راهنمای کسب و کار کوچک برای محافظت از داده ها

محافظت از داده های تجاری کوچک.

اجرای هر نوع مشاغل امروز بدون ایجاد یا جمع آوری داده ها ، تقریباً غیرممکن است. برخی از این داده ها داده های حیاتی هستند که برای حفظ عمر شغلی لازم است و برخی بدون شک داده های مشتری شخصی هستند.

برای اطمینان از سلامت هر مشاغل ، باید به هر دو نکته توجه شود. داده های کسب و کار باید به اندازه کافی در دسترس باشد تا از فعالیت های تجاری پشتیبانی کند ، اما سازمان ها نیز موظفند داده های مشتری را خصوصی و امن نگه دارند..

اگر یک کسب و کار داده های خود را گم کند ، ممکن است خودش را پیدا کند قادر به انجام کارآمد کارها نیست یا اصلاً این به اندازه کافی بد است ، اما بیشتر فقط در کسب و کار تأثیر می گذارد.

در مقابل ، اگر شرکتی اطلاعات مشتریان خود را از دست بدهد ، این می تواند باشد منجر به اقدام قانونی شود از جمله تحقیقات و جریمه های دولت ، و همچنین پرونده های مدنی و احکام آسیب های بزرگ. حتی قیمت سهام شرکت می تواند بعد از نقض اطلاعات عمومی تحت تأثیر منفی قرار بگیرد. این مقاله به هر دو جنبه می پردازد.

اصول محافظت از داده ها

داده ها فقط ظاهر نمی شوند؛ سفر می کند داده ها در جایی جمع آوری می شوند ، از نقطه جمع آوری به یک نقطه ذخیره سازی منتقل می شوند ، به گونه ای پردازش می شوند و طبق نیاز کسب و کار به نقاط دسترسی می روند. این روند می تواند بسیار پیچیده باشد یا بسیار ساده باشد. مثال ساده گرفتن سفارش در وب سایت تجارت الکترونیک:

  1. جمع آوری شده: وب سایت اطلاعات تحویل شخصی و اطلاعات پرداخت را در صفحه پرداخت جمع می کند.
  2. منتقل شده: آن داده ها به سرور وب منتقل می شوند و احتمالاً در یک پایگاه داده در آن سرور ذخیره می شوند.
  3. فرآوری شده: این داده ها ممکن است برای پشتیبانی از توابع کمکی مانند کاهش موجودی کالاهای فروخته شده یا تولید نوارهای بسته بندی پردازش شوند..
  4. قابل دسترسی است: پرکننده های سفارش برای مشاهده سفارش و آماده کردن آن برای تحویل ، باید تعدادی از آن داده ها را مشاهده کنند.

در هر مرحله از این فرآیند ، فرصت هایی برای دسترسی غیرمجاز یا از بین رفتن داده ها وجود دارد. در ادامه با استفاده از فروشگاه تجارت الکترونیک وب سایت به عنوان نمونه ، در اینجا برخی اقدامات انجام شده که می تواند به محافظت از آن داده ها کمک کند.

محافظت از داده ها در هنگام انتقال

این نوع داده های سفارش بارها "انتقال" می یابد. اولین انتقال از مرورگر وب مشتری به سرور وب تجارت الکترونیکی است. برخلاف تصور رایج ، ما از یک وب سایت بازدید نمی کنیم بلکه وب سایت به ما مراجعه می کند. صفحات وب در رایانه های ما بارگیری می شوند که ما با آنها تعامل داریم و داده ها را به سرور وب ارسال می کنیم.

در این حالت ، در مرحله آخر پر کردن داده های سبد خرید ، مشتری اطلاعات کارت اعتباری خود را وارد کرده است روی رایانه خودشان و پس از آن است به سرور وب منتقل شده است. اطلاعات حساس کارت اعتباری از طریق اینترنت ارسال می شود که مکانی بسیار دوستانه و خطرناک است.

اطلاعات به خودی خود بی فایده است. معمولاً در طول عمر خود بارها و بارها منتقل می شود. کارمندان به منظور تحقق نیاز به دانستن آنچه سفارش داده شده اند ، شرکت های حمل و نقل باید نام و آدرس مشتری را بدانند ، شرکت های کارت اعتباری باید بدانند که چقدر باید حساب را شارژ کنند.

بعید به نظر می رسد همه این اتفاقات در یک نقطه اتفاق می افتد به این معنی که این اطلاعات به تعدادی از مکان ها ارسال می شود ، و در بعضی موارد شاید به سازمان های شخص ثالث خارج از سازمان که داده ها را در وهله اول جمع آوری می کنند. هر یک از این انتقال ها باید با روشی مطمئن انجام شود.

راه حل ها

مؤثرترین راه برای محافظت از داده های این انتقال ، اطمینان از استفاده وب سایت شما از گواهینامه SSL و آن است سایت شما از پروتکل HTTPS استفاده می کند, حداقل در صفحاتی که داده های حساس را جمع می کنند.

