Ghid pentru întreprinderile mici pentru protecția datelor

Protecția datelor pentru întreprinderile mici.

Este practic imposibil să conduci astăzi orice fel de afaceri fără a genera sau colecta date. Unele dintre aceste date sunt date critice care sunt necesare pentru a menține viața afacerii, iar unele dintre ele vor fi, fără îndoială, date personale ale clienților.

Pentru a asigura sănătatea oricărei afaceri, trebuie abordate ambele puncte. Datele despre afaceri trebuie să fie disponibile și suficient de abundente pentru a susține activitățile afacerii, dar organizațiile au, de asemenea, obligația de a păstra datele despre clienți privați și siguri.

Dacă o întreprindere și-ar pierde propriile date, se poate găsi incapabil să efectueze operațiuni în mod eficient sau deloc. Este destul de rău, dar mai ales afectează doar afacerea în sine.

În schimb, dacă o afacere ar pierde datele clienților, asta ar putea duce la acțiune în justiție inclusiv investigații și amenzi guvernamentale, precum și cazuri civile și hotărâri mari prejudiciabile. Chiar și prețul acțiunilor unei companii poate fi afectat în mod negativ în urma unei încălcări a datelor publice. Acest articol tratează ambele aspecte.

Principiile protejării datelor

Datele nu apar doar; calatoreste. Datele sunt colectate undeva, sunt transferate din punctul de colectare într-un punct de stocare, sunt procesate într-un fel și călătoresc către puncte de acces, în funcție de necesitate. Acest proces poate fi foarte complicat sau poate fi foarte simplu. Un exemplu simplu este preluarea unei comenzi pe un site web de comerț electronic:

  1. adunat: Site-ul web colectează informații despre livrare personală și informații de plată pe pagina de plata.
  2. transferat: Aceste date sunt transferate pe serverul web și probabil stocate într-o bază de date de pe serverul respectiv.
  3. prelucrate: Aceste date pot fi procesate pentru a sprijini funcții auxiliare, cum ar fi decrementarea inventarului articolelor vândute sau pentru a genera pachete de ambalare.
  4. Accesat: Completatorii de comenzi trebuie să vizualizeze unele dintre aceste date pentru a îndeplini comanda și pentru a le pregăti pentru livrare.

În fiecare etapă a acestui proces, există oportunități de acces neautorizat sau pierdere de date. În continuare, de exemplu, magazinul de comerț electronic al site-ului web, iată câțiva pași de făcut, care pot ajuta la protejarea datelor respective.

Protejarea datelor în tranzit

Acest tip de date de ordine „tranzitează” de multe ori. Primul tranzit este de la browserul web al clientului la serverul web de comerț electronic. Contrar credinței comune, nu „vizităm” un site web, ci mai degrabă site-ul vine la noi. Paginile Web sunt descărcate pe computerele noastre unde interacționăm cu ele și trimitem date înapoi la serverul web.

În acest caz, în ultima etapă a completării datelor coșului de cumpărături, clientul a introdus informațiile despre cardul de credit pe propriul computer și atunci este transmis pe serverul web. Informațiile sensibile ale cărților de credit sunt trimise pe internet, care este un loc foarte neprietenos și periculos.

Datele în sine sunt inutile; acesta va fi de obicei transferat de multe ori în timpul vieții sale. Angajații pentru îndeplinirea comenzii trebuie să știe ce a fost comandat, companiile de transport maritim trebuie să știe numele și adresa clientului, companiile de carduri de credit trebuie să știe cât să încarce contul.

Este puțin probabil ca toate acestea să se întâmple într-un singur loc, ceea ce înseamnă că aceste informații sunt trimise într-un număr de locuri și, în unele cazuri, poate unor organizații terțe din afara organizației care au colectat datele în primul rând. Fiecare dintre aceste transferuri trebuie efectuate printr-o metodă securizată.

soluţii

Cel mai eficient mod de a proteja datele referitoare la acest tranzit este să vă asigurați că site-ul dvs. web folosește un certificat SSL și asta site-ul dvs. folosește protocolul HTTPS, cel puțin pe paginile care colectează date sensibile.

