Ръководство за малък бизнес за защита на данните

Днес е практически невъзможно да управлявате какъвто и да е вид бизнес без генериране или събиране на данни. Някои от тези данни са критични данни, необходими за поддържане на живота на бизнеса, а някои от тях безспорно ще бъдат лични данни за клиенти.

За да се гарантира здравето на всеки бизнес, трябва да бъдат разгледани и двете точки. Бизнес данните трябва да са на разположение и достатъчно изобилни, за да поддържат дейностите на бизнеса, но организациите също имат задължение да пазят личните и сигурни данни за клиентите..

Ако бизнесът загуби собствените си данни, той може да се окаже сам не е в състояние да извършва операции ефективно или въобще. Това е достатъчно лошо, но най-вече се отразява само на самия бизнес.

За разлика от това, ако бизнесът загуби данните на своите клиенти, това би могло водят до съдебни действия включително държавни разследвания и глоби, както и граждански дела и големи вредни съдебни решения. Дори цената на акциите на компанията може да бъде повлияна неблагоприятно след нарушаване на публичните данни. Тази статия се занимава и с двата аспекта.

Принципи на защита на данните

Данните не се появяват просто; тя пътува. Данните се събират някъде, прехвърлят се от точката за събиране в точка за съхранение, обработват се по някакъв начин и се придвижват до точки за достъп според нуждите на бизнеса. Този процес може да бъде много сложен или може да бъде много прост. Прост пример е да направите поръчка на уебсайт за електронна търговия:

1. Събран: Уебсайтът събира лична информация за доставка и информация за плащане на страницата за плащане.
2. Прехвърлена: Тези данни се прехвърлят към уеб сървъра и вероятно се съхраняват в база данни на този сървър.
3. обработен: Тези данни могат да бъдат обработвани, за да поддържат допълнителни функции като декрементиране на инвентара на продадените артикули или за генериране на фишове за опаковане.
4. ползван: Пълнителите за поръчки трябва да прегледат някои от тези данни, за да изпълнят поръчката и да я подготвят за доставка.

Във всяка стъпка от този процес има възможности за неоторизиран достъп или загуба на данни. Продължавайки с уебсайта за електронна търговия на уебсайтове като пример, ето няколко стъпки, които трябва да предприемете, които могат да ви помогнат да защитите тези данни.

Защита на данните в транзит

Този тип данни за поръчка „преминават“ много пъти. Първият транзит е от уеб браузъра на клиента до уеб сървъра за електронна търговия. Противно на общоприетото мнение, ние не „посещаваме“ уебсайт, а по-скоро уебсайтът идва при нас. Уеб страниците се изтеглят на нашите компютри, където взаимодействаме с тях и изпращаме данни обратно към уеб сървъра.

В този случай, в последната стъпка за попълване на данните от пазарската количка, клиентът е въвел информация за кредитната си карта на собствения си компютър и тогава е така предавани на уеб сървъра. Тази чувствителна информация за кредитната карта се изпраща по интернет, което е много неприязнено и опасно място.

Данните сами по себе си са безполезни; той обикновено ще бъде прехвърлен много пъти през живота си. Служителите, за да изпълнят поръчката, трябва да знаят какво е поръчано, транспортните компании трябва да знаят името и адреса на клиента, компаниите за кредитни карти трябва да знаят колко да таксуват сметката.

Малко вероятно е всичко това да се случи на едно място, което означава, че тази информация се изпраща на редица места, а в някои случаи може би и на организации на трети страни извън организацията, които са събрали данните на първо място. Всеки от тези преводи трябва да се извърши по защитен метод.

Solutions

Най-ефективният начин за защита на данните на този транзитен участък е да се гарантира, че вашият уебсайт използва SSL сертификат и това вашият сайт използва HTTPS протокола, поне на страници, които събират чувствителни данни.

Тази стъпка гарантира, че данните, преминаващи между вашия уеб сървър и браузъра на вашия клиент, са криптирани, когато преминават през интернет. Ако чувствителните данни на клиента ви бяха прихванати от недобросъвестен човек, той няма да може да се справи много с него, защото това би било криптирано петно ​​от глупости.