این مرحله اطمینان حاصل می کند که داده های بین سرور وب و مرورگر مشتری شما هنگام عبور از اینترنت رمزگذاری می شوند. اگر داده های حساس مشتری شما توسط یک شخص بد رهگیر شد ، او قادر به انجام کارهای زیادی با این کار نخواهد بود زیرا این یک رمزنگاری رمزنگاری شده است.

اگر به دلایلی امکان استفاده از رمزگذاری SSL وجود ندارد ، می توانید رمزگذاری را تقریباً به هر انتقال داده اضافه کنید با استفاده از یک شبکه خصوصی مجازی (VPN). در هنگام انتخاب یک VPN برای تجارت کوچک ، مواردی وجود دارد که باید انجام تحقیقات خود را پرداخت کند.

صفحه 81 کسب و کار VPN پیرامون 81.پیرامون 81 ارائه دهنده SaferVPN به مشاغل است.

به عنوان مثال روشهای دیگری برای انتقال ایمن داده ها وجود دارد رمزگذاری پرونده ها قبل از ارسال. پرونده های رمزگذاری شده با اطمینان می توانند از طریق ایمیل به عنوان یک پیوست ارسال شوند ، اگرچه داده های حساس هرگز نباید در بدنه ایمیل یا از طریق پیوست های رمزگذاری نشده ارسال شوند..

روشهای قدیمی تر ، آفلاین مانند نمابر نباید تخفیف بگذارد. دستگاههای فکس که به سیستمهای ساده تلفن قدیمی (POTS) وصل شده اند ، اینترنت را به روشی آسان قابل ردیابی انتقال نمی دهند و امنیت بیشتری نسبت به ایمیل ارائه می دهند. مهم است که مطمئن شوید که یک دستگاه فکس واقعی در هر دو انتها استفاده می شود. خدمات "ایمیل به نمابر" یا سرویسهای فکس "مبتنی بر ابر" در روز مدرن ، تشخیص تفاوت از اتصالات فکس مناسب POTS دشوار است. ضرر سابق این است که آن سرویس ها از اینترنت استفاده می کنند تا داده هایی را انتقال دهند که مزیت حریم خصوصی آنها را از بین می برد.

امنیت اطلاعات ذخیره شده

هنگامی که داده ها در جایی ذخیره می شوند ، آن را "در حالت استراحت" در نظر می گیرید. داده ها در حالت استراحت بر روی نوعی دیسک درایو در یک پایگاه داده ، در پرونده های فردی مانند اسناد PDF یا در انواع مختلفی از قالب های دیگر ذخیره می شوند. هنگام بررسی نحوه محافظت از داده های خود در حالت استراحت ، ممکن است فرمت داده ها مهم باشد.

دو راه اصلی وجود دارد که با استفاده از آن می توانید داده های استراحت را به صورت مخرب به دست آورید. یک مرد بد می تواند برای دسترسی به داده هایی از قبیل موارد قانونی استفاده کند سرقت یک گذرواژه کار از طریق یک کارمند فیشینگ.

یا دستگاه ذخیره شده در خود داده می تواند مورد حمله قرار گیرد و بعداً محتویات دیسک در جای دیگری برای معاینه کپی شود. فریب دادن نام کاربری و کلمه عبور از افراد دشوار است. در بعضی مواقع سرقت کل کامپیوتر از میز جلو بسیار ساده تر است در حالی که بی توجه است.

اگر داده ها بصورت آنلاین مانند فروشگاه الکترونیکی ذخیره شود ، حمله به سایت دیگری روی سرور آسانتر می شود تا به سیستم فایل دسترسی پیدا کنید و پایگاه داده را کپی کنید از تلاش برای حدس زدن رمز ورود مدیر Magento.

گاهی اوقات نقض داده ها یک جرم فرصت است - مواردی از رایانه های دور ریخته شده که هنوز هم حاوی داده های حساس در هارد دیسک های خود هستند.

راه حل ها

داده هایی که در حال استفاده نیستند باید تا زمانی که لازم باشد رمزگذاری شوند. این برای داده هایی که نیازی به دسترسی غالباً ندارند ، به خوبی کار می کند. اداره کردن داده هایی که توسط طیف گسترده ای از افراد یا سیستم ها به دفعات مشاهده می شود ، دشوارتر خواهد بود.

برای محافظت در برابر دسترسی از طریق اعتبار ورود به سیستم ، افراد مشروع دسترسی به داده ها باید از گذرواژه‌های قوی و حسابهای جداگانه استفاده کنید. چندین نفر با استفاده از نام کاربری و رمزعبور مشابه ، تشخیص اینکه چگونه یا چه موقع رخ داده است غیرممکن است. مدیران گذرواژه ایجاد و بازیابی رمزهای عبور قوی را بسیار آسان می کنند ، بنابراین دلیل مشترک دیگری برای به اشتراک گذاشتن گذرواژه‌ها وجود ندارد.

مدیر رمز عبور مهمرمز عبور مهم فقط یکی از بزرگترین مدیر رمز عبور رایگان است که در دسترس است.

