Руководство для малого бизнеса по защите данных

Сегодня практически невозможно вести какой-либо бизнес без генерации или сбора данных. Некоторые из этих данных являются критически важными данными, необходимыми для поддержания жизнедеятельности бизнеса, а некоторые, несомненно, будут личными данными клиентов..

Чтобы гарантировать здоровье любого бизнеса, оба пункта должны быть обращены. Бизнес-данные должны быть доступными и достаточными для поддержки деятельности бизнеса, но организации также обязаны сохранять конфиденциальность и безопасность данных клиентов..

Если бизнес потеряет свои данные, он может оказаться не в состоянии эффективно выполнять операции или вообще. Это достаточно плохо, но в основном влияет только на сам бизнес.

Напротив, если бизнес потеряет данные своих клиентов, это может привести к судебному иску включая правительственные расследования и штрафы, а также гражданские дела и крупные ущербные решения. Даже нарушение публичных данных может негативно повлиять даже на цену акций компании. В этой статье рассматриваются оба аспекта.

Принципы защиты данных

Данные не просто появляются; это путешествует. Данные собираются где-то, передаются из точки сбора в точку хранения, обрабатываются каким-либо образом и перемещаются в точки доступа, необходимые бизнесу. Этот процесс может быть очень сложным или очень простым. Простой пример – принять заказ на сайте электронной коммерции:

1. собранный: Веб-сайт собирает личную информацию о доставке и информацию об оплате на странице оформления заказа.
2. Переданы: Эти данные передаются на веб-сервер и, вероятно, хранятся в базе данных на этом сервере.
3. Обработанный: Эти данные могут быть обработаны для поддержки вспомогательных функций, таких как уменьшение запасов проданных товаров или создание упаковочных листов.
4. Accessed: Исполнители заказа должны просмотреть некоторые из этих данных, чтобы выполнить заказ и подготовить его к доставке.

На каждом этапе этого процесса существуют возможности для несанкционированного доступа или потери данных. Продолжая работу с интернет-магазином в качестве примера, вот несколько шагов, которые могут помочь защитить эти данные..

Защита данных в пути

Этот тип данных заказа «проходит» много раз. Первый транзит осуществляется через веб-браузер клиента на веб-сервер электронной коммерции. Вопреки распространенному мнению, мы не «посещаем» веб-сайт, скорее веб-сайт приходит к нам. Веб-страницы загружаются на наши компьютеры, где мы взаимодействуем с ними и отправляем данные обратно на веб-сервер..

В этом случае на заключительном этапе заполнения данных корзины покупателя клиент вводит данные своей кредитной карты. на своем собственном компьютере и тогда это передается на веб-сервер. Эта конфиденциальная информация о кредитной карте отправляется через Интернет, что является очень недружественным и опасным местом.

Данные сами по себе бесполезны; обычно он переносится много раз за всю свою жизнь. Сотрудники для выполнения заказа должны знать, что было заказано, судоходные компании должны знать имя и адрес клиента, компании, выпускающие кредитные карты, должны знать, сколько нужно снять со счета..

Маловероятно, что все это происходит в одном месте, что означает, что эта информация отправляется в несколько мест, а в некоторых случаях, возможно, в сторонние организации за пределами организации, которая собирала данные в первую очередь. Каждый из этих переводов должен быть выполнен защищенным способом.

Решения

Самый эффективный способ защитить данные на этом этапе транзита – это убедиться, что ваш сайт использует SSL-сертификат и что ваш сайт использует протокол HTTPS, по крайней мере, на страницах, которые собирают конфиденциальные данные.

Этот шаг гарантирует, что данные, передаваемые между вашим веб-сервером и браузером вашего клиента, шифруются, когда они пересекают Интернет. Если злоумышленник перехватит конфиденциальные данные вашего клиента, он не сможет ничего с этим поделать, потому что это будет зашифрованный бред.

Если по какой-либо причине невозможно использовать SSL-шифрование, вы можете добавить шифрование практически к любой передаче данных с помощью виртуальной частной сети (VPN). При выборе VPN для малого бизнеса необходимо учитывать ряд факторов.

