Szanse są takie, że Twoja firma zbiera dane osobowe o klientach, pracownikach i / lub partnerach. Oznacza to, że masz obowiązek chronić te informacje. Nieprzestrzeganie tego może prowadzić do problemów prawnych, a nawet bankructwa. Niestety, wiele firm znalazło się w tych sytuacjach w ciągu ostatnich kilku lat.
Jane Hils Shea, adwokat ds. Technologii i prywatności danych w Frost Brown Todd, powiedziała w wywiadzie dla e-mail z Small Business Trends: "Częstotliwość i zakres naruszeń danych jest na najwyższym poziomie zarówno pod względem liczby naruszeń, jak i liczby pojedynczych wpisów zagrożone, a wydatki związane z odpowiedzią na naruszenie danych rosną. "
$config[code] not foundOto, co twoja mała firma musi wiedzieć o danych osobowych i jak ją chronić.
Czym są dane osobowe?
Dane osobowe lub wrażliwe dane osobowe mogą być dowolnymi danymi identyfikującymi tożsamość osoby. Na przykład:
- Imię
- Numer ubezpieczenia społecznego
- Informacje kontaktowe
- Informacja o płatności
- Adres IP
Istnieje duża szansa, że Twoja firma zbiera już niektóre z tych informacji o Twoich klientach. Za każdym razem, gdy ktoś płaci kartą kredytową lub rejestruje się na listę e-mailową, używając swojej nazwy i informacji kontaktowych, uzyskujesz dostęp do danych osobowych.
Oznacza to, że musisz mieć wdrożone zasady ochrony tych informacji i poinformować klientów dokładnie, w jaki sposób zamierzasz korzystać z tych danych. Oto, co musisz wiedzieć.
Dlaczego dane osobowe są ważne dla Twojej małej firmy?
Istnieją przepisy i regulacje, które wymagają, aby firmy spełniały określone standardy, jeśli chodzi o przechowywanie i ochronę danych osobowych. W większości przypadków jesteś związany z językiem, którego używasz w swoich politykach prywatności. Dlatego ważne jest, abyś dokładnie opisał, w jaki sposób planujesz używać gromadzonych danych osobowych i czy klienci zgadzają się z tymi zasadami, gdy prowadzą z tobą interesy. Istnieją jednak również inne standardy, które odnoszą się również do konkretnych branż.
Shea mówi: "Firma internetowa gromadząca dane osobowe osób przebywających w USA jest przede wszystkim związana obietnicami zawartymi w polityce prywatności tej witryny. JEŚLI firma jest częścią sektora usług finansowych lub branży opieki zdrowotnej, może podlegać wymogom ustawy Gramm-Leach-Bliley Act (GLBA) lub ustawy o ochronie i przenośności informacji o zdrowiu (HIPAA). Jeśli gromadzi dane dotyczące dzieci poniżej 13 roku życia, może ponosić odpowiedzialność na podstawie Ustawy o prywatności i ochronie dzieci w Internecie (COPPA). "
Płatności to kolejny ważny obszar, w którym firmy muszą skoncentrować swoje wysiłki na bezpieczeństwie. Shea wyjaśnia: "Firmy, które akceptują karty kredytowe, powinny upewnić się, że są zgodne ze standardami bezpieczeństwa danych kart płatniczych (PCI-DSS). Wszystkie firmy, które dokonują płatności kartą kredytową, są zobowiązane na mocy umowy o przetwarzaniu kart do wdrożenia i utrzymania PCI-DSS. "
Przedsiębiorstwa internetowe muszą również znać przepisy międzynarodowe lub te, które koncentrują się na danych osobowych klientów spoza USA, takich jak przepisy dotyczące RODO, które weszły w życie w UE na początku bieżącego roku.
Jeśli chodzi o ochronę danych osobowych, przepisy dotyczące kradzieży tożsamości w Fair Fairy Reporting wymagają, aby niektóre firmy miały programy ochrony przed kradzieżą na piśmie. Wiele umów serwisowych dla dostawców również wymaga od firm wdrożenia standardowych procedur bezpieczeństwa w branży w ramach ich umów.
Jak Twoja firma może chronić dane osobowe?
Istnieje wiele kroków, które można i należy podjąć, aby chronić wrażliwe dane i zbierane dane osobowe dotyczące klientów, pracowników i dostawców. Twój dokładny plan będzie zależał od tego, jakie dane faktycznie zbierzesz. Ale jest jedna podstawowa zasada, która dotyczy praktycznie każdej firmy.
Shea mówi: "Główną zasadą i pierwszym krokiem firmy do ochrony przed naruszeniami danych jest" poznanie danych ". Silny program bezpieczeństwa informacji rozpoczyna się od inwentaryzacji danych i mapy danych. Ćwiczenie to informuje firmę o tym, jakie dane osobowe gromadzi i przetwarza na temat swoich klientów i pracowników oraz określa, gdzie w systemie znajduje się, aby najlepiej chronić te dane. Ponadto powinien zrozumieć, w jaki sposób dane osobowe są przetwarzane i przekazywane, jak długo są przechowywane i jakie są obowiązki w zakresie niszczenia danych. "
Zaproponowała także garść konkretnych kroków, które możesz zastosować. Na przykład:
- Usuń wszystkie dane z systemu, których nie używasz lub które musisz zachować ze względów prawnych lub zgodności.
- Opracuj plan reagowania na naruszenia danych.
- Opracuj plan odporności biznesowej i wykonaj kopię zapasową ważnych danych na niezawodnym serwerze w chmurze.
- Dodaj szyfrowanie do przesyłania i przechowywania poufnych danych osobowych.
- Szkolić pracowników w zakresie świadomości bezpieczeństwa.
- Wymagaj od pracowników stosowania silnych haseł, uwierzytelniania dwuskładnikowego i innych profilaktycznych praktyk bezpieczeństwa.
- Skontaktuj się ze swoimi dostawcami na temat ich środków bezpieczeństwa i praktyk.
- Użyj technologii kart chipowych EMV, aby zmniejszyć ryzyko oszustwa związanego z kartami.
Zdjęcie za pośrednictwem Shutterstock
Więcej w: Co to są 2 komentarze ▼