Acest pas asigură că datele aflate în tranzit între serverul dvs. web și browserul clientului dvs. sunt criptate pe măsură ce traversează internetul. Dacă datele sensibile ale clientului tău ar fi fost interceptate de un om rău, el nu ar putea să facă mare lucru cu asta, deoarece ar fi un blag criptat de gibris.

Dacă nu este posibil să utilizați criptarea SSL din anumite motive, puteți adăugați criptare la aproape orice transfer de date prin utilizarea unei rețele virtuale private (VPN). Există o serie de lucruri de care trebuie să țineți cont atunci când selectați un VPN pentru întreprinderi mici, astfel încât să plătiți să vă faceți cercetarea.

Pagina de start VPN de afaceri din Perimetrul 81.Perimetrul 81 este oferta SaferVPN dedicată întreprinderilor.

Există și alte modalități de a transfera date în siguranță, de exemplu prin criptarea fișierelor înainte de a trimite. Fișierele criptate pot fi trimise în siguranță prin e-mail ca atașament, deși datele sensibile nu trebuie trimise niciodată în corpul unui e-mail sau prin atașamente necriptate..

Metodele mai vechi, offline, cum ar fi faxurile, nu trebuie reduse. Mașinile de fax conectate la Sistemele Telefonice Plane Vechi (POTS) nu tranzitează internetul într-un mod ușor de urmărit și oferă mai multă securitate decât e-mailul. Este important să vă asigurați că se folosește un fax adevărat pe ambele capete; Serviciile moderne de „e-mail către fax” sau servicii de fax „bazate pe cloud” pot fi greu de diferențiat de conexiunile de fax POTS potrivite. Dezavantajul primului este că aceste servicii utilizează internetul pentru a transfera date care elimină avantajul lor pentru confidențialitate.

Securizarea informațiilor stocate

Odată ce datele au fost stocate undeva, acestea sunt considerate „în repaus”. Datele în repaus sunt stocate pe o formă de unitate de disc într-o bază de date, în fișiere individuale, cum ar fi documente PDF sau într-o mare varietate de alte formate. Atunci când aveți în vedere cum să vă protejați datele în repaus, formatul datelor poate fi important.

Există două moduri principale prin care datele în repaus pot fi accesate cu răutate. Un tip rău poate folosi mijloace legitime pentru a accesa datele cum ar fi furând o parolă de lucru de la un angajat prin phishing.

Sau mașina care stochează datele în sine poate fi atacată și conținutul discului copiat în altă parte pentru examinare ulterioară. Poate fi greu să scoți numele de utilizator și parolele în afara oamenilor; uneori este mult mai ușor să furi doar computerul de la recepție, în timp ce acesta este nesupravegheat.

Dacă datele sunt stocate online, cum ar fi într-un magazin de comerț electronic, poate fi mai ușor să ataci un alt site de pe server pentru a avea acces la sistemul de fișiere și copiați baza de date decât să încercați să ghicești parola unui administrator Magento.

Uneori, încălcarea datelor este o infracțiune de oportunitate - există cazuri de computere aruncate care conțin în continuare date sensibile pe hard disk-urile lor.

soluţii

Datele care nu sunt utilizate trebuie criptate până când este nevoie. Acest lucru funcționează bine pentru datele la care nu este nevoie să fie accesate des. Poate fi mai greu de gestionat pentru datele accesate de o mare varietate de persoane sau sisteme foarte frecvent.

Pentru a vă proteja împotriva accesului prin intermediul certificatelor de autentificare, persoanele legitime care accesează datele ar trebui utilizați parole puternice și conturi individuale. Mai multe persoane care folosesc același nume de utilizator și aceeași parolă fac totul, dar imposibil de stabilit cum sau când a avut loc încălcarea. Administratorii de parole fac extrem de ușor să creeze și să recupereze parole puternice, așa că nu mai există prea puține motive pentru a partaja parolele.

Manager de parolă adezivăParola Sticky este doar unul dintre marii manageri de parole gratuite disponibile.