Периметр 81 – предложение SaferVPN, предназначенное для бизнеса.

Есть и другие способы безопасной передачи данных, например, шифрование файлов перед отправкой. Зашифрованные файлы можно безопасно отправлять по электронной почте в виде вложения, хотя конфиденциальные данные никогда не следует отправлять в теле письма или через незашифрованные вложения.

Старые, автономные методы, такие как факсы, не следует сбрасывать со счетов. Факсимильные аппараты, подключенные к обычным старым телефонным системам (POTS), не проходят через Интернет легко отслеживаемым способом и обеспечивают большую безопасность, чем электронная почта. Важно быть уверенным, что настоящий факсимильный аппарат используется на обоих концах; Современные услуги «электронной почты по факсу» или «облачные» факсимильные услуги трудно отличить от надлежащих соединений POTS для факса. Недостатком первого является то, что эти службы используют Интернет для передачи данных, что исключает их преимущество в конфиденциальности.

Защита хранимой информации

Когда данные хранятся где-то, они считаются «в состоянии покоя». Данные в состоянии покоя хранятся на дисках некоторой формы в базе данных, в отдельных файлах, таких как документы PDF, или во множестве других форматов. При рассмотрении вопроса о том, как защитить ваши данные в состоянии покоя, формат данных может иметь важное значение..

Существует два основных способа злонамеренного доступа к данным в состоянии покоя. Плохой парень может использовать законные средства для доступа к данным, такие как украсть рабочий пароль от сотрудника через фишинг.

Либо компьютер, на котором хранятся данные, может быть атакован, а содержимое диска скопировано в другое место для последующего изучения. Это может быть трудно вырвать имена пользователей и пароли из людей; иногда гораздо проще украсть весь компьютер на стойке регистрации, пока он находится без присмотра.

Если данные хранятся в Интернете, например, в интернет-магазине, может быть проще атаковать другой сайт на сервере, чтобы получить доступ к файловой системе и скопировать базу данных чем попытаться угадать пароль администратора Magento.

Иногда утечка данных – это преступление, связанное с возможностью – существуют случаи, когда отказавшиеся компьютеры все еще содержат конфиденциальные данные на своих жестких дисках..

Решения

Данные, которые не используются, должны быть зашифрованы до тех пор, пока они не понадобятся. Это хорошо работает с данными, к которым нет необходимости часто обращаться. Может быть сложнее управлять данными, к которым очень часто обращаются самые разные люди или системы.

Чтобы защитить от доступа через учетные данные, законные люди, имеющие доступ к данным, должны используйте надежные пароли и индивидуальные учетные записи. Несколько человек, использующих одно и то же имя пользователя и пароль, практически не могут определить, как и когда произошло нарушение. Менеджеры паролей позволяют чрезвычайно легко создавать и извлекать надежные пароли, поэтому больше нет причин делиться паролями.

Sticky Password – один из лучших бесплатных менеджеров паролей.

Защита от кражи физического компьютера или виртуальной копии данных требует физической безопасности и контроля доступа.

1. Физическая охранаНикогда не оставляйте ноутбуки без присмотра. Многие сотрудники считают, что корпоративный ноутбук не так важен, как их собственный, потому что корпоративный ноутбук просто заменит в случае его утери. Тем не менее, данные на ноутбуке компании могут быть бесценными и, потеряв их, могут поставить под угрозу будущее компании. Настольные компьютеры должны быть физически привязаны к чему-то большому. Для этой цели доступно большое количество компьютерных замков (таких как замки Kensington). Все компьютерные диски на ноутбуках и других устройствах должны быть зашифрованы, чтобы злоумышленнику было как можно сложнее восстановить данные с него..
2. Контроль доступаПо возможности компьютеры, на которых обрабатываются конфиденциальные данные, и устройства хранения должны находиться в запретной зоне. Например, не должно быть не ИТ-персонала, имеющего физический доступ к серверам хранения файлов, поэтому сервер следует размещать в закрытой комнате. Если широкая публика находится в помещении как часть обычной деловой деятельности, то все ненужные компьютеры и устройства хранения данных должны быть удалены из общего доступа. Воры могут украсть целые банковские автоматы, врезавшись в стены с помощью фронтального погрузчика. Насколько безопасна ваша стойка регистрации??