Ако по някаква причина не е възможно да използвате SSL криптиране, можете добавете криптиране към почти всеки трансфер на данни чрез използване на виртуална частна мрежа (VPN). Има няколко неща, които трябва да вземете предвид при избора на VPN за малък бизнес, така че си струва да направите вашите изследвания.

Периметър 81 е предложението на SaferVPN, посветено на бизнеса.

Има и други начини за сигурно прехвърляне на данни, например чрез криптиране на файлове преди изпращане. Шифрованите файлове могат безопасно да бъдат изпращани по имейл като прикачен файл, въпреки че чувствителните данни никога не трябва да се изпращат в тялото на имейл или чрез нешифровани прикачени файлове.

По-старите, офлайн методи като факсове не трябва да се отхвърлят. Факс апарати, свързани с обикновените стари телефонни системи (POTS), не преминават през интернет по лесно проследяем начин и не осигуряват повече сигурност от електронната поща. Важно е да сте сигурни, че истинският факс апарат се използва от двата края; съвременните услуги за „имейл до факс“ или „базирани на облак“ факс услуги могат да бъдат трудно различими от правилните факс връзки POTS. Недостатъкът на първите е, че тези услуги използват интернет за пренос на данни, което елиминира предимството им за поверителност.

Осигуряване на запаметена информация

След като данните са съхранени някъде, се считат за „в покой“. Данните в покой се съхраняват в някаква форма на дисково устройство в база данни, в отделни файлове като PDF документи или в голямо разнообразие от други формати. Когато обмисляте как да защитите данните си в покой, форматът на данните може да бъде важен.

Има два основни начина, по които могат да се получат злонамерени данни в покой. Лош човек може да използва законни средства за достъп до данните като кражба на работеща парола от служител чрез фишинг.

Или машината, съхраняваща самите данни, може да бъде атакувана и съдържанието на диска да се копира на друго място за проверка по-късно. Потребителските имена и пароли могат да бъдат трудни за разчитане на хора; понякога е много по-лесно просто да откраднеш целия компютър от рецепцията, докато той е без надзор.

Ако данните се съхраняват онлайн, например в магазина за електронна търговия, може да е по-лесно да атакувате друг сайт на сървъра, за да получите достъп до файловата система и копирайте базата данни отколкото се опитвайте да познаете паролата на администратора на Magento.

Понякога нарушаването на данните е престъпление на възможности – има случаи на изхвърлени компютри, които все още съдържат чувствителни данни на техните твърди дискове.

Solutions

Данните, които не се използват, трябва да бъдат кодирани, докато не са необходими. Това работи добре за данни, до които не е необходимо да се достига често. Може да бъде по-трудно да се управлява за данни, до които много често достъпват много хора или системи.

За да се защитят от достъп чрез идентификационни данни за вход, легитимните хора, които имат достъп до данните, трябва използвайте силни пароли и индивидуални акаунти. Множество хора, използващи едно и също потребителско име и парола, правят всичко, но невъзможно да се определи как или кога е настъпило нарушението. Мениджърите на пароли правят изключително лесно създаването и извличането на силни пароли, така че вече няма малка причина да споделяте пароли.

Sticky Password е само един от страхотните безплатни мениджъри на пароли.

Защитата срещу някой кражба на физическа машина или виртуално копие на данни включва физическа сигурност и контрол на достъпа.