Protejarea împotriva furtului unei mașini fizice sau a unei copii virtuale a datelor implică securitatea fizică și controlul accesului.

  1. Siguranță fizică: Nu lăsați niciodată laptopurile nesupravegheate. Mulți angajați consideră că un laptop corporativ nu este la fel de important ca și al lor, deoarece un laptop corporativ va fi înlocuit pur și simplu dacă este pierdut. Cu toate acestea, datele unui laptop al companiei nu pot avea prețuri și, odată pierdute, ar putea pune în pericol viitorul companiei. Calculatoarele desktop trebuie blocate fizic la ceva mare. Există o mare varietate de încuietori de calculator (cum ar fi încuietori Kensington) disponibile doar în acest scop. Toate discurile computerului, de pe laptopuri sau alte dispozitive, ar trebui să fie criptate pentru a face cât mai greu pentru un om rău să recupereze datele de la acesta.
  2. Controlul accesului: Atunci când este posibil, calculatoarele care prelucrează date sensibile și dispozitive de stocare trebuie păstrate într-o zonă restrânsă. Nu ar trebui să existe personalul non-IT cu acces fizic la serverele de stocare a fișierelor, de exemplu, astfel încât serverul să fie plasat într-o cameră încuiată. Dacă publicul larg este premisă ca parte a activităților normale de afaceri, atunci toate computerele și dispozitivele de stocare inutile ar trebui să fie eliminate din vederea publicului. Hoții pot fura mașini bancare întregi prin prăbușirea pereților cu un încărcător frontal. Cât de sigură este zona dvs. de recepție?

Protejarea datelor împotriva accesului neautorizat

Accesul neautorizat se referă la o persoană neautorizată care accesează datele. Aceasta ar putea însemna un tip rău care a reușit să se infiltreze în rețea sau ar putea însemna un angajat legitim care accesează date la care nu au dreptul. Există două concepte în lucru aici: autentificare și autorizare.

  1. Autentificare: Autentificarea presupune determinarea identificării unui utilizator, dar nu are nicio legătură cu ceea ce acea persoană are voie să facă. În cele mai multe cazuri, un nume de utilizator și o combinație de parole este oferit pentru a vă conecta la un sistem. Titularul acestui nume de utilizator și parolă este un angajat legitim și sistemul ar trebui să înregistreze în mod corespunzător că persoana s-a autentificat.
  2. Autorizare: Autorizarea are loc după autentificare. Autorizarea determină dacă unei persoane autentificate i se permite accesul la o resursă. Înainte de a stabili dacă un utilizator poate accesa o resursă, persoana trebuie să fie autentificată pentru a-i confirma identificarea.

Iată un exemplu pentru a ilustra: Nancy se conectează la stația de lucru și acum este un utilizator autentificat. Apoi trimite un document către o imprimantă de rețea și acesta tipărește deoarece este autorizată să utilizeze acea imprimantă. Nancy încearcă apoi să acceseze fișierele personalului companiei și i se refuză accesul, deoarece nu este autorizată să vizualizeze acele fișiere.

soluţii

Pentru a se asigura că procesele de autentificare și autorizare sunt eficiente, fiecare sistem informatic ar trebui să creeze jurnalele de audit. Jurnalele de audit oferă o cale pentru a permite anchetatorilor să se întoarcă în timp și să vadă cine s-a conectat la diverse sisteme și ce au încercat să facă în timp ce s-au conectat.

De asemenea, este important ca nimeni să nu partajeze numele de utilizator și parolele, așa cum am discutat mai sus. Dacă numele de utilizator și parolele sunt partajate între angajați, nu există nicio modalitate de a împiedica accesul neautorizat sau de a afla cine a accesat ce. Dacă toată lumea folosește același nume de utilizator, toată lumea este autentificată și acest nume de utilizator trebuie autorizat să facă totul.

Nume utilizatorÎn mod ideal, nimeni nu ar trebui să utilizeze numele de utilizator „admin”, deoarece este atât de ușor de ghicit.