Защита данных от несанкционированного доступа

Несанкционированный доступ относится к неавторизованному лицу, осуществляющему доступ к данным. Это может означать плохого парня, которому удалось проникнуть в сеть, или это может означать, что законный сотрудник имеет доступ к данным, на которые у них нет прав. Здесь работают две концепции: аутентификация и авторизация.

1. Аутентификация: Аутентификация включает определение личности пользователя, но не имеет ничего общего с тем, что ему разрешено делать. В большинстве случаев для входа в систему предоставляется комбинация имени пользователя и пароля. Владелец этого имени пользователя и пароля является законным сотрудником, и система должна надлежащим образом зафиксировать, что человек вошел в систему..
2. Авторизация: Авторизация происходит после аутентификации. Авторизация определяет, разрешено ли авторизованному лицу получить доступ к ресурсу. Прежде чем определить, может ли пользователь получить доступ к ресурсу, человек должен пройти аутентификацию, чтобы подтвердить свою идентификацию.

Вот пример для иллюстрации: Нэнси входит в систему на своей рабочей станции и теперь является аутентифицированным пользователем. Затем она отправляет документ на сетевой принтер, и он печатает, потому что она имеет право использовать этот принтер. Затем Нэнси пытается получить доступ к файлам персонала компании, и ей отказывают в доступе, потому что она не авторизована для просмотра этих файлов..

Решения

Для обеспечения эффективности процессов аутентификации и авторизации, каждая компьютерная система должна создавать журналы аудита. Журналы аудита предоставляют следователям возможность вернуться в прошлое и посмотреть, кто вошел в различные системы и что они пытались сделать во время входа в систему..

Также важно, чтобы никто не разделял имена пользователей и пароли, как обсуждалось выше. Если имена пользователей и пароли совместно используются сотрудниками, невозможно предотвратить несанкционированный доступ или узнать, кто к чему получал доступ. Если все используют одно и то же имя пользователя, все проходят проверку подлинности, и это имя пользователя должно быть авторизовано, чтобы делать все.

В идеале никто не должен использовать имя пользователя «admin», так как это легко угадать.

Неизбежно, что разговоры об управлении доступом направлены на то, чтобы не допустить плохих парней. Тем не менее, это не менее важно, чтобы хорошие парни не были заперты. Если вы окажетесь в ситуации, когда системные администраторы или другие критичные люди заблокированы, эта ситуация может быстро ухудшиться, так как все будут заблокированы, а бизнес не сможет продолжать свою деятельность..

Каждая критическая система должна иметь как минимум двух администраторов или одного администратора и хотя бы еще одного человека, который может выполнять действия на уровне администратора, если ему предоставлены правильные учетные данные.

Снижение рисков потери данных

Последствия потери данных могут варьироваться от «даже не замечали» вплоть до «меня вызвали на слушания в Конгрессе для дачи показаний». потеря важных бизнес-данных может нанести вред бизнесу и нанести ему непоправимый операционный ущерб. Кроме того, потеря данных может вызвать смущение, нанести ущерб репутации компании и даже радикально повлиять на цены акций в течение многих лет..

Термин «потеря» используется в этом смысле для обозначения данных, которые были уничтожены, а не данных, которые были взломаны и раскрыты в других местах. Компьютеры хранят данные очень элементарно, используя магниты, полупроводниковые чипы или лазерные «ямы», по большей части. У каждого из этих методов есть свои плохие дни, и данные могут быть просто искажены и невосстановимы.

Человеческая ошибка, такая как перезапись важных файлов или случайное форматирование жесткого диска, также может навсегда уничтожить данные. Компьютеры также не застрахован от физических бедствий и данные были потеряны из-за пожарных спринклерных систем, затопляющих офисы или электрических скачков, повреждающих диски не подлежащие ремонту.