1. Физическа охрана: Никога не оставяйте лаптопите без надзор. Много служители смятат, че корпоративният лаптоп не е толкова важен, колкото техния собствен, защото корпоративният лаптоп просто ще бъде заменен, ако бъде изгубен. Данните за фирмен лаптоп обаче може да са безценни и след като бъдат загубени, биха могли да поставят в опасност бъдещето на компанията. Настолните компютри трябва да бъдат физически заключени към нещо голямо. Има голямо разнообразие от компютърни брави (като ключалки Kensington), достъпни за тази цел. Всички компютърни дискове на лаптопи или други устройства трябва да бъдат кодирани, за да затруднят възможно най-лошия човек да възстановява данни от него.
2. Контрол на достъпа: Където е възможно, компютрите, които обработват чувствителни данни и устройства за съхранение, трябва да се съхраняват в ограничена зона. Не трябва да има персонал, който не е ИТ, с физически достъп до сървърите за съхранение на файлове, например, така че сървърът да бъде поставен в заключена стая. Ако широката общественост е предпоставка като част от обичайните бизнес дейности, тогава всички ненужни компютри и устройства за съхранение трябва да бъдат премахнати от публичен изглед. Крадците могат да откраднат цели банкови машини, като се блъснат през стени с челен товарач. Колко сигурна е вашата приемна зона?

Защита на данните от неоторизиран достъп

Неавторизиран достъп се отнася до неоторизирано лице, което има достъп до данни. Това може да означава лош човек, който е успял да проникне в мрежата, или може да означава легитимен служител, който има достъп до данни, на които няма право. Тук работят две концепции: удостоверяване и оторизация.

1. Authentication: Удостоверяването включва определяне на идентификацията на потребителя, но няма нищо общо с това, което му е разрешено да прави. В повечето случаи се предоставя комбинация от потребителско име и парола за влизане в система. Притежателят на това потребителско име и парола е легитимен служител и системата трябва надлежно да запише, че лицето е влязло в системата.
2. разрешението за употреба: Упълномощаването става след удостоверяване. Разрешението определя дали на удостоверено лице е разрешен достъп до ресурс. Преди да се определи дали потребителят може да получи достъп до ресурс, лицето трябва да бъде удостоверено, за да потвърди своята идентификация.

Ето пример за илюстрация: Нанси влиза в работната си станция и вече е удостоверен потребител. След това тя изпраща документ на мрежов принтер и той отпечатва, защото е упълномощен да използва този принтер. След това Нанси се опитва да получи достъп до файловете на персонала на компанията и й е отказан достъп, тъй като не е упълномощена да разглежда тези файлове.

Solutions

За да се гарантира ефективността на процесите за удостоверяване и упълномощаване, всяка компютърна система трябва да създава одитни дневници. Одитните дневници осигуряват пътека, за да позволят на разследващите да се върнат назад във времето и да видят кой е влязъл в различни системи и какво са се опитали да направят, докато са влезли в системата.

Също така е важно никой да не споделя потребителски имена и пароли, както беше обсъдено по-горе. Ако потребителските имена и пароли се споделят между служителите, няма начин да се предотврати неоторизиран достъп или да се разбере кой е получил достъп до какво. Ако всички използват едно и също потребителско име, всички се удостоверяват и това потребителско име трябва да бъде упълномощено да прави всичко.

В идеалния случай никой не трябва да използва потребителското име „администратор“, тъй като е толкова лесно да се познае.

Неизбежно е разговорите за контрола на достъпа да се съсредоточат върху предотвратяването на лошите. Все пак е така също толкова важно, че добрите момчета не се затварят. Ако се окажете в ситуация, в която системните администратори или други критични хора са заключени, тази ситуация може бързо да се влоши, ако всички бъдат заключени и бизнесът не може да продължи.

Всяка критична система трябва да има най-малко двама администратори или един администратор и поне още едно лице, което е компетентно да извършва дейности на ниво администратор, ако е дадено правилните идентификационни данни.

Смекчаване на рисковете от загуба на данни

Въздействието на загубата на данни може да варира от „дори не забелязах“ чак до „бях призован на изслушване в Конгреса, за да дам показания.“ загубата на критични бизнес данни може да осакати бизнес и му причиняват непоправима оперативна вреда. Освен това загубата на данни може да доведе до смут, да доведе до вреда на репутацията на компанията и дори драстично да повлияе на цените на акциите с години.

Терминът „загуба“ се използва в този смисъл за означаване на данни, които са унищожени, а не данни, които са нарушени и разкрити на друго място. Компютрите съхраняват данни по много рудиментарни начини, използвайки магнетика, полупроводникови чипове или лазерни „ями“ в по-голямата си част. Всеки един от тези методи има своите лоши дни и данните могат просто да станат ужасни и невъзстановими.