Este inevitabil ca conversațiile despre controlul accesului să se axeze pe menținerea celor răi. Cu toate acestea, este la fel de important ca băieții buni să nu fie blocați. Dacă ajungeți într-o situație în care administratorii de sisteme sau alte persoane critice sunt blocate, acea situație se poate deteriora rapid, atunci când toată lumea este blocată și afacerea nu poate continua.

Fiecare sistem critic ar trebui să aibă cel puțin doi administratori sau un administrator și cel puțin o altă persoană care este competentă să desfășoare activități la nivel de administrator, dacă li se acordă datele de acreditare corecte.

Atenuarea riscurilor de pierdere a datelor

Impactul pierderii de date poate varia de la „nici măcar nu am observat” până la „Am fost chemat la o audiere a Congresului pentru a depune mărturie”. pierderea datelor de afaceri critice poate anula o afacere și să-i provoace daune operaționale ireparabile. În plus, pierderea de date poate provoca stânjeneală, poate duce la deteriorarea reputației unei companii și poate afecta drastic prețurile acțiunilor de ani de zile.

Termenul „pierdere” este folosit în acest sens pentru a însemna date care au fost distruse, nu date care au fost încălcate și dezvăluite în altă parte. Calculatoarele stochează date în moduri foarte rudimentare folosind magnetice, cipuri cu semiconductor sau „gropi” cu laser, în cea mai mare parte. Fiecare dintre aceste metode are zilele sale proaste și datele pot fi pur și simplu făcute și nerecuperabile.

Eroarea umană, cum ar fi suprascrierea fișierelor importante sau formatarea accidentală a unui hard disk poate distruge date pentru totdeauna. Calculatoarele sunt și ele nu este imun la dezastre fizice iar datele s-au pierdut din cauza sistemelor de stropire a incendiilor care inundă birouri sau tensiuni electrice care afectează unitățile dincolo de reparații.

În epoca micilor calculatoare, oamenii pierd stick-uri USB și își aruncă telefoanele în toalete zilnic. Într-un moment de neatenție, un singur angajat poate face clic pe un link rău intenționat într-un e-mail și poate lansa un atac mondial de ransomware care criptează ireversibil fiecare fișier.

Uneori nu se întâmplă nimic deloc și unitatea de disc ajunge doar la sfârșitul vieții sale și eșuează. Există literalmente o listă interminabilă de moduri în care datele pot fi distruse.

soluţii

Acceptarea faptului că pierderea de date este un risc inevitabil, este logic să vă asigurați că datele de siguranță sunt protejate. Crearea unui plan de rezervă fiabil folosit pentru a fi o artă arcane pe care numai administratorii de sisteme experimentați le-ar putea elimina. În cazuri extreme, acest lucru poate fi în continuare adevărat, dar în aceste zile aproape oricine poate achiziționa copii de rezervă off-site pentru câțiva dolari pe luna. Există câteva întrebări pe care doriți să le adresați companiilor de backup potențiale și veți dori, de asemenea, să vă asigurați că copiile de rezervă vor fi criptate..

Pagina de pornire iDriveiDrive este doar una dintre numeroasele opțiuni pentru backup și stocare în cloud,

Dacă informațiile dvs. sunt deosebit de sensibile sau dacă reglementările industriei dvs. nu permit backupuri cloud, există alte alternative.

Backup-urile care sunt păstrate pe site pot fi utile pentru tipurile de erori umane care necesită o rezolvare rapidă, cum ar fi restabilirea unui singur fișier. Cu toate acestea, backup-urile la fața locului nu vor face mare lucru pentru dvs. dacă biroul este inundat, există un incendiu sau copiile de rezervă sunt furate.

Ca atare, backup-urile în afara locului sunt o parte critică a oricărui plan de backup și, în timp ce serviciile de backup cloud sunt cel mai simplu mod de a realiza acest lucru, nu există niciun motiv pentru care angajații de încredere nu pot lua copii de rezervă criptate periodic. Rețineți că, odată ce datele părăsesc spațiul, trebuie totuși protejate criptarea puternică este crucială.