محافظت در برابر کسی که یک ماشین فیزیکی را سرقت می کند یا یک نسخه مجازی از داده ها ، شامل امنیت جسمی و کنترل دسترسی است.

  1. امنیت فیزیکی: هرگز لپ تاپ ها را بدون مراقبت رها نکنید. بسیاری از کارمندان احساس می کنند که یک لپ تاپ شرکتی به اندازه خودشان اهمیتی ندارد زیرا یک لپ تاپ شرکتی در صورت گم شدن به سادگی جایگزین می شود. با این حال ، اطلاعات در مورد لپ تاپ شرکت ممکن است بی ارزش و در صورت گم شدن بتواند آینده این شرکت را در معرض خطر قرار دهد. کامپیوترهای رومیزی باید از نظر جسمی به چیزی بزرگ قفل شوند. طیف گسترده ای از قفل های رایانه ای (مانند قفل های کنزینگتون) فقط برای این منظور موجود است. کلیه دیسک های رایانه ای ، در لپ تاپ ها یا دستگاه های دیگر باید رمزگذاری شوند تا هرچه ممکن باشد یک فرد بد برای بازیابی اطلاعات از آن استفاده کند.
  2. کنترل دسترسی: در صورت امکان ، رایانه هایی که داده های حساس و دستگاه های ذخیره سازی را پردازش می کنند باید در یک منطقه محدود نگهداری شوند. به عنوان مثال ، هیچ کارمند غیر IT با دسترسی فیزیکی به سرورهای ذخیره فایل نباید وجود داشته باشد ، بنابراین سرور باید در یک اتاق قفل شده قرار گیرد. اگر عموم مردم به عنوان بخشی از فعالیتهای تجاری عادی فرض شده باشند ، باید تمام رایانه های غیر ضروری و دستگاههای ذخیره سازی از دید عمومی حذف شوند. سارقان می توانند با تصادف از طریق دیوارها با یک لودر جلویی ، کل دستگاه های بانکی را سرقت کنند. منطقه پذیرش شما چقدر ایمن است?

محافظت از داده ها از دسترسی غیرمجاز

دسترسی غیرمجاز به شخص غیرمجاز دسترسی به داده ها اشاره دارد. این می تواند به معنای آدم بدی باشد که توانسته است به شبکه نفوذ کند ، یا این می تواند به معنای کارمند قانونی باشد که به داده هایی دسترسی پیدا می کند که آنها حق ندارند. در اینجا دو مفهوم وجود دارد: تأیید اعتبار و مجوز.

  1. احراز هویت: احراز هویت شامل تعیین هویت کاربر است ، اما هیچ ارتباطی با کاری که آن شخص مجاز به انجام آن است ، ندارد. در بیشتر موارد ، یک نام کاربری و رمز عبور برای ورود به سیستم ارائه می شود. دارنده آن نام کاربری و رمز عبور یک کارمند قانونی است و سیستم باید بدرستی ضبط کند که شخص وارد آن شده است.
  2. مجوز: مجوز پس از تأیید اعتبار انجام می شود. مجوز تعیین می کند شخص معتبر مجاز به دسترسی به یک منبع باشد. قبل از تعیین اینکه کاربر می تواند به یک منبع دسترسی داشته باشد ، فرد باید تأیید اعتبار خود را تأیید کند.

مثالی برای مثال وجود دارد: نانسی وارد ایستگاه کاری خود می شود و اکنون یک کاربر معتبر است. او سپس یک سندی را به چاپگر شبکه می فرستد و چاپ می کند زیرا مجاز به استفاده از آن چاپگر است. نانسی سپس سعی می کند به پرونده های پرسنل شرکت دسترسی پیدا کند و از آنجا که وی مجاز به مشاهده آن پرونده ها نیست ، از دسترسی محروم می شود.

راه حل ها

برای اطمینان از کارآیی فرآیندهای تأیید اعتبار و مجوز, هر سیستم رایانه ای باید گزارش های حسابرسی ایجاد کند. گزارش های حسابرسی دنباله ای را فراهم می آورد تا محققان بتوانند به موقع برگردند و ببینند چه کسی به سیستم های مختلف وارد شده است ، و اینکه در هنگام ورود به سیستم چه کاری انجام داده اند.

همچنین مهم است که هیچ کس نام کاربری و کلمه عبور را به اشتراک نگذارد ، همانطور که در بالا گفته شد. اگر نام کاربری و رمزهای عبور در بین کارمندان به اشتراک گذاشته شود ، هیچ راهی برای جلوگیری از دسترسی غیرمجاز یا یافتن اینکه چه کسی به چه چیزی دسترسی داشته است ، وجود ندارد. اگر همه از همان نام کاربری استفاده کنند ، همه احراز هویت می شوند و باید نام کاربری مجاز به انجام همه کارها باشد.

نام کاربری مدیردر حالت ایده آل هیچ کس نباید از نام کاربری "مدیر" استفاده کند ، زیرا حدس زدن آن بسیار آسان است.

