые касаются личной информации от клиентов за пределами США, таких как законы о ВВП, которые вступили в силу для ЕС в начале этого года.
Когда речь идет о защите персональных данных, в соответствии с Правилами о краже личных данных в соответствии с Законом о справедливой кредитной отчетности определенные компании должны иметь письменные программы защиты от кражи личных данных. И многие соглашения с поставщиками услуг также требуют от компаний внедрения стандартных процедур безопасности в рамках своих контрактных соглашений.
Как ваш бизнес может защитить личную информацию?
Существует много шагов, которые вы можете и должны предпринять для защиты конфиденциальных данных и личной информации, которую вы собираете о клиентах, сотрудниках и поставщиках. Точный план будет зависеть от того, какие данные вы на самом деле собираете. Но есть один важный принцип, который применяется практически к каждому бизнесу.
Ши говорит: «Основное правило и первый шаг, который должен предпринять бизнес для защиты от взлома данных, - это« знать свои данные ». Сильная программа информационной безопасности начинается с инвентаризации данных и карты данных. Это упражнение сообщает бизнесу, какие персональные данные он собирает и обрабатывает о своих клиентах и своих сотрудниках, и определяет, где в его системе оно находится, чтобы оно могло наилучшим образом защитить эти данные. Кроме того, он должен понимать, как обрабатываются и передаются личные данные, как долго они хранятся и каковы их обязательства по уничтожению данных ».
Она также предложила несколько конкретных шагов, которые вы можете использовать. Например:
- Удалите все данные из вашей системы, которые вы не используете или должны хранить по юридическим причинам или в целях обеспечения соответствия.
- Разработайте план реагирования на нарушение данных.
- Разработайте план обеспечения устойчивости бизнеса и создайте резервную копию важных данных на надежном облачном сервере.
- Добавить шифрование для передачи и хранения конфиденциальной личной информации.
- Обучите сотрудников навыкам безопасности.
- Требовать от сотрудников использования надежных паролей, двухфакторной аутентификации и других профилактических мер безопасности.
- Проконсультируйтесь с вашими поставщиками об их мерах и методах безопасности.
- Используйте технологию чип-карт EMV, чтобы снизить риск мошенничества с картами.
Фото через Shutterstock
Ещё в: Что такое 2 комментария ▼