Este posibil ca industria dvs. să aibă legile privind păstrarea datelor, ceea ce înseamnă că ar trebui să păstrați date vechi pe care nu le mai utilizați pentru a fi conforme. Cu cât sunt păstrate mai multe date, cu atât sunt mai multe oportunități de distrugere. Prin urmare, datele de păstrare pe termen lung sunt un candidat ideal pentru stocarea în afara locului.

Protejarea dispozitivelor deținute de angajați

O preocupare generală care complică toate aspectele protejării datelor este proliferarea lucrătorilor la distanță sau a lucrătorilor cu dispozitive Bring Your Own Device (BYOD). Poate exista un avantaj pentru a permite munca la distanță, deoarece deschide bazinul de talente, astfel încât cei mai buni lucrători să poată fi angajați. De asemenea, crește numărul de locuri în care datele companiei pot fi pierdute sau compromise.

BYOD, și dispozitivele la distanță, în general, prezintă un risc de pierdere de date și scurgeri de date. Telefoanele și tabletele sunt mici și merg cu noi peste tot și sunt deseori pierdute sau deteriorate.

soluţii

În mod ideal, lucrătorii la distanță vor folosi Virtual Network Computing (VNC) pentru a accesa computerele de birou din birou. Chiar dacă lucrătorul la distanță nu va participa niciodată la birou, permițând accesul numai prin VNC asigură un control mai mare peste ceea ce poate face acel lucrător la distanță.

Serverele VNC pot fi configurate pentru a nu permite transferurile de fișiere și, deoarece VNC nu creează o conexiune de rețea reală, așa cum o face o VPN, computerul lucrătorului la distanță nu este niciodată conectat la rețeaua de lucru. Acest lucru poate ajuta la prevenirea răspândirii de malware în rețeaua de birou dacă computerul lucrătorului la distanță a fost infectat. Permiterea accesului printr-o conexiune VPN va oferi un acces mai ușor la mai multe resurse de birou, dar are și un risc mai mare de infecție și furt de date, deoarece computerul de la distanță va împărtăși de fapt rețeaua de birou într-un anumit grad..

Dacă permiteți BYOD, este o idee bună să implementați un sistem de gestionare a dispozitivelor mobile (MDM) care să poată face lucruri de genul ștergeți de la distanță toate datele din telefon și localizați telefonul dacă a dispărut.

Pagina de start ManageEngine Mobile Device Manager Plus.ManageEngine Manager dispozitive mobile Plus este un exemplu de software MDM.

De asemenea, este de dorit să folosești o soluție MDM care asigură segregarea datelor. Partajarea contactelor personale și personale în aceeași carte de adrese creează, de exemplu, un risc ridicat de scurgere a datelor, deoarece este ușor să selectați în mod incorect un contact personal ca destinatar și să trimiteți accidental informații sensibile ale companiei..

Planificare pentru indisponibilitatea datelor

În timpul desfășurării activității, pot exista momente în care biroul nu este disponibil. Evenimente mici, cum ar fi un incendiu în clădirea de birouri pot face ca biroul dvs. să fie inaccesibil pentru câteva zile. Evenimente de amploare, cum ar fi Uraganul Sandy din 2012, pot lua zone subterane ale unei clădiri de ani de zile.

Exercițiul de planificare pentru evenimente ca acesta se încadrează în conceptul de planificare a continuității afacerii (BCP). Planificarea BCP încearcă să răspundă la următoarea întrebare: „Cum ne-am desfășura afacerile dacă biroul / serverele / magazinul nostru nu erau disponibile pentru o perioadă lungă de timp?”

Soluţie

Copiile de rezervă în afara locului pot juca un rol important în planificarea BCP. Dacă există copii de rezervă existente în afara locului, atunci este posibil ca angajații să lucreze de acasă sau din alte locații la distanță folosind aceste date pentru a menține lucrurile. Alte considerente pot include numere de telefon failover care pot transmite telefonului mobil angajaților pentru a menține telefoanele deschise.