اجتناب ناپذیر است که مکالمات مربوط به کنترل دسترسی بر دور نگه داشتن افراد بد تمرکز کنند. با این حال ، اینگونه است به همان اندازه مهم است که بچه های خوب قفل نشوند. اگر در شرایطی به سرانجام برسید که مدیران سیستم یا سایر افراد حساس از کار در بیایند ، این وضعیت می تواند به سرعت در حال بدتر شدن همه افراد از کار بیفتد و شغل نتواند ادامه دهد.

در صورت داشتن گواهینامه های صحیح ، هر سیستم حساس باید حداقل دارای دو مدیر یا یک مدیر و حداقل یک شخص دیگر باشد که صلاحیت انجام فعالیت در سطح سرپرست را داشته باشد..

کاهش خطرات از بین رفتن داده ها

تأثیر از دست رفتن داده ها می تواند از "حتی متوجه نشود" باشد تا "من به یک جلسه کنگره برای شهادت دعوت شده ام." از دست دادن اطلاعات مهم تجارت می تواند یک تجارت را فلج کند و باعث صدمه جبران ناپذیر عملیاتی می شود. علاوه بر این ، از دست دادن داده ها می تواند باعث خجالت شود ، منجر به خسارت به اعتبار یک شرکت شود و حتی سالها بر قیمت سهام تأثیر بگذارد.

اصطلاح "ضرر" در این معنا به معنای داده هایی است که نابود شده اند ، و نه داده هایی که در جایی دیگر نقض شده و افشا شده است. رایانه ها داده ها را به روش های بسیار ریز و درشتی با استفاده از مغناطیس ، تراشه های نیمه هادی یا چاله های لیزری ذخیره می کنند. هرکدام از این روشها روزهای بد خود را دارند و داده ها به سادگی قابل استفاده و غیرقابل بازگشت هستند.

خطای انسانی مانند نوشتن پرونده های مهم و یا به طور تصادفی قالب بندی یک هارد همچنین می تواند داده ها را برای همیشه از بین ببرد. رایانه ها نیز هستند در برابر بلایای جسمی مصون نیست و داده ها به دلیل سیل سیستم های آب پاش آتش سوزی دفاتر یا برقی های الکتریکی که به درایوهای فراتر از تعمیر آسیب می رسانند از بین رفته است.

در عصر محاسبات کوچک ، افراد میله USB را از دست می دهند و روزانه تلفن های خود را به توالت می ریزند. در یک لحظه بی احتیاطی ، یک کارمند تنها می تواند بر روی یک لینک مخرب در یک ایمیل کلیک کرده و یک حمله باج افزار در سراسر جهان را شروع کند که به طور برگشت ناپذیر هر پرونده را رمزگذاری می کند.

بعضی اوقات هیچ چیز اتفاق نمی افتد و درایو دیسک فقط به آخر عمر خود می رسد و خراب می شود. به معنای واقعی کلمه یک لیست بی پایان از روش های تخریب داده وجود دارد.

راه حل ها

با پذیرش اینکه از بین رفتن داده ها یک خطر اجتناب ناپذیر است ، اطمینان از پشتیبان گیری از داده های مهم معقول است. ایجاد یک برنامه پشتیبان قابل اعتماد ، قبلاً یک هنر جالب بود که فقط مدیران سیستم های باتجربه می توانستند از آن استفاده کنند. در موارد شدید ، این ممکن است هنوز هم صادق باشد ، اما این روزها تقریبا هرکسی می تواند از چند دلار پشتیبان خارج از کشور خریداری کند هر ماه. چند سؤال وجود دارد که می خواهید از شرکتهای پشتیبان احتمالی بپرسید ، همچنین می خواهید مطمئن باشید که نسخه پشتیبان شما رمزگذاری می شود.

صفحه اصلی iDrive.iDrive تنها یکی از گزینه های زیادی برای تهیه نسخه پشتیبان و ذخیره سازی cloud است,

اگر اطلاعات شما به خصوص حساس هستند ، یا مقررات صنعت شما اجازه تهیه نسخه پشتیبان از ابر را نمی دهد ، گزینه های دیگری وجود دارد.

بکاپ هایی که در سایت نگهداری می شوند می توانند مفید باشند برای انواع خطاهای انسانی که نیاز به رفع سریع دارند ، مانند بازیابی یک فایل واحد. با این حال ، در صورت ریختن دفتر ، یک نسخه پشتیبان در محل کار شما را انجام نمی دهد ، آتش سوزی رخ می دهد ، یا نسخه های پشتیبان به سرقت رفته است.

به همین ترتیب ، تهیه پشتیبان های خارج از کشور بخش اصلی هر برنامه پشتیبان گیری است و اگرچه خدمات پشتیبان گیری ابری ساده ترین راه برای دستیابی به این هدف است ، هیچ دلیلی وجود ندارد که کارمندان قابل اعتماد نتوانند بطور دوره ای از پشتیبان گیری رمزگذاری شده به خانه خود استفاده کنند. به خاطر داشته باشید که پس از خروج داده ها از محل ، هنوز هم باید محافظت شود رمزگذاری قوی بسیار مهم است.