В эпоху небольших компьютеров люди теряют USB-флешки и ежедневно бросают свои телефоны в туалеты. В момент невнимания один сотрудник может щелкнуть вредоносную ссылку в электронном письме и запустить всемирную атаку-вымогателей, которая необратимо шифрует каждый файл..

Иногда ничего не происходит, и диск просто подходит к концу и выходит из строя. Существует буквально бесконечный список способов уничтожения данных.

Решения

Принимая во внимание тот факт, что потеря данных является неизбежным риском, имеет смысл обеспечить резервное копирование критических данных. Создание надежного плана резервного копирования было непростым делом, которое могли выполнять только опытные системные администраторы. В крайних случаях это все еще может быть правдой, но в наши дни почти любой желающий может приобрести резервные копии за несколько долларов в месяц. Есть несколько вопросов, которые вы хотите задать потенциальным компаниям, занимающимся резервным копированием, и вы также хотите быть уверены, что ваши резервные копии будут зашифрованы.

iDrive – это только один из множества вариантов облачного резервного копирования и хранения.,

Если ваша информация является особенно конфиденциальной, или ваши отраслевые правила не допускают резервного копирования в облако, есть другие альтернативы.

Резервные копии, которые хранятся на сайте, могут быть полезны для ситуаций, связанных с человеческими ошибками, которые требуют быстрого исправления, например восстановления одного файла. Однако резервное копирование на месте мало что даст вам, если офис затоплен, возник пожар или украдены резервные копии..

Таким образом, резервные копии за пределами площадки являются важной частью любого плана резервного копирования, и, хотя облачные службы резервного копирования являются самым простым способом достижения этого, нет никаких причин, по которым доверенные сотрудники не могут периодически забирать зашифрованные резервные копии домой. Имейте в виду, что, как только данные покидают помещение, они все равно должны быть защищены, поэтому решающее значение имеет надежное шифрование.

В вашей отрасли также могут быть законы о хранении данных, что означает, что вам может потребоваться сохранить старые данные, которые вы больше не используете, чтобы быть совместимыми. Чем дольше хранятся данные, тем больше возможностей их уничтожить. Таким образом, данные для долгосрочного хранения являются идеальным кандидатом для внешнего хранения..

Защита принадлежащих сотрудникам устройств

Главной проблемой, которая усложняет все аспекты защиты данных, является распространение удаленных сотрудников или сотрудников, использующих устройства Bring Your Own Device (BYOD). Преимущество удаленной работы может быть преимуществом, так как это открывает пул талантов и позволяет нанимать лучших работников. Это также увеличивает количество мест, где данные компании могут быть потеряны или скомпрометированы.

BYOD и удаленные устройства в целом несут риск потери данных и их утечки. Телефоны и планшеты маленькие и ходят с нами везде, и они часто теряются или повреждаются.

Решения

В идеале удаленные работники будут использовать Virtual Network Computing (VNC) для доступа к своим рабочим столам в офисе. Даже если удаленный работник никогда не будет посещать офис, предоставляя доступ только через VNC обеспечивает больший контроль над тем, что может сделать этот удаленный работник.

Серверы VNC могут быть настроены так, чтобы запретить передачу файлов, и поскольку VNC не создает фактическое сетевое соединение, как VPN, компьютер удаленного работника никогда не подключается к рабочей сети. Это может помочь предотвратить распространение вредоносного ПО в офисную сеть, если компьютер удаленного работника заразился. Разрешение доступа через VPN-соединение обеспечит более легкий доступ к большему количеству офисных ресурсов, но также имеет более высокий риск заражения и кражи данных, поскольку удаленный компьютер в некоторой степени фактически будет совместно использовать офисную сеть..

Если вы разрешаете BYOD, рекомендуется внедрить систему управления мобильными устройствами (MDM), которая может удаленно стереть все данные с телефона и найдите телефон, если он пропал.

ManageEngine Mobile Device Manager Plus является одним из примеров программного обеспечения MDM.