Човешка грешка, като презаписване на важни файлове или случайно форматиране на твърд диск, също може да унищожи данните завинаги. Компютрите също са не е имунизиран от физически бедствия и данните са загубени поради пожароизвестителни системи, заливащи офиси или електрически пренапрежения, увреждащи дисковете след ремонт.

В ерата на малките компютри хората губят USB стикове и ежедневно пускат телефоните си в тоалетни. В момент на невнимание един служител може да кликне върху злонамерена връзка в имейл и да стартира световна атака за откуп, която необратимо криптира всеки отделен файл.

Понякога нищо не се случва и дисковото устройство просто достига края си на живот и се проваля. Има буквално непрекъснат списък с начините, по които данните могат да бъдат унищожени.

Solutions

Приемайки, че загубата на данни е неизбежен риск, има смисъл да се гарантира, че критичните данни са архивирани. Създаването на надежден план за архивиране беше тайно изкуство, което само опитни системни администратори можеха да изтеглят. В крайни случаи това все още може да е вярно, но в наши дни почти всеки може да закупи резервни копия извън сайта за няколко долара на месец. Има няколко въпроса, които искате да зададете на бъдещите архивни компании, а също така ще бъдете много сигурни, че вашите резервни копия ще бъдат криптирани.

iDrive е само една от много опции за облачно архивиране и съхранение,

Ако информацията ви е особено чувствителна или вашите индустриални разпоредби не позволяват създаване на резервни копия в облак, има други алтернативи.

Резервните копия, които се съхраняват на сайта, могат да бъдат полезни за типове ситуации с човешки грешки, които изискват бързо коригиране, като възстановяване на един файл. Резервните копия на място обаче няма да ви помогнат много, ако офисът е наводнен, има пожар или резервните копия са откраднати.

Като такива, външните резервни копия са критична част от всеки план за архивиране и докато облачните резервни копия са най-лесният начин за постигане на това, няма причина надеждните служители да не могат периодично да взимат криптирани архиви вкъщи. Имайте предвид, че след като данните напуснат помещенията, те все още трябва да бъдат защитени, така че силното криптиране е от решаващо значение.

Вашата индустрия може също да има закони за запазване на данни, което означава, че може да се наложи да съхранявате стари данни, които вече не използвате, за да бъдете съвместими. Колкото по-дълго се съхраняват данните, толкова повече са възможностите да бъдат унищожени. Следователно, данните за дългосрочно задържане са идеален кандидат за съхранение извън границите.

Защита на устройства, притежавани от служители

Всеобхватна загриженост, която усложнява всички аспекти на защитата на данните, е разпространението на отдалечени работници или работници с устройства „Донесете собствено устройство“ (BYOD). Може да има предимство в това да се позволи отдалечена работа, тъй като тя отваря резерва за таланти, така че да бъдат наети най-добрите работници. Освен това увеличава броя на местата, където данните на компанията могат да бъдат загубени или компрометирани.

BYOD и като цяло отдалечените устройства носят риск от загуба на данни и изтичане на данни. Телефоните и таблетите са малки и отиват с нас навсякъде и често се губят или повреждат.

Solutions

В идеалния случай отдалечените работници ще използват виртуални мрежови изчисления (VNC) за достъп до своите настолни компютри в офиса. Дори ако дистанционният работник никога няма да присъства в офиса, като позволява достъп само чрез VNC осигурява по-голям контрол над това, което може да направи този отдалечен работник.

VNC сървърите могат да бъдат конфигурирани да забраняват прехвърлянето на файлове и тъй като VNC не създава действителна мрежова връзка, като VPN, компютърът на отдалечения работник никога не е свързан към работната мрежа. Това може да помогне да се предотврати разпространението на злонамерен софтуер в офисната мрежа, ако компютърът на отдалечения работник се е заразил. Разрешаването на достъп чрез VPN връзка ще осигури по-лесен достъп до повече офис ресурси, но също така има и по-високия риск от инфекция и кражба на данни, тъй като отдалеченият компютър в действителност ще споделя до известна степен офисната мрежа..