Știind cum să vă accesați datele

Aceasta poate părea o întrebare stupidă. Din păcate, putem demonstra din experiență că nu este. Multe întreprinderi mici s-au bazat pe mish-mash de terți pentru a avea grijă de datele lor de-a lungul anilor și, în unele cazuri, nu au idee unde este stocată vreuna din acestea. O parte a oricărui plan adecvat de prevenire a pierderilor de date este să știți de unde trebuie să începeți datele dvs..

Luați în considerare site-ul nostru simplu de comerț electronic din nou. La minimum, acesta are următoarele:

  1. Contul registratorului: Un registrator de domenii este o companie care vinde nume de domeniu. Numerele de domeniu ale dvs. sunt controlate de registratorul dvs. de domeniu. Serverele de nume sunt un element de control critic al site-ului dvs. web, așa că ar trebui să știți cine este acesta și să aveți acreditările contului.
  2. Cont de găzduire: Fișierele site-ului dvs. web se află fizic pe un server web undeva în lume. Compania care vă oferă acest serviciu este gazda dvs. web. Asigurați-vă că știți cine este gazda dvs. web și că aveți datele de autentificare ale contului.
  3. Cont de email: Gazda dvs. web poate să nu fie și gazda dvs. de e-mail. Multe companii utilizează furnizori terți de e-mail, precum Google. Asigurați-vă că știți unde se află e-mailul dvs. și că aveți datele de autentificare ale contului.
  4. Copiile de rezervă: Dacă aveți deja configurarea copiilor de rezervă, unde merg? Dacă nu aveți acces la ele și știți cum să restaurați fișierele, aceste copii de siguranță nu vă fac prea bine.

Aceleași tipuri de întrebări ar trebui să fie adresate despre toate sistemele de date până când veți înțelege destul de bine unde se află toate datele dvs. Încercarea de a găsi aceste informații în situații de urgență este cel mai rău moment.

Pe lângă nevoia practică de a cunoaște aceste lucruri, industria dvs. poate reglementa, de asemenea, regiunile geografice în care vi se permite stocarea datelor.

Considerații privind datele clienților în funcție de țară

De obicei, datele clienților au nevoie de o atenție specială. Este un lucru să pierdeți foile de calcul interne. Din punct de vedere legal, este cu totul altceva ca datele clientului tău să fie furate sau utilizate în mod necorespunzător. Peste 80 de țări au un fel de legislație privind confidențialitatea care se aplică întreprinderilor care colectează date despre clienți. Obligațiile fundamentale ale majorității acestor acte se referă la aceste puncte:

  1. Obțineți permisiunea de a colecta datele clienților înainte de a face acest lucru.
  2. Colectați cât mai puține informații.
  3. Folosiți datele în modul în care aveți permisiunea.
  4. Protejați informațiile împotriva accesului neautorizat.
  5. Puneți datele la dispoziția clienților dvs..

Iată o prezentare rapidă asupra stării generale a legislației privind confidențialitatea din SUA, Marea Britanie, Canada și Australia. Acesta oferă câteva indicii cu privire la tipul de organizații de protecție care trebuie să furnizeze datele clienților, precum și un sentiment al sancțiunilor pentru încălcări.

Australia

Ghid pentru întreprinderile mici pentru protecția datelor

La fel ca Canada și Marea Britanie, Australia are un act federal de confidențialitate numit în mod corespunzător Legea privind confidențialitatea. A fost adoptată pentru prima dată în 1988 și a fost modificată și extinsă de atunci. Actul se bazează pe conceptul de 13 Principii australiene de confidențialitate.

Legislație

Legea privind confidențialitatea a vizat inițial doar gestionarea informațiilor private de către agențiile guvernamentale și contractanții guvernamentali. De atunci, a fost extins pentru a acoperi și întreprinderile din sectorul privat.

Toate întreprinderile australiene cu vânzări totale de peste 3.000.000 AUD au obligații în baza actului de confidențialitate. O listă mică de întreprinderi, cum ar fi întreprinderile din domeniul sănătății și cele financiare, sunt de asemenea supuse actului, indiferent de vânzările totale.