Также желательно использовать решение MDM, которое обеспечивает разделение данных. Например, обмен рабочими и личными контактами в одной и той же адресной книге создает высокий риск утечки данных, поскольку легко ошибочно выбрать личный контакт в качестве получателя и случайно отправить конфиденциальную информацию о компании..

Планирование недоступности данных

В ходе работы могут быть случаи, когда офис недоступен. Небольшие события, такие как пожар в офисном здании, могут сделать ваш офис недоступным на несколько дней. Крупные события, такие как ураган «Сэнди» в 2012 году, могут вывести подземные участки здания на годы.

Планирование подобных мероприятий подпадает под концепцию планирования непрерывности бизнеса (BCP). Планирование BCP пытается ответить на следующий вопрос: «Как мы будем вести бизнес, если наш офис / серверы / магазин будут недоступны в течение длительного периода времени?»

Решение

Внешнее резервное копирование может сыграть большую роль в планировании BCP. Если существуют текущие резервные копии за пределами площадки, сотрудники могут работать из дома или из других удаленных мест, используя эти данные для обеспечения непрерывной работы. Другие соображения могут включать отказоустойчивые телефонные номера, которые могут перенаправлять на мобильные телефоны сотрудников, чтобы телефоны оставались открытыми..

Зная, как получить доступ к вашим данным

Это может показаться глупым вопросом. К сожалению, по опыту мы можем подтвердить, что это не так. Многие малые предприятия полагаются на кучу сторонних организаций, которые присматривают за своими данными на протяжении многих лет, и в некоторых случаях не имеют ни малейшего представления, где они хранятся. Частью любого правильного плана предотвращения потери данных является знание того, где ваши данные должны начинаться с.

Рассмотрим наш простой сайт электронной коммерции еще раз. Как минимум, он имеет следующее:

1. Счет регистратора: Регистратор доменов – это компания, которая продает доменные имена. Серверы имен вашего домена контролируются вашим регистратором доменов. Серверы имен являются важным элементом управления вашего сайта, поэтому вы должны знать, кто это, и иметь учетные данные.
2. Хостинг аккаунт: Файлы вашего сайта физически находятся на веб-сервере в любой точке мира. Компания, предоставляющая вам эту услугу, является вашим веб-хостингом. Убедитесь, что вы знаете, кто ваш веб-хостинг и что у вас есть учетные данные.
3. Адрес электронной почты: Ваш веб-хостинг также не может быть вашим почтовым хостом. Многие компании используют сторонних поставщиков электронной почты, таких как Google. Убедитесь, что вы знаете, где находится ваша электронная почта, и что у вас есть учетные данные.
4. Резервные копии: Если у вас уже есть настройки резервного копирования, куда они идут? Если у вас нет доступа к ним и вы знаете, как восстановить файлы, эти резервные копии не принесут вам пользы..

Одни и те же типы вопросов следует задавать обо всех ваших системах данных, пока вы не получите достаточно четкое представление о том, где находятся все ваши данные. Попытка найти эту информацию в экстренной ситуации – худшее время.

Помимо практической необходимости знать эти вещи, ваша отрасль может также регулировать географические регионы, где вам разрешено хранить данные.

Данные о клиентах по странам

Данные клиента обычно требуют особого внимания. Одно дело потерять свои внутренние таблицы. Юридически, это совсем другое дело, когда данные ваших клиентов будут украдены или использованы не по назначению. Более 80 стран имеют своего рода законодательство о конфиденциальности, которое применяется к предприятиям, которые собирают данные о клиентах. Основные обязательства большинства из этих актов сводятся к следующим пунктам:

1. Получите разрешение на сбор данных о клиентах, прежде чем делать это.
2. Соберите как можно меньше информации.
3. Используйте данные так, как у вас есть разрешение на.
4. Защита информации от несанкционированного доступа.
5. Сделайте данные доступными для ваших клиентов.