Ако разрешавате BYOD, добре е да внедрите система за управление на мобилни устройства (MDM), която може да прави неща като изтрийте дистанционно всички данни от телефона и намерете телефона, ако е изчезнал.

ManageEngine Mobile Device Manager Plus е един пример за MDM софтуер.

Също така е желателно да се използва MDM решение, което предвижда сегрегация на данни. Споделянето на работа и лични контакти в една и съща адресна книга например създава висок риск от изтичане на данни, защото е лесно неправилно да изберете личен контакт като получател и случайно да изпратите чувствителна информация за компанията.

Планиране за липса на данни

По време на бизнеса може да има моменти, в които офисът няма. Малки събития като пожар в офис сградата могат да направят вашия офис недостъпен за няколко дни. Големите събития като урагана Санди през 2012 г. могат да извадят подземни райони на сграда с години.

Планирането на събития като това попада в концепцията за планиране на непрекъснатостта на бизнеса (BCP). BCP планирането се опитва да отговори на следния въпрос: „Как бихме продължили дейността си, ако офисът / сървърите / магазините ни не бяха достъпни за дълъг период от време?“

Решение

Извън резервните копия могат да играят голяма роля в планирането на BCP. Ако съществуват текущи резервни копия в офсайтове, е възможно служителите да работят от дома или други отдалечени места, използвайки тези данни, за да продължат нещата. Други съображения могат да включват телефонни номера при отказ, които могат да препращат на мобилни телефони на служителите, за да поддържат телефоните отворени.

Знаейки как да получите достъп до вашите данни

Това може да изглежда като глупав въпрос. За съжаление от опит можем да удостоверим, че не е така. Много малки предприятия разчитат на миш-меша от трети страни, за да се грижат за техните данни през годините, а в някои случаи нямат представа къде всъщност се съхраняват някои от тях. Част от всеки правилен план за предотвратяване на загуба на данни е да знаете от къде трябва да започнете вашите данни.

Помислете отново за нашия прост уебсайт за електронна търговия. В най-малък минимум той има следното:

1. Регистрационен акаунт: Регистратор на домейни е компания, която продава имена на домейни. Сървърите на имена на вашия домейн се контролират от вашия регистратор на домейни. Сървърите за имена са критичен елемент за контрол на вашия уебсайт, така че трябва да знаете кой е това и да имате идентификационните данни на акаунта.
2. Хостинг акаунт: Файловете на вашия уебсайт се намират физически на уеб сървър някъде по света. Компанията, която предоставя тази услуга за вас, е вашият уеб-домакин. Уверете се, че знаете кой е вашият уеб хост и че имате идентификационните данни на акаунта.
3. Имейл акаунт: Уеб хостът ви може също да не е хост на вашата електронна поща. Много компании използват доставчици на имейл на трети страни като Google. Уверете се, че знаете къде е вашият имейл и че имате идентификационните данни на акаунта.
4. Архивите: Ако вече имате настройка за архивиране, къде отиват? Ако нямате достъп до тях и знаете как да възстановите файловете, тези резервни копия не ви помагат много.

Трябва да се задават едни и същи видове въпроси за всичките ви системи за данни, докато не разберете сравнително къде се намират всичките ви данни. Опитът да намерите тази информация при спешни случаи е най-лошият момент.

Освен практическата необходимост да знаете тези неща, вашата индустрия може да регулира и географските региони, в които имате право да съхранявате данни.

Съображения за данните на клиентите по държави

Данните на клиентите обикновено се нуждаят от специално внимание. Едно е да загубите вътрешните си електронни таблици. Законно е съвсем различно данните на клиентите ви да бъдат откраднати или използвани по неподходящ начин. Над 80 държави имат някакво законодателство за поверителност, което се прилага за предприятията, които събират клиентски данни. Основните задължения на повечето от тези актове се свеждат до следните въпроси:

1. Получете разрешение за събиране на клиентски данни, преди да го направите.
2. Съберете възможно най-малко информация.
3. Използвайте данни по начина, по който имате разрешение.
4. Защита на информацията срещу неоторизиран достъп.
5. Предоставете данни на разположение на вашите клиенти.

