Vodič za zaštitu malih poduzeća za zaštitu podataka

Zaštita podataka malih poduzeća.


Danas je gotovo nemoguće voditi bilo kakav posao bez generiranja ili prikupljanja podataka. Neki od tih podataka su kritični podaci koji su potrebni za održavanje života poslovanja, a neki će nesumnjivo biti osobni podaci o klijentima..

Da bi se osiguralo zdravlje bilo kojeg poslovanja, moraju se riješiti obje točke. Poslovni podaci moraju biti dostupni i obilni za podupiranje aktivnosti poslovanja, ali organizacije također imaju obvezu čuvati privatne i sigurne podatke o klijentima..

Ako neko poduzeće izgubi vlastite podatke, možda će se naći nesposobni da učinkovito obavljaju operacije ili uopće. To je dovoljno loše, ali uglavnom utječe samo na sam posao.

Suprotno tome, ako bi neko poduzeće izgubio podatke o klijentima, to bi moglo dovesti do pravnog postupka uključujući vladine istrage i novčane kazne, kao i građanske slučajeve i velike štetne presude. Čak i na cijene dionica tvrtke mogu se negativno utjecati nakon kršenja javnih podataka. Ovaj se članak bavi oba aspekta.

Načela zaštite podataka

Podaci se ne pojavljuju samo; putuje. Podaci se negdje prikupljaju, prenose s mjesta prikupljanja na mjesto pohrane, na neki način obrađuju i putuju do pristupnih točaka prema potrebi tvrtke. Taj postupak može biti vrlo kompliciran ili može biti vrlo jednostavan. Jednostavni primjer je narudžba na web lokaciji e-trgovine:

  1. prikupljeni: Web stranica prikuplja podatke o osobnoj dostavi i podatke o plaćanju na stranici za naplatu.
  2. prebačen: Ti se podaci prenose na web poslužitelj i vjerojatno se pohranjuju u bazu podataka na tom poslužitelju.
  3. obrađen: Ti se podaci mogu obrađivati ​​za podršku pomoćnim funkcijama kao što su smanjivanje inventara prodanih predmeta ili generiranje listića za pakiranje.
  4. pristupiti: Punila za narudžbu trebaju vidjeti neke od tih podataka kako bi ispunili narudžbu i pripremili ih za isporuku.

U svakom koraku tog postupka postoje mogućnosti za neovlašteni pristup ili gubitak podataka. Nastavljajući s primjerom web trgovine e-trgovine kao primjer, evo nekoliko koraka koje možete poduzeti kako biste zaštitili te podatke.

Zaštita podataka u tranzitu

Ova vrsta podataka o narudžbi "prolazi" više puta. Prvi tranzit je od kupčevog web preglednika do web poslužitelja e-trgovine. Suprotno uvriježenom mišljenju, mi ne "posjećujemo" web mjesto, već web mjesto dolazi do nas. Web stranice preuzimaju se na naša računala gdje s njima komuniciramo i podatke šaljemo na web poslužitelj.

U ovom slučaju kupac je u posljednjem koraku popunjavanja podataka o košaricama unio podatke o svojoj kreditnoj kartici na vlastitom računalu a onda je prenosi na web poslužitelj. Ti osjetljivi podaci o kreditnoj kartici šalju se putem interneta, što je vrlo neprijateljsko i opasno mjesto.

Podaci sami po sebi su beskorisni; ona će se obično prenositi više puta tokom svog životnog vijeka. Zaposlenici kako bi ispunili zadatak moraju znati što je naručeno, brodarske tvrtke moraju znati ime i adresu kupca, kompanije s kreditnim karticama moraju znati koliko naplatiti račun.

Malo je vjerojatno da se sve to događa na jednom mjestu, što znači da se te informacije šalju na brojna mjesta, a u nekim slučajevima, možda i na organizacije trećih strana izvan organizacije koje su podatke prikupljale. Svaki od tih prijenosa treba obaviti zaštićenom metodom.

rješenja

Najefikasniji način zaštite podataka na ovoj tranzitnoj dionici je osigurati da vaša web stranica koristi SSL certifikat i to vaša web lokacija koristi HTTPS protokol, barem na stranicama koje prikupljaju osjetljive podatke.