صنعت شما ممکن است قوانینی در زمینه نگهداری داده ها داشته باشد و این بدان معنی است که شما باید سازگار با داده های قدیمی که دیگر از آنها استفاده نمی کنید ، نگه دارید. هرچه داده های طولانی تری نگهداری شود ، فرصت های بیشتری برای از بین رفتن آن وجود دارد. بنابراین ، داده های نگهداری طولانی مدت یک نامزد ایده آل برای ذخیره سازی در خارج از سایت است.

محافظت از دستگاه های متعلق به کارمندان

نگرانی اساسی که همه جنبه های محافظت از داده ها را پیچیده می کند ، گسترش کارگران از راه دور یا کارگرانی است که دستگاه های خود را (BYOD) بیاورید. امکان بازپرداخت کار از راه دور وجود دارد زیرا باعث می شود استعدادی برای شما فراهم شود تا بهترین کارگران بتوانند استخدام شوند. همچنین تعداد مکانهایی را که داده های شرکت از بین رفته یا به خطر می افتد ، افزایش می دهد.

BYOD و دستگاه های از راه دور به طور کلی خطر از دست رفتن داده و نشت داده ها را به همراه دارند. تلفن و تبلت ها اندک هستند و همه جا با ما همراه هستند و آنها غالباً گم می شوند یا آسیب می بینند.

راه حل ها

در حالت ایده آل ، کارگران از راه دور برای دسترسی به دسک تاپ های خود در دفتر از Virtual Network Computing (VNC) استفاده می کنند. حتی اگر کارگر از راه دور هرگز در دفتر شرکت نکند و فقط از طریق آن امکان دسترسی پیدا می کند VNC کنترل بیشتری را فراهم می کند بیش از آنچه که کارگر از راه دور می تواند انجام دهد.

سرورهای VNC را می توان پیاده سازی کرد تا اجازه انتقال پرونده ها را ندهند ، و از آنجا که VNC مانند شبکه VPN اتصال شبکه واقعی ایجاد نمی کند ، رایانه راه انداز کارگر هرگز به شبکه کار وصل نمی شود. در صورت آلوده بودن رایانه از راه دور کارگر می تواند به جلوگیری از گسترش بدافزارها به شبکه اداری کمک کند. اجازه دسترسی از طریق اتصال VPN دسترسی آسانتر به منابع اداری را فراهم می کند ، اما خطر ابتلا به سرقت عفونت و دیتا نیز بیشتر است ، زیرا کامپیوتر از راه دور در واقع شبکه اداری را تا حدودی به اشتراک می گذارد.

اگر BYOD را مجاز می دانید ، ایده خوبی است برای پیاده سازی سیستم مدیریت دستگاه تلفن همراه (MDM) که می تواند کارهایی مانند از راه دور تمام داده ها را از طریق تلفن پاک کنید و اگر تلفن از بین رفته تلفن را پیدا کنید.

صفحه اصلی مدیر دستگاه مدیریت موبایل Plus Plus.ManageEngine Mobile Device Manager Plus یکی از نمونه های نرم افزار MDM است.

همچنین استفاده از یک راه حل MDM که تفکیک داده ها را فراهم می کند مطلوب است. برای مثال به اشتراک گذاشتن کار و مخاطبین شخصی در همان کتاب آدرس ، ریسک بالایی از نشت داده ایجاد می کند ، زیرا انتخاب نادرست یک مخاطب شخصی به عنوان گیرنده آسان است و به طور تصادفی اطلاعات حساس شرکت را ارسال می کنید..

برنامه ریزی برای در دسترس نبودن داده ها

در طول دوره کار ، ممکن است مواقعی وجود داشته باشد که دفتر در دسترس نباشد. وقایع کوچک مانند آتش سوزی در ساختمان اداری ممکن است دفتر شما را برای چند روز غیرقابل دسترسی کند. رویدادهای بزرگ ، مانند طوفان سندی در سال 2012 ، می تواند مناطق زیرزمینی یک ساختمان را برای سالها به خود اختصاص دهد.

اجرای برنامه ریزی برای رویدادهایی از این دست تحت مفهوم برنامه ریزی استمرار تجارت (BCP) است. برنامه ریزی BCP سعی دارد به این سؤال پاسخ دهد: "اگر دفتر / سرورها / فروشگاه ما برای مدت طولانی در دسترس نبود ، چگونه می توانیم کار را ادامه دهیم؟"

راه حل

تهیه پشتیبان خارج از کشور می تواند نقش مهمی در برنامه ریزی BCP داشته باشد. اگر نسخه پشتیبان تهیه فعلی خارج از سایت موجود باشد ، ممکن است کارمندان بتوانند از خانه یا سایر مناطق دور افتاده با استفاده از آن داده ها کار کنند تا کارها ادامه یابد. سایر ملاحظات ممکن است شامل شماره تلفن های ناپسند باشد که می توانند برای باز نگه داشتن تلفنها به تلفنهای همراه منتقل شوند.