Вот очень краткий обзор общего законодательства о конфиденциальности в США, Великобритании, Канаде и Австралии. Это дает некоторые подсказки относительно того, какой тип защиты организации должны предоставлять для данных клиентов, а также дает представление о наказаниях за нарушения..

Австралия

Так же, как в Канаде и Великобритании, в Австралии действует федеральный закон о конфиденциальности, названный Актом о конфиденциальности. Впервые он был принят в 1988 году, и с тех пор в него были внесены изменения и дополнения. Акт основан на концепции 13 принципов конфиденциальности Австралии.

законодательство

Первоначально Закон о конфиденциальности охватывал только обработку частной информации государственными органами и государственными подрядчиками. С тех пор он был распространен также на предприятия частного сектора..

Все австралийские предприятия с общим объемом продаж более 3 000 000 австралийских долларов имеют обязательства в соответствии с законом о конфиденциальности. Небольшой список предприятий, таких как здравоохранение и финансовый бизнес, также подлежат действию независимо от общего объема продаж..

Предоставление клиентам их информации

Принцип 12 Закона о конфиденциальности касается «Доступа к личной информации и ее исправления». За редкими исключениями должен быть предоставлен запрос лица на получение его личной информации, но не установлен установленный срок для этого. Запросы агентства должны быть обработаны в течение 30 дней, но если податель запроса является лицом, то единственное требование – «предоставить доступ к информации способом, запрошенным лицом, если это целесообразно и практически осуществимо».

Штрафы

Существуют различные санкции за нарушение Закона о конфиденциальности, в зависимости от того, насколько серьезным является нарушение. Денежные ценности за нарушения не указаны в Законе о конфиденциальности. Скорее за нарушения назначается ряд штрафных единиц в зависимости от степени тяжести преступления. За серьезные нарушения назначается 2000 штрафных единиц, а за менее серьезные правонарушения назначается всего 120 штрафных единиц..

Раздел 4AA Закона об австралийских преступлениях определяет стоимость штрафа в австралийских долларах и время от времени обновляется. В настоящее время единица штрафа составляет 210 австралийских долларов (подлежит индексации), что означает, что серьезные нарушения могут быть в диапазоне 420 000 австралийских долларов. На самом деле, суды в Австралии иногда требуют только извинения.

Канада

законодательство

Канадские федеральные правила защиты данных для предприятий содержатся в Законе о защите персональных данных и электронных документов (PIPEDA). В некоторых провинциях, таких как Альберта, Британская Колумбия и Квебек, действуют свои собственные законы о защите данных провинций, которые достаточно схожи, так что PIPEDA не распространяется на предприятия в этих провинциях. Поэтому, в зависимости от того, в какой провинции вы ведете бизнес, вам необходимо ознакомиться с PIPEDA или одним из следующих провинциальных законодательных актов:

• Альберта: Закон о защите личной информации
• Британская Колумбия: Закон о защите личной информации
• Квебек: * Закон о защите личной информации в
  Частный сектор *

Кроме того, в Канаде действует отдельный закон о конфиденциальности, который контролирует, как федеральное правительство должно обрабатывать личную информацию в государственных учреждениях..

PIPEDA требует, чтобы организации получили согласие до сбора личной информации. Тем не менее, интересно отметить, что PIPEDA не применяется к лицам, которые собирают личные данные для личного использования, или к организациям, которые собирают личные данные для журналистского использования..

Офис Уполномоченного по вопросам конфиденциальности в Канаде ведет обзор различных канадских федеральных и провинциальных законов о конфиденциальности.

Предоставление клиентам их информации

Информацию, хранящуюся в федеральных агентствах, можно запросить, заполнив форму запроса информации. Чтобы запросить личную информацию, принадлежащую организации другого типа, свяжитесь с этой организацией. Офис омбудсмена провинции или территории может помочь.

Штрафы

Нарушители PIPEDA могут быть оштрафованы на сумму до 100 000 долларов за нарушение за умышленное нарушение закона..

Соединенное Королевство

законодательство

Федеральный закон о защите Соединенного Королевства называется «Законом о защите данных». В отличие от Канады, Закон Великобритании о защите данных распространяется как на бизнес, так и на правительство..