Ето много бърз преглед на общото състояние на законодателството за поверителност в САЩ, Великобритания, Канада и Австралия. Той дава някои улики за това какъв тип организации за защита се очаква да предоставят клиентски данни, както и усещане за санкциите за нарушения.

Австралия

Подобно на Канада и Великобритания, Австралия има федерален акт за поверителност, подходящо наречен Закон за поверителност. За първи път е приет през 1988 г. и оттогава е изменен и разширен. Актът се основава на концепцията за 13 австралийски принципа за поверителност.

законодателство

Първоначално Законът за поверителност обхващаше обработката на частна информация от държавни агенции и държавни изпълнители. Оттогава тя е разширена, за да обхване и бизнеса от частния сектор.

Всички австралийски фирми с общи продажби над 3 000 000 AUD имат задължения съгласно закона за поверителност. Малък списък от предприятия като свързани със здравето и финансовите предприятия също са предмет на акта, независимо от общите продажби.

Предоставяне на информация на клиентите

Принцип 12 от Закона за поверителност се отнася до „Достъп до и корекция на лична информация.“ С малки изключения трябва да бъде предоставено искане на личната му информация, но не е посочен краен срок, в който да го направи. Исканията на агенциите трябва да бъдат разгледани в рамките на 30 дни, но ако заявителят е лице, единственото изискване е „да се предостави достъп до информацията по искания от лицето начин, ако е разумно и практически това да се направи“.

Санкции

Има различни наказания за нарушаване на Закона за поверителност, в зависимост от това колко тежко е нарушението. Паричните стойности за нарушения не са посочени в Закона за поверителност. По-скоро за нарушенията са назначени редица наказателни единици въз основа на тежестта на престъплението. Тежки нарушения са назначени 2000 наказателни единици, докато за по-малко тежки нарушения са назначени само 120 наказателни единици.

Раздел 4AA от австралийския закон за престъпления диктува стойността на наказателна единица в австралийски долари и се актуализира от време на време. В момента единична наказателна единица е 210 AUD (подлежи на индексиране), което означава, че тежките нарушения могат да бъдат в обхвата от 420 000 AUD. В действителност съдилищата в Австралия понякога изискват само извинение.

Канада

законодателство

Правилата за защита на личните данни на Канада за бизнеса се съдържат в Закона за защита на личната информация и електронните документи (PIPEDA). Някои провинции като Алберта, Британска Колумбия и Квебек имат свои провинциални актове за защита на данните, които са сходни, че PIPEDA не се прилага за предприятията в тези провинции. Ето защо, в зависимост от това в коя провинция извършвате бизнес, ще трябва да сте запознати с PIPEDA или с един от следните провинциални законодателни актове:

• Алберта: Закон за защита на личната информация
• Британска Колумбия: Закон за защита на личната информация
• Квебек: * Акт, зачитащ защитата на личната информация в
  частния сектор *

В допълнение, Канада има отделен Закон за поверителност, който контролира как федералното правителство да обработва лична информация в рамките на правителствените агенции.

PIPEDA изисква организациите да получат съгласие преди събирането на лична информация. Интересно е обаче да се отбележи, че PIPEDA не се прилага за лица, които събират лични данни за лична употреба, или организации, които събират лична информация за журналистическа употреба.

Службата на комисаря за защита на личните данни в Канада поддържа преглед на различните федерални и провинциални актове за поверителност на Канада.

Предоставяне на информация на клиентите

Информацията, държана от федералните агенции, може да бъде поискана чрез попълване на формуляр за искане на информация. За да поискате лична информация, притежавана от друг тип организация, свържете се с нея. Провинциалният или териториалният офис на омбудсмана може да помогне.

Санкции

Нарушителите на PIPEDA могат да бъдат глобени до 100 000 долара за нарушение за съзнателно нарушаване на деянието.