دانستن نحوه دسترسی به داده های خود

این ممکن است یک سوال احمقانه به نظر برسد. متأسفانه ، ما می توانیم از تجربه اثبات کنیم که اینگونه نیست. بسیاری از مشاغل کوچک برای ایجاد مراقبت از داده های خود در طول سالها به مشاجرات شخص ثالث تکیه کرده اند و در بعضی موارد هیچ ایده ای برای نگهداری از این موارد ندارند. بخشی از هر برنامه صحیح پیشگیری از بین رفتن داده ها می داند که داده های شما از کجا شروع می شود.

دوباره وب سایت تجارت الکترونیک ما را در نظر بگیرید. در کمترین حالت ممکن ، موارد زیر را دارد:

  1. حساب ثبت: ثبت دامنه شرکتی است که نام دامنه را به فروش می رساند. سرورهای نام دامنه شما توسط ثبت دامنه شما کنترل می شوند. سرورهای نام یک عنصر کنترل مهم وب سایت شما هستند ، بنابراین باید بدانید که چه کسی است و اعتبار حساب را در اختیار دارید.
  2. حساب میزبانی: پرونده های وب سایت شما در جایی از جهان بر روی یک سرور وب قرار می گیرد. شرکتی که این سرویس را برای شما ارائه می دهد میزبان وب شماست. اطمینان حاصل کنید که میزبان وب شما کیست و اعتبار حساب کاربری خود را می دانید.
  3. حساب کاربری ایمیل: میزبان وب شما ممکن است میزبان ایمیل شما نیز نباشد. بسیاری از شرکت ها از ارائه دهندگان ایمیل شخص ثالث مانند Google استفاده می کنند. اطمینان حاصل کنید که نامه الکترونیکی شما کجاست و اعتبارنامه حساب را نیز دارید.
  4. پشتیبان گیری: اگر از قبل تنظیمات پشتیبان تهیه کرده اید ، آنها به کجا می روند؟ اگر به آنها دسترسی ندارید و نمی دانید که چگونه فایل ها را بازیابی کنید ، این نسخه های پشتیبان عملکرد خوبی ندارند.

همان نوع سؤال باید در مورد تمام سیستمهای داده شما پرسیده شود تا زمانی که درک نسبتاً خوبی از همه داده های شما داشته باشید. تلاش برای یافتن این اطلاعات در شرایط اضطراری بدترین زمان است.

گذشته از نیاز عملی برای دانستن این موارد ، ممکن است صنعت شما مناطق جغرافیایی را که در آن مجاز به ذخیره داده هستید نیز تنظیم کند.

ملاحظات داده مشتری توسط کشور

داده های مشتری معمولاً نیاز به توجه ویژه دارد. این یک چیز است که صفحات گسترده داخلی خود را از دست دهید. از نظر قانونی ، این یک چیز متفاوت برای سرقت از داده های مشتری یا استفاده نامناسب از آن است. بیش از 80 کشور دارای نوعی قانون حفظ حریم خصوصی هستند که در مورد مشاغل جمع آوری داده های مشتری اعمال می شود. تعهدات اساسی بیشتر این اعمال به این نکات جلب می شود:

  1. قبل از انجام این کار اجازه جمع آوری داده های مشتری را بدست آورید.
  2. تا حد امکان اطلاعات کمتری جمع کنید.
  3. از داده هایی به روشی که مجوز آن را دارید استفاده کنید.
  4. محافظت از اطلاعات در برابر دسترسی غیرمجاز.
  5. داده ها را در دسترس مشتریان خود قرار دهید.

در اینجا یک مرور کلی سریع از وضعیت کلی قانون حفظ حریم خصوصی در ایالات متحده ، انگلیس ، کانادا و استرالیا ارائه شده است. این برخی از سرنخ ها را در مورد اینکه چه نوع سازمانهای محافظتی برای داده های مشتری پیش بینی می كنند ، و همچنین احساس مجازاتهای مربوط به تخلفات ارائه می دهد..

استرالیا

راهنمای کسب و کار کوچک برای محافظت از داده ها

استرالیا دقیقاً مانند کانادا و انگلیس ، یک قانون حفظ حریم خصوصی فدرال را به سادگی با نام قانون حفظ حریم خصوصی انجام داده است. این نخستین بار در سال 1988 تصویب شد و از آن زمان اصلاح و گسترش یافته است. این عمل براساس مفهوم 13 اصل حریم خصوصی استرالیا ساخته شده است.

قانون گذاری

قانون حفظ حریم خصوصی در ابتدا فقط اداره اطلاعات خصوصی توسط سازمانهای دولتی و پیمانکاران دولتی را در بر می گرفت. از آن زمان گسترش یافته است تا مشاغل بخش خصوصی را نیز تحت پوشش خود قرار دهد.

کلیه مشاغل استرالیا با کل فروش بیش از 3،000،000 AUD طبق قانون حفظ حریم خصوصی تعهداتی دارند. لیست کوچکی از مشاغل مانند مشاغل مرتبط با سلامت و مالی نیز بدون در نظر گرفتن کل فروش ، در معرض این قانون قرار دارند.

دادن اطلاعات به مشتریان

اصل 12 قانون حفظ حریم خصوصی به "دسترسی و تصحیح اطلاعات شخصی" می پردازد. با استثناء چند مورد ، درخواست شخص برای اطلاعات شخصی خود باید ارائه شود ، اما مهلت مشخصی برای انجام این کار وجود ندارد. درخواست های آژانس باید ظرف 30 روز رسیدگی شود ، اما اگر درخواست کننده شخص باشد ، تنها شرط این است که "در صورت انجام معقول و عملی این اطلاعات را به روشی که توسط فرد درخواست شده است ، فراهم كنید."

مجازات ها

بسته به میزان نقض جدی این نقض مجازاتهای مختلفی برای نقض قانون حفظ حریم خصوصی وجود دارد. مقادیر پولی برای نقض در قانون حفظ حریم خصوصی بیان نشده است. در عوض ، تخلفات براساس شدت جرم تعدادی واحد مجازات تعیین می شوند. تخلفات جدی به 2000 مجازات مجازات داده می شود ، در حالی که جرایم کمتری به 120 واحد مجازات تعلق می گیرد.

بند 4AA از قانون جرائم استرالیا ارزش یک واحد مجازات به دلار استرالیا را دیکته می کند و هر از گاهی به روز می شود. در حال حاضر ، یک مجازات واحد 210 AUD است (مشروط بر ایندکس کردن) که بدان معنی است که جرائم شدید می تواند در محدوده 420،000 AUD باشد. در واقعیت ، دادگاه های استرالیا بعضی اوقات فقط عذرخواهی می کنند.

کانادا

پرچم کانادا

قانون گذاری

قوانین حمایت از داده های فدرال کانادا برای مشاغل در قانون حمایت از اطلاعات شخصی و اسناد الکترونیکی (PIPEDA) آمده است. بعضی از استانها مانند آلبرتا ، بریتیش کلمبیا و کبک دارای اقدامات محافظت از داده های استانی خود هستند که به همان اندازه مشابه هستند که PIPEDA برای مشاغل آن استانها اعمال نمی شود. بنابراین ، بسته به اینکه در کدام استان کار کنید ، لازم است با PIPEDA یا یکی از اقدامات قانونی زیر استانی زیر آشنا شوید:

  • آلبرتا: قانون حمایت از اطلاعات شخصی
  • بریتیش کلمبیا: قانون حمایت از اطلاعات شخصی
  • کبک: * قانونی برای احترام به حفاظت از اطلاعات شخصی در
    بخش خصوصی *

علاوه بر این ، کانادا یک قانون حفظ حریم خصوصی جداگانه دارد که نحوه کنترل دولت فدرال را برای اداره اطلاعات شخصی در سازمان های دولتی کنترل می کند.

PIPEDA از سازمانها می خواهد قبل از جمع آوری اطلاعات شخصی ، رضایت خود را بدست آورند. با این وجود جالب است که توجه داشته باشید که PIPEDA در مورد افرادی که اطلاعات شخصی را برای استفاده شخصی جمع می کنند یا سازمانهایی که اطلاعات شخصی را برای استفاده روزنامه نگاری جمع آوری می کنند صدق نمی کند..

دفتر کمیساریای حفظ حریم خصوصی در کانادا ، مروری بر عملکردهای مختلف حریم خصوصی فدرال و استانی کانادا دارد.

دادن اطلاعات به مشتریان

اطلاعاتی که توسط آژانسهای فدرال نگهداری می شود می تواند با پر کردن فرم درخواست اطلاعات درخواست شود. برای درخواست اطلاعات شخصی که در نوع دیگری از سازمان قرار دارد ، با آن سازمان تماس بگیرید. دفتر استانی یا سرزمین مأمور اراضی می تواند کمک کند.

مجازات ها

متخلفان PIPEDA به دلیل آگاهی از نقض این عمل می توانند با جریمه حداکثر 100000 دلار مواجه شوند.

انگلستان

پرچم انگلیس - جک اتحادیه پرچم انگلیس - جک اتحادیه - انگلیس

قانون گذاری

قانون حمایت فدرال انگلیس ، قانون حفاظت از داده های مناسب است. بر خلاف کانادا ، قانون حمایت از داده های انگلستان در سراسر هیئت مدیره برای تجارت و دولت به طور یکسان اعمال می شود.

دادن اطلاعات به مشتریان

شهروندان انگلستان حق دارند دریابند كه چه سازمانی در مورد آنها اطلاعاتی دارد. همه اطلاعات باید منتشر شود. داده هایی که نیازی به انتشار ندارند شامل اطلاعاتی در مورد:

  • اطلاعات در مورد تحقیقات جنایی
  • سوابق نظامی
  • امور مالیاتی ، یا
  • قرارهای قضایی و وزیران

سازمانها همچنین می توانند مبلغی را برای تهیه این اطلاعات به مردم شارژ کنند. وب سایت دفتر کمیساریای اطلاعات انگلیس می تواند مشاوره و راهنمایی ارائه دهد ، همچنین به بررسی شکایات مربوط به رسیدگی به داده ها بپردازد.

مجازات ها

قانون حمایت از داده های انگلیس جریمه هایی تا 500000 پوندی و حتی پیگرد قانونی برای تخلف را در نظر گرفته است.

ایالات متحده

پرچم ایالات متحده

ایالات متحده از این نظر تا حدی بی نظیر است که نسبت به سایر کشورها دارای قانون حفظ حریم خصوصی در سطح فدرال است. درعوض ، اکثر اقدامات حفظ حریم خصوصی در آمریکا صنعتی یا دولتی است. بنابراین کشف قوانینی که ممکن است در مورد هر تجارت خاص اعمال شود دشوار است. مکان خوبی برای شروع صفحه حفظ حریم خصوصی و امنیت کمیسیون تجارت فدرال ایالات متحده است.

قانون گذاری

قانون حفظ حریم خصوصی ایالات متحده در 1974 چگونگی جمع آوری ، استفاده و افشای اطلاعات توسط سازمان های فدرال را کنترل می کند. تا حدودی بیان می کند:

هیچ آژانس نباید سوابق موجود در یک سیستم سوابق را از طریق هرگونه ارتباط با هر شخص یا آژانسهای دیگر ، فاش کند ، مگر اینکه طبق درخواست کتبی توسط شخصی ، یا با رضایت کتبی قبلی ، فردی که سابقه آن را دارد ، در اختیار شما قرار دهد. مربوط.

سپس این قانون چندین استثناء از این بخشنامه ذکر کرده است. ممکن است برخی از آنها مانند معافیت برای استفاده روتین در قرن بیست و یکم گسترده باشد.

بخش عمده ای از قوانین حفظ حریم خصوصی ایالات متحده مربوط به صنایع یا تولید در سطح ایالت است. بنابراین ، برای یک سازمان مهم است که ارزیابی کند که کدام کشورها در نظر گرفته می شوند که در آن فعالیت کنند و همچنین اگر مقررات مربوط به حفظ حریم خصوصی خاص در صنعت وجود داشته باشد که در هر سطح دولتی اعمال شود.

برخی از اقدامات بزرگ حفظ حریم خصوصی فدرال ایالات متحده عبارتند از:

  • قانون حمل و نقل و پاسخگویی بیمه سلامت (HIPPA): این قانون مربوط به مدیریت مراقبت های بهداشتی در ایالات متحده است.
  • قانون حمایت از حریم خصوصی آنلاین کودکان (COPPA): این قانون به جمع آوری داده های آنلاین درباره کودکان زیر 13 سال در ایالات متحده می پردازد.
  • معاملات اعتباری منصفانه و دقیق (FACTA): این قانون به تعهد دفاتر اعتباری برای ارائه اطلاعات اعتباری و ابزارهای پیشگیری از کلاهبرداری برای شهروندان آمریکایی می پردازد.

دادن اطلاعات به مشتریان

قانون حفظ حریم خصوصی ایالات متحده چنین تصریح می کند که افراد حق دارند اطلاعاتی را که سازمان های فدرال درباره آنها دارند ، بدست آورند. برای ایجاد درخواست ، مردم با آژانس مربوطه تماس بگیرند. برای مشاغل خصوصی ، الزام سازمان برای ارائه سوابق به افراد ، به وجود قوانینی است که در مورد آن صنعت یا ایالت قابل اجرا است. باز هم ، بهترین مکان برای شروع احتمالاً قرار است وب سایت کمیسیون تجارت فدرال ایالات متحده باشد.

مجازات ها

قانون حفظ حریم خصوصی فدرال شامل مجازاتهایی است ، اما از آنجا که قانون حفظ حریم خصوصی فقط در مورد دولت فدرال ایالات متحده اعمال می شود که برای سایر سازمان ها اینگونه نیست. مجازاتهای نقض حریم خصوصی در آمریکا بستگی به این دارد که کدام عمل نقض شده است و چه مجازاتی در آن وجود دارد.

نظرات نهایی

میزان وقوع تلفات و تخریب داده ها طی چند سال گذشته نگران کننده است. بیشتر این تخلفات ممکن است زیرا سازمان ها فقط انتظار آن را ندارند. حملات باج افزار در مقیاس جهانی موفقیت آمیز است زیرا کارمندان هنوز بر روی لینک های مخرب در ایمیل کلیک می کنند. کسب و کارها به جای ساعتها امکان سفارش آنلاین خود را از دست می دهند ، زیرا نمی دانند وقتی وب سایتشان کاهش می یابد با چه کسی تماس بگیرند. همه این موارد را می توان با رمزگذاری ، پشتیبان گیری و برخی از دانش سیستم بسیار مرتبا کاهش داد.

اعتبار تصویر: "اینترنت سایبر" توسط Gerd Altmann تحت مجوز CC BY 2.0 مجاز است

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

+ 15 = 23

Adblock
detector