Предоставление клиентам их информации

Граждане Великобритании имеют право узнать, какая информация о них имеется в организации. Не вся информация должна быть выпущена все же. Данные, которые не должны быть опубликованы, включают информацию о:

• информация о уголовных расследованиях
• военные записи
• налоговые вопросы или
• судебные и министерские назначения

Организации также могут брать деньги за предоставление этой информации людям. Веб-сайт Офиса Уполномоченного по вопросам информации в Великобритании может предоставить рекомендации и рекомендации, а также расследовать жалобы по обработке данных.

Штрафы

Закон Великобритании о защите данных предусматривает штрафы до 500 000 фунтов стерлингов и даже судебное преследование за нарушения.

Соединенные Штаты

Соединенные Штаты несколько уникальны тем, что в них действует меньше законов о конфиденциальности на федеральном уровне, чем в большинстве других стран. Вместо этого большинство законов о конфиденциальности в США являются отраслевыми или государственными. Поэтому может быть трудно обнаружить законы, которые могут применяться к любому конкретному бизнесу. Хорошее место для начала – страница конфиденциальности и безопасности Федеральной торговой комиссии США..

законодательство

Федеральный закон США о конфиденциальности 1974 года регулирует порядок сбора, использования и раскрытия информации федеральными агентствами. Отчасти в нем говорится:

Ни одно агентство не должно раскрывать какую-либо запись, которая содержится в системе записей, с помощью любых средств связи с любым лицом или другим агентством, кроме как по письменному запросу или с предварительного письменного согласия лица, которому эта запись относится.

Затем в акте перечисляются несколько исключений из этой директивы. Некоторые из них, такие как освобождение от «рутинного использования», могут показаться немного широкими в 21 веке.

Большая часть законов США о неприкосновенности частной жизни связана с отраслями промышленности или создается на уровне штатов. Поэтому для организации важно оценить, в каких штатах она будет считаться действующей, а также на наличие каких-либо отраслевых правил конфиденциальности, которые применяются на любом правительственном уровне..

Некоторые крупные федеральные законы о конфиденциальности США:

• Закон о мобильности и подотчетности медицинского страхования (HIPPA): этот закон касается управления здравоохранением в США..
• Закон о защите конфиденциальности детей в Интернете (COPPA): этот закон касается сбора данных о детях в возрасте до 13 лет в США..
• Справедливые и точные кредитные операции (FACTA): этот закон касается обязательства кредитных бюро предоставлять кредитную информацию и инструменты предотвращения мошенничества гражданам США..

Предоставление клиентам их информации

Закон о конфиденциальности США предписывает, что люди имеют право получать информацию о них, которую имеют федеральные организации. Чтобы сделать запрос, люди должны связаться с соответствующим агентством. Для частных предприятий требование к организации предоставлять физическим лицам записи будет зависеть от наличия законодательства, применимого к этой отрасли или государству. Опять же, лучше всего начать с сайта Федеральной торговой комиссии США..

Штрафы

Федеральный закон о конфиденциальности содержит штрафные санкции, но поскольку закон о конфиденциальности применим только к федеральному правительству США, что не относится к другим организациям. Наказания за нарушения конфиденциальности в США будут зависеть от того, какой акт был нарушен и какие в нем предусмотрены штрафы..

Заключительные комментарии

Уровень, с которым потери данных и нарушения произошли за последние несколько лет, вызывает тревогу. Большинство из этих нарушений возможны, потому что организации просто не ожидают этого. Атаки вымогателей в глобальном масштабе успешны, потому что сотрудники все еще щелкают вредоносные ссылки в электронных письмах. Предприятия теряют возможность онлайн-заказов в течение нескольких дней, а не часов, потому что они не знают, к кому обратиться, когда их веб-сайт не работает. Все это может быть очень аккуратно смягчено с помощью шифрования, резервного копирования и некоторых системных знаний..

Изображение предоставлено: «Интернет-кибер» Герда Альтмана, лицензированный по CC BY 2.0