Furnizarea informațiilor clienților

Principiul 12 din Legea privind confidențialitatea se referă la „Accesul și corectarea informațiilor personale”. Cu puține excepții, cererea unei persoane pentru informațiile sale personale trebuie furnizată, dar nu există un termen limită pentru a face acest lucru. Solicitările agenției trebuie gestionate în termen de 30 de zile, dar dacă solicitantul este o persoană, singura cerință este „să ofere acces la informații în modul solicitat de către persoana fizică, dacă este rezonabil și practic să o facă”.

Sancțiuni

Există diferite sancțiuni pentru încălcarea Legii privind confidențialitatea, în funcție de cât de grav este încălcarea. Valorile monetare pentru încălcări nu sunt menționate în legea privind confidențialitatea. Mai degrabă, încălcărilor li se atribuie un număr de unități de penalizare în funcție de gravitatea infracțiunii. Încălcările grave sunt atribuite 2.000 de unități de pedepse, în timp ce infracțiunile mai puțin grave sunt atribuite la numai 120 de unități de penalizare.

Secțiunea 4AA din Australian Crimes Act dictează valoarea unei unități de penalizare în dolari australieni și este actualizată din când în când. În prezent, o singură unitate de penalizare este de 210 AUD (sub rezerva indexării) ceea ce înseamnă că infracțiunile grave pot fi în intervalul de 420.000 AUD. În realitate, instanțele din Australia necesită uneori doar scuze.

Canada

Steagul canadian

Legislație

Normele federale din Canada privind protecția datelor pentru companii sunt cuprinse în Legea privind protecția informațiilor personale și documentele electronice (PIPEDA). Unele provincii precum Alberta, Columbia Britanică și Quebec au propriile lor acte provinciale de protecție a datelor, care sunt suficient de similare încât PIPEDA nu se aplică întreprinderilor din aceste provincii. Prin urmare, în funcție de ce provincie desfășurați afaceri, va trebui să vă familiarizați cu PIPEDA sau cu unul dintre următoarele acte legislative provinciale:

  • Alberta: Legea privind protecția informațiilor personale
  • Columbia Britanică: Legea privind protecția informațiilor personale
  • Quebec: * Legea cu privire la protecția informațiilor personale în
    sectorul privat *

În plus, Canada are o Lege separată privind confidențialitatea care controlează modul în care guvernul federal trebuie să gestioneze informațiile personale în cadrul agențiilor guvernamentale.

PIPEDA solicită organizațiilor să obțină consimțământul înainte de a colecta informații personale. Cu toate acestea, este interesant de menționat că PIPEDA nu se aplică persoanelor care colectează date cu caracter personal pentru uz personal sau organizațiilor care colectează informații personale pentru utilizare jurnalistică.

Oficiul comisarului pentru confidențialitate din Canada păstrează o imagine de ansamblu asupra diferitelor acte federale și provinciale din Canada privind confidențialitatea.

Furnizarea informațiilor clienților

Informațiile deținute de agențiile federale pot fi solicitate completând un formular de solicitare a informațiilor. Pentru a solicita informații personale deținute de un alt tip de organizație, contactați organizația respectivă. Biroul de avocatură provincial sau teritorial vă poate ajuta.

Sancțiuni

Infractorii PIPEDA se pot confrunta cu amenzi de până la 100.000 USD per încălcare pentru încălcarea cu bună știință a faptei.

Regatul Unit

Steagul britanic - union jackBandish britanic - union jack - Marea Britanie

Legislație

Actul de protecție federală al Regatului Unit este denumirea corectă a Legii privind protecția datelor. Spre deosebire de Canada, Legea privind protecția datelor din Marea Britanie se aplică deopotrivă atât afacerilor, cât și guvernului.

Furnizarea informațiilor clienților

Cetățenii din Marea Britanie au dreptul să afle ce informații are o organizație despre ei. Totuși, nu toate informațiile trebuie publicate. Datele care nu trebuie publicate includ informații despre:

  • informații despre cercetările penale
  • înregistrări militare
  • probleme fiscale sau
  • numiri judiciare și ministeriale

De asemenea, organizațiile pot percepe bani pentru a furniza aceste informații oamenilor. Site-ul Oficiului Comisarului pentru Informații din Marea Britanie poate oferi sfaturi și îndrumări, precum și investigarea reclamațiilor privind gestionarea datelor.