Ovaj korak osigurava da podaci u tranzitu između vašeg web poslužitelja i preglednika vašeg klijenta budu šifrirani dok prelaze Internet. Ako je osetljiv podatak vašeg kupca presreo loš momak, on ne bi mogao puno učiniti s njim jer bi to bio šifrirani mrlja gluposti.

Ako iz nekog razloga nije moguće koristiti SSL enkripciju, možete dodajte enkripciju gotovo svakom prijenosu podataka pomoću virtualne privatne mreže (VPN). Mnogo je stvari koje ćete uzeti u obzir pri odabiru VPN-a za male tvrtke pa vam se isplati vršiti istraživanje.

Početna stranica perimetra 81 tvrtke VPN.Perimetar 81 je ponuda SaferVPN-a posvećena tvrtkama.

Postoje i drugi načini sigurnog prijenosa podataka, na primjer, putem šifriranje datoteka prije slanja. Šifrirane datoteke mogu se sigurno slati e-poštom kao prilog, iako osjetljivi podaci nikada ne smiju biti poslani u tijelu e-pošte ili putem nekodiranih privitaka..

Starije, izvanmrežne metode, kao što su faksovi, ne treba odbacivati. Telefaks uređaji spojeni za obične stare telefonske sustave (POTS) ne prelaze Internet na jednostavan način za praćenje i pružaju veću sigurnost od e-pošte. Važno je biti siguran da se istinski faks uređaj koristi na oba kraja; moderne usluge e-pošte na faks ili faks usluge temeljene na oblaku mogu biti teško razlikovati od ispravnih POTS faks veza. Nedostatak prvih je u tome što te usluge koriste internet za prijenos podataka što uklanja njihovu privatnost.

Osiguravanje pohranjenih podataka

Jednom ako su podaci pohranjeni negdje, smatra se "u mirovanju". Podaci u mirovanju pohranjuju se na nekom obliku pogona diska u bazi podataka, u pojedinačnim datotekama kao što su PDF dokumenti ili u širokom rasponu drugih formata. Kada razmišljate kako zaštititi svoje podatke u mirovanju, oblik podataka može biti važan.

Postoje dva glavna načina na koji se može omogućiti miran pristup podacima u mirovanju. Loš momak može koristiti legitimna sredstva za pristup podacima poput krađa radne lozinke od zaposlenika putem phishinga.

Ili stroj koji pohranjuje same podatke može biti napadnut, a sadržaj diska kopiran na drugom mjestu radi kasnijeg pregleda. Korisnička imena i lozinke mogu biti teško iz ljudi; Ponekad je puno lakše ukrasti cijelo računalo s recepcije dok nema nadzora.

Ako se podaci pohranjuju na mreži, primjerice u trgovini e-trgovine, možda će biti lakše napasti drugu web lokaciju na poslužitelju radi pristupa datotečnom sustavu i kopirajte bazu podataka nego pokušajte pogoditi Magentovu lozinku administratora.

Ponekad je kršenje podataka zločin mogućnosti - postoje slučajevi odbačenih računala koja na tvrdom disku još uvijek sadrže osjetljive podatke..

rješenja

Podaci koji se ne koriste trebaju se šifrirati sve dok ne budu potrebni. To dobro uspijeva za podatke kojima ne treba često pristupiti. Možete biti teže upravljati podacima koji pristupaju vrlo često različitim ljudima ili sustavima.

Da bi se zaštitili od pristupa putem vjerodajnica za prijavu, legitimni ljudi koji bi mogli pristupiti podacima trebali bi koristite snažne lozinke i pojedinačne račune. Više ljudi koji koriste isto korisničko ime i lozinku čine gotovo sve nemogućim utvrđivanjem kako i kada je kršenje došlo. Upravitelji zaporkama vrlo je lako stvarati i dohvaćati jake lozinke, tako da je malo razloga za dijeljenje lozinki više.

