És probable que la vostra empresa recopili informació personal sobre clients, empleats i / o socis. Això significa que teniu l'obligació de protegir aquesta informació. Si no ho feu, podria provocar problemes legals o fins i tot fallides. Malauradament, molts negocis s'han trobat en aquestes situacions durant els últims anys.
Jane Hils Shea, tecnologia i advocada de la privacitat de dades de Frost Brown Todd, va dir en una entrevista per correu electrònic amb Small Business Trends, "La freqüència i l'abast de les infraccions de dades es troba en un màxim històric tant pel nombre d'incompliments com pel nombre de registres individuals compromesos i les despeses associades amb la resposta a incompliment de dades estan augmentant ".
$config[code] not foundA continuació, us expliquem quina és la vostra empresa petita que ha de saber sobre la informació personal i com protegir-la.
Què és la informació personal?
La informació personal identificable o les dades personals sensibles poden ser qualsevol cosa que s'utilitzi per identificar la identitat personal d'un individu. Per exemple:
- Nom
- Número de la Seguretat Social
- Informació de contacte
- Informació sobre el pagament
- Adreça IP
Hi ha moltes possibilitats que el vostre negoci reuneixi alguna informació sobre els vostres clients. Cada vegada que algú paga amb una targeta de crèdit o registra't a la vostra llista de correu electrònic amb el seu nom i informació de contacte, obtindreu accés a informació personal.
Això vol dir que heu de tenir polítiques establertes per protegir aquesta informació i permetre als clients saber exactament com voleu fer servir aquestes dades. Heus aquí el que necessites saber.
Per què és important la informació personal per a la vostra petita empresa?
Hi ha lleis i reglaments que requereixen que les empreses compleixin determinats estàndards a l'hora d'emmagatzemar i protegir informació personal. En la majoria dels casos, esteu obligat pel llenguatge real que feu servir a les vostres pròpies polítiques de privadesa. Per tant, és important que es ressenciï exactament com planeja utilitzar qualsevol informació personal que recopileu i que els clients acceptin aquesta política quan facin negocis amb vostè. No obstant això, també hi ha altres normes que s'apliquen a indústries específiques.
Shea diu: "Un negoci en línia que recopila dades personals sobre persones ubicades als Estats Units està principalment obligat per les promeses fetes a la seva política de privacitat del lloc web. Si una empresa forma part dels serveis financers o les indústries sanitàries, podria estar subjecta als requisits de la Llei Gramm-Leach-Bliley (GLBA) o la Llei de protecció i portabilitat de la informació de salut (HIPAA). Si recopila dades sobre nens menors de 13 anys, es podria responsabilitzar de la Llei de protecció i privacitat en línia dels nens (COPPA). "
Els pagaments són una altra àrea important on les empreses necessiten centrar els seus esforços de seguretat. Shea explica: "Les empreses que accepten targetes de crèdit han de ser segurs que compleixen amb els estàndards de seguretat de dades de la indústria de la targeta de pagament (PCI-DSS). Totes les empreses que prenguin el pagament mitjançant targeta de crèdit requereixen el seu acord de processament de targetes per implementar i mantenir el PCI-DSS ".
Els negocis en línia també han de ser conscients de les lleis internacionals o d'aquells que se centren en la informació personal de clients externs als Estats Units, com ara les lleis de GDPR que van entrar en vigor per a la UE a principis d'aquest any.
Pel que fa a la protecció de la informació personal, les normes sobre el robatori d'identitat de la Llei de crèdit creditícia requereixen que determinades empreses tinguin programes de protecció contra el robatori d'identitat. I molts acords de serveis de proveïdors també requereixen a les empreses que implementin procediments de seguretat estàndard de la indústria com a part dels seus contractes.
Com pot la vostra empresa protegir la informació personal?
Hi ha molts passos que podeu i han de prendre per protegir les dades confidencials i la informació d'identificació personal que recopileu sobre clients, empleats i proveïdors. El vostre pla exacte dependrà de les dades que realment recopileu. Però hi ha un principi essencial que s'aplica bàsicament a tots els negocis.
Shea diu: "La regla cardinal i el primer pas per a un negoci que es presti per protegir contra les infraccions de dades és" conèixer les dades ". Un fort programa de seguretat d'informació comença amb un inventari de dades i un mapa de dades. Aquest exercici indica a l'empresa quines dades personals recopila i processa sobre els seus clients i els seus empleats, i identifica on està ubicat el seu sistema perquè pugui protegir millor aquestes dades. A més, hauria d'entendre com es processen i transmeten les dades personals, quant de temps es manté i quines són les seves obligacions de destrucció de dades ".
També va oferir un grapat de passos concrets que podeu emprar. Per exemple:
- Elimineu totes les dades del vostre sistema que no utilitzeu ni necessiteu per motius legals o de compliment.
- Desenvolupar un Pla de resposta a incompliment de dades.
- Desenvolupeu un pla de resiliència empresarial i feu una còpia de seguretat de les dades essencials en un servidor de núvol fiable.
- Afegiu xifratge per a la transmissió i emmagatzematge d'informació personal confidencial.
- Entren als empleats en la consciència de la seguretat.
- Cal que els empleats utilitzin contrasenyes fortes, autenticació de dos factors i altres pràctiques de seguretat preventives.
- Consulteu amb els vostres proveïdors les mesures i pràctiques de seguretat.
- Utilitzeu la tecnologia de targetes xip EMV per reduir el risc de frau de targetes.
Foto a través de Shutterstock
Més informació a: Què són els 2 comentaris ▼?