Великобритания

законодателство

Федералният акт за защита на Обединеното кралство е подходящо нареченият Закон за защита на данните. За разлика от Канада, Законът за защита на данните в Обединеното кралство се прилага навсякъде за бизнеса и за правителството.

Предоставяне на информация на клиентите

Гражданите на Обединеното кралство имат право да разберат каква информация има една организация за тях. Не цялата информация обаче трябва да бъде пусната. Данните, които не трябва да бъдат освобождавани, включват информация за:

• информация за криминални разследвания
• военни записи
• данъчни въпроси, или
• съдебни и министерски назначения

Организациите също могат да начисляват пари, за да предоставят тази информация на хората. Уебсайтът на Службата за информационен комисар на Обединеното кралство може да предоставя съвети и насоки, както и да разследва оплакванията за обработка на данни.

Санкции

Законът за защита на данните във Великобритания предвижда глоби до 500 000 GBP и дори наказателно преследване за нарушения.

Съединени щати

Съединените щати са донякъде уникални по това, че имат по-малко федерално законодателство за поверителност, отколкото повечето други страни. Вместо това повечето актове за поверителност в САЩ са индустриални или държавни. Следователно може да бъде трудно да се открият законите, които могат да се прилагат за всеки конкретен бизнес. Добро място за начало е страницата за поверителност и сигурност на Федералната търговска комисия на САЩ.

законодателство

Законът за поверителност на САЩ от 1974 г. контролира как федералните агенции могат да събират, използват и разкриват информация. Отчасти той гласи:

Никоя агенция не разкрива никакъв запис, който се съдържа в система от записи по какъвто и да е начин за комуникация с някое лице или с друга агенция, с изключение на писмено искане от или с предварително писмено съгласие на лицето, на което е записан отнася още.

След това актът изброява няколко изключения от тази директива. Някои от тях, като например освобождаването от „рутинна употреба“, може да изглежда малко широко в 21 век.

Основната част от законите за поверителност на САЩ са свързани с индустрията или са генерирани на държавно ниво. Ето защо е важно организацията да прецени кои държави ще се счита за действаща в рамките, както и дали има специфични за индустрията регламенти за поверителност, които се прилагат на всяко правителствено ниво.

Някои големи актове за поверителност на федералните САЩ са:

• Закон за преносимост на здравно осигуряване и отчетност (HIPPA): този акт се отнася до администрацията на здравеопазването в САЩ.
• Закон за защита на поверителността на децата онлайн (COPPA): този акт се занимава с онлайн събиране на данни за деца под 13 години в САЩ.
• Справедливи и точни кредитни транзакции (FACTA): този акт се занимава със задължението на кредитните бюра да предоставят кредитна информация и инструменти за предотвратяване на измами на гражданите на САЩ.

Предоставяне на информация на клиентите

Актът за поверителност на САЩ диктува, че хората имат право да получават информацията, която федералните организации имат за тях. За да направят заявка, хората ще се свържат с приложимата агенция. За частния бизнес изискването организацията да предоставя документи на физически лица ще разчита на съществуването на законодателство, приложимо за тази индустрия или държава. Отново най-доброто място за начало вероятно ще бъде уебсайтът на Федералната комисия по търговия на САЩ.

Санкции

Федералният закон за поверителност съдържа санкции, но тъй като Законът за поверителност е приложим само за федералното правителство на САЩ, което не е така за други организации. Санкциите за нарушения на личния живот в САЩ ще зависят от това кой акт е бил нарушен и какви санкции се съдържат в него.

Заключителни коментари

Скоростта, с която са настъпили загуби и нарушения на данните през последните няколко години, е тревожна. Повечето от тези нарушения са възможни, защото организациите просто не го очакват. Ransomware атаки в световен мащаб успяват, защото служителите все още кликват злонамерени връзки в имейлите. Бизнесът губи възможностите си за онлайн поръчки за дни, вместо за часове, тъй като те не знаят към кого да се свържат, когато уебсайтът им се понижи. Всичко това може да бъде много добре спретнато с криптиране, архивиране и някои знания за системата.

Кредит за изображения: „Интернет кибер“ от Gerd Altmann, лицензиран под CC BY 2.0