Upravitelj ljepljivih lozinki.Sticky Password je samo jedan od najboljih besplatnih upravitelja lozinki koji su dostupni.

Zaštita od krađe fizičkog stroja ili virtualne kopije podataka uključuje fizičku sigurnost i kontrolu pristupa.

  1. Fizičko osiguranje: Nikad ne ostavljajte prijenosna računala bez nadzora. Mnogi zaposlenici smatraju da korporativni laptop nije toliko važan kao njihov, jer će se korporativni laptop jednostavno zamijeniti ako se izgubi. Međutim, podaci o prijenosnom računalu tvrtke mogu biti neprocjenjivi i kada se jednom izgube mogu ugroziti budućnost tvrtke. Stolna računala trebaju biti fizički zaključana u nešto veliko. Na raspolaganju je širok izbor računalnih brava (poput Kensington brava) koje su upravo u tu svrhu. Svi diskovi računala na prijenosnim računalima i ostalim uređajima trebaju biti šifrirani kako bi loš momak mogao da oporavi podatke s njega.
  2. Kontrola pristupa: Gdje je to moguće, računala koja obrađuju osjetljive podatke i uređaje za pohranu trebaju se držati u ograničenom području. Na primjer, ne bi trebalo postojati osoblje koje nije IT koje ima fizički pristup poslužiteljima datoteka za pohranu datoteka, tako da poslužitelj treba biti smješten u zaključanoj sobi. Ako je šira javnost pretpostavka dio uobičajenih poslovnih aktivnosti, tada bi se sva nepotrebna računala i uređaji za pohranu trebali ukloniti iz vida javnosti. Lopovi mogu ukrasti cijele bankovne strojeve probijajući se kroz zidove pomoću prednjeg utovarivača. Koliko je zaštićen vaš prijemni prostor?

Zaštita podataka od neovlaštenog pristupa

Neovlašteni pristup odnosi se na neovlaštenu osobu koja pristupa podacima. To može značiti negativca koji je uspio da se infiltrira u mrežu, ili može imati zakonitog zaposlenika koji pristupa podacima na koje nema pravo. Ovdje djeluju dva koncepta: autentifikacija i autorizacija.

  1. Ovjera: Autentifikacija uključuje utvrđivanje identiteta korisnika, ali nema nikakve veze s onim što je toj osobi dopušteno. U većini slučajeva pruža se kombinacija korisničkog imena i lozinke za prijavu na sustav. Nositelj tog korisničkog imena i lozinke zakonit je zaposlenik i sustav treba propisno zabilježiti da se osoba prijavila.
  2. Autorizacija: Autorizacija se vrši nakon provjere autentičnosti. Ovlaštenje određuje je li ovlaštena osoba ovlaštena za pristup resursu. Prije nego što se utvrdi može li korisnik pristupiti resursu, osoba mora biti potvrđena kako bi potvrdila svoju identifikaciju.

Evo primjera za ilustraciju: Nancy se prijavljuje u svoju radnu stanicu i sada je certificirana korisnica. Zatim šalje dokument mrežnom pisaču i on ispisuje jer je ovlašten koristiti taj pisač. Nancy tada pokušava pristupiti dosjeima osoblja osoblja i uskraćuje joj se pristup jer nije ovlaštena za pregled tih datoteka.

rješenja

Kako bi se osiguralo učinkovitost procesa provjere autentičnosti i autorizacije, svaki bi računalni sustav trebao kreirati zapisnike revizije. Dnevnici revizije pružaju trag koji će omogućiti istražiteljima da se vrate u prošlost i vide tko je prijavljen u razne sustave i što su pokušali učiniti dok su prijavljeni..

