Швидше за все, ваш бізнес збирає особисту інформацію про клієнтів, співробітників та / або партнерів. Це означає, що ви зобов'язані захищати цю інформацію. Нездатність зробити це може призвести до юридичних питань або навіть до банкрутства. На жаль, протягом останніх декількох років у цих ситуаціях опинилися багато підприємств.
Джейн Хілс Ши, адвокат з технологій та конфіденційності даних Фроста Брауна Тода сказала в інтерв'ю по електронній пошті «Тенденції малого бізнесу»: «Частота та обсяг порушень даних є найвищою з точки зору кількості порушень і кількості окремих записів витрати, пов'язані з реагуванням на порушення даних, зростають. ”
$config[code] not foundОсь що потрібно знати для вашого малого бізнесу про особисту інформацію та її захист.
Що таке особиста інформація?
Особиста інформація або чутливі особисті дані можуть бути будь-якими, що використовуються для ідентифікації особистої особи. Наприклад:
- Ім'я
- Номер соціального страхування
- Контактна інформація
- Інформація про оплату
- IP-адреса
Існує вірогідність того, що ваша компанія вже збирає частину цієї інформації про ваших клієнтів. Кожен раз, коли хтось платить кредитною карткою або підписується на ваш список електронної пошти, використовуючи своє ім'я та контактну інформацію, ви отримуєте доступ до особистої інформації.
Це означає, що потрібно мати політику, щоб захистити цю інформацію, і дозволити клієнтам точно знати, як ви збираєтеся використовувати ці дані. Ось що вам потрібно знати.
Чому персональна інформація важлива для вашого малого бізнесу?
Існують закони та нормативні акти, які вимагають від підприємств відповідати певним стандартам, коли йдеться про зберігання та захист особистої інформації. У більшості випадків ви зв'язані фактичною мовою, якою ви користуєтеся у вашій політиці конфіденційності. Тому важливо, щоб ви окреслили, як саме ви плануєте використовувати будь-яку особисту інформацію, яку ви збираєте, і клієнти погоджуються на цю політику, коли вони працюють з вами. Однак існують і інші стандарти, які застосовуються і до конкретних галузей.
Ши говорить: "Інтернет-компанія, яка збирає особисті дані про осіб, що знаходяться в США, перш за все пов'язана з обіцянками, наданими в політиці щодо конфіденційності веб-сайту. Якщо бізнес є частиною фінансових послуг або галузей охорони здоров'я, він може підпорядковуватися вимогам Закону Грамм-Ліч-Блілі (GLBA) або Закону про охорону медичної інформації та перенесення (HIPAA). Якщо він збирає дані про дітей віком до 13 років, він може нести відповідальність відповідно до Закону про захист і конфіденційність дітей (COPPA).
Платежі є ще однією важливою сферою, де підприємства повинні зосередити свої зусилля в галузі безпеки. Ши пояснює: «Підприємства, які приймають кредитні картки, повинні бути впевнені, що вони відповідають стандартам безпеки даних про промисловість платіжних карт (PCI-DSS). Всі підприємства, які беруть платіж за допомогою кредитної картки, за угодою про обробку картки зобов'язані реалізувати та підтримувати PCI-DSS. "
Інтернет-компанії також повинні знати про міжнародні закони або ті, які зосереджені на особистій інформації від клієнтів за межами США, як і закони щодо ВВП, які набули чинності для ЄС на початку цього року.
Коли справа доходить до захисту особистої інформації, Правила крадіжки ідентичності закону про справедливу кредитну звітність вимагають, щоб певні підприємства мали письмові програми захисту від крадіжок особистих даних. І багато угод про постачальники послуг також вимагають від компаній впроваджувати стандартні процедури безпеки як частину своїх контрактних угод.
Як Ваш бізнес може захистити особисту інформацію?
Є багато кроків, які можна і потрібно вжити, щоб захистити конфіденційні дані та особисту інформацію, яку ви збираєте про клієнтів, працівників і постачальників. Ваш точний план буде залежати від того, які дані ви збираєте. Але є один принциповий принцип, який застосовується в основному до кожного бізнесу.
Шей каже: «Головне правило і перший крок для бізнесу, щоб вжити заходів для захисту від порушень даних, - це« знати свої дані ». Потужна програма захисту інформації починається з інвентаризації даних і карти даних. Ця вправа повідомляє бізнес, які особисті дані він збирає і обробляє про своїх клієнтів і його співробітників, і визначає, де в його системі він знаходиться, щоб він міг найкраще захистити ці дані. Крім того, він повинен розуміти, як обробляються та передаються персональні дані, як довго він зберігається, і якими є зобов'язання щодо знищення даних. ”
Вона також запропонувала кілька конкретних кроків, які ви можете застосувати. Наприклад:
- Видаліть усі дані з вашої системи, які ви не використовуєте, або зберігайте їх з огляду на правові чи дотримання.
- Розробити план реагування на порушення даних.
- Розробити план підвищення стійкості бізнесу та створити резервну копію важливих даних на надійному хмарному сервері.
- Додайте шифрування для передачі та зберігання конфіденційної особистої інформації.
- Підготовка працівників з питань безпеки.
- Вимагати від працівників використання надійних паролів, двофакторної аутентифікації та інших профілактичних заходів безпеки.
- Зверніться до постачальників про їхні заходи безпеки.
- Використовуйте технологію чіп-картки EMV, щоб зменшити ризик шахрайства з картками.
Фото через Shutterstock
Більше в: Що таке 2 Коментарі ▼