Sancțiuni

Legea privind protecția datelor din Marea Britanie prevede amenzi de până la 500.000 GBP și chiar urmărire penală pentru încălcări.

Statele Unite

Steagul SUA

Statele Unite sunt oarecum unice prin faptul că are legislație privind confidențialitatea la nivel federal mai puțin decât în ​​majoritatea celorlalte țări. În schimb, majoritatea actelor de confidențialitate din SUA sunt industriale sau de stat. Prin urmare, poate fi greu de descoperit legile care se pot aplica oricărei afaceri specifice. Un loc bun pentru început este pagina privind confidențialitatea și securitatea Comisiei federale a SUA pentru comerț.

Legislație

Legea privind confidențialitatea Statelor Unite din 1974 controlează modul în care informațiile pot fi colectate, utilizate și dezvăluite de agențiile federale. În parte, se precizează:

Nici o agenție nu trebuie să dezvăluie orice înregistrare conținută într-un sistem de înregistrări prin orice mijloc de comunicare către orice persoană sau către o altă agenție, cu excepția unei cereri scrise a persoanei sau cu acordul prealabil scris al persoanei fizice. este legată.

Actul enumeră apoi câteva excepții de la această directivă. Unele dintre ele, cum ar fi scutirea pentru „utilizarea de rutină” pot părea puțin largi în secolul XXI.

Cea mai mare parte a legilor privind confidențialitatea SUA sunt legate de industrii sau generate la nivel de stat. Prin urmare, este important ca o organizație să evalueze care declară că va fi considerată funcțională și, de asemenea, dacă există regulamente de confidențialitate specifice industriei care se aplică la orice nivel guvernamental.

Unele mari acte federale privind confidențialitatea SUA sunt:

  • Legea privind portabilitatea și responsabilitatea asigurărilor de sănătate (HIPPA): acest act se referă la administrarea asistenței medicale în SUA.
  • Legea privind protecția vieții private a copiilor (COPPA) pentru copii: acest act tratează colectarea online a datelor despre copiii sub 13 ani din SUA.
  • Tranzacții de credit echitabile și precise (FACTA): acest act tratează obligația birourilor de credit de a furniza informații despre credit și instrumente de prevenire a fraudei cetățenilor americani.

Furnizarea informațiilor clienților

Legea privind confidențialitatea SUA prevede că persoanele fizice au dreptul să obțină informațiile pe care organizațiile federale le au despre acestea. Pentru a face o solicitare, oamenii ar contacta agenția aplicabilă. Pentru întreprinderile private, cerința unei organizații de a furniza înregistrări persoanelor fizice s-ar baza pe existența legislației aplicabile industriei sau statului respectiv. Din nou, cel mai bun loc pentru a începe probabil va fi site-ul Comisiei Federale a Comerțului din Statele Unite.

Sancțiuni

Legea federală privind confidențialitatea conține penalități, dar din moment ce Legea privind confidențialitatea este aplicabilă numai guvernului federal al SUA, acest lucru nu este cazul altor organizații. Sancțiunile pentru încălcarea vieții private din SUA vor depinde de actul care a fost încălcat și ce sancțiuni sunt cuprinse în acesta.

Comentarii finale

Rata cu care s-au produs pierderi de date și încălcări în ultimii ani este alarmantă. Majoritatea acestor încălcări sunt posibile, deoarece organizațiile pur și simplu nu se așteaptă. Atacurile Ransomware la scară globală reușesc, deoarece angajații fac încă clic pe link-uri rău intenționate în e-mailuri. Întreprinderile își pierd capacitatea de comandă online timp de zile, în loc de ore, pentru că nu știu cu cine să contacteze când site-ul lor web se reduce. Toate acestea pot fi foarte bine atenuate cu criptare, copii de rezervă și unele cunoștințe de sistem.

Credit de imagine: „Internet Cyber” de Gerd Altmann licențiat sub CC BY 2.0

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

58 − = 49

Adblock
detector