Također je važno da nitko ne dijeli korisnička imena i lozinke, kao što je gore raspravljano. Ako se korisnička imena i lozinke dijele među zaposlenicima, ne postoji način da se spriječi neovlašteni pristup ili otkrije tko im je pristupio. Ako svi koriste isto korisničko ime, svi imaju autentičnost i to korisničko ime mora biti ovlašteno za sve.

Korisničko ime administratora.U idealnom slučaju nitko ne bi trebao koristiti korisničko ime „admin“ jer je tako lako nagađati.

Neizbježno je da se razgovori o kontroli pristupa usredotoče na uklanjanje negativaca. Međutim, jest podjednako je važno da se dobri dečki ne zatvore. Ako završite u situaciji u kojoj su administratori sustava ili drugi kritični ljudi zatvoreni, ta se situacija može brzo pogoršati i svi će biti zatvoreni i posao biti u stanju nastaviti.

Svaki kritični sustav trebao bi imati najmanje dva administratora ili jednog administratora i najmanje još jednu osobu koja je nadležna za obavljanje aktivnosti na razini administratora ako mu se daju točne vjerodajnice.

Ublažavanje rizika od gubitka podataka

Utjecaj gubitka podataka može se kretati od "nisam ni primijetio" pa sve do "pozvan sam na saslušanje u Kongres da svjedočim." gubitak kritičnih poslovnih podataka može osakatiti posao te joj nanijeti nepopravljivu operativnu štetu. Pored toga, gubitak podataka može prouzrokovati sramotu, rezultirati štetama ugledu tvrtke, pa čak i drastično utjecati na cijene dionica godinama.

Izraz "gubitak" u ovom se smislu koristi za značenje uništenih podataka, a ne podataka koji su prekršeni i otkriveni na drugom mjestu. Računala pohranjuju podatke na vrlo rudimentarne načine koristeći magnetne, poluvodičke čipove ili laserske "jame" većim dijelom. Svaka od ovih metoda ima svoje loše dane i podaci se mogu jednostavno pretvoriti u neugledan i nenadoknadljiv.

Ljudska pogreška, poput prepisivanja važnih datoteka ili slučajnog oblikovanja tvrdog diska, također može zauvijek uništiti podatke. Računala su također nije imun na fizičke katastrofe a podaci su izgubljeni zbog sustava za prskanje požara koji preplavljuju urede ili električnih napona koji oštećuju pogone nakon popravka.

U doba malog računanja, ljudi svakodnevno gube USB štapiće i bacaju telefone u toalete. U trenutku nepažnje, jedan zaposlenik može kliknuti na zlonamjernu vezu u e-pošti i započeti svjetski napad otkupnim softverom koji nepovratno šifrira svaku pojedinačnu datoteku.

Ponekad se ništa ne događa i pogon diska upravo dolazi do kraja života i ne uspijeva. Postoji doslovno neprekinuti popis načina na koji se podaci mogu uništiti.

rješenja

Ako prihvatite da je gubitak podataka neizbježan rizik, ima smisla osigurati sigurnosnu kopiju kritičnih podataka. Stvaranje pouzdanog plana sigurnosnih kopija nekada je bila tajna umjetnost koju su mogli povući samo iskusni administratori sustava. U ekstremnim slučajevima to i dalje može biti točno, ali ovih dana gotovo bilo tko može kupiti rezervne sigurnosne kopije za nekoliko dolara na mjesec. Postoji nekoliko pitanja koja želite postaviti potencijalnim sigurnosnim tvrtkama, a također ćete biti sigurni da će vaše sigurnosne kopije biti šifrirane.

iDrive početna stranica.iDrive je samo jedna od mnogih opcija za sigurnosno kopiranje i pohranu u oblaku,

Ako su vaši podaci osobito osjetljivi ili zakonski propisi ne dopuštaju sigurnosno kopiranje u oblaku, postoje i druge mogućnosti.

Rezervne kopije koje se čuvaju na web mjestu mogu biti korisne za vrste ljudskih pogrešaka koje zahtijevaju brzo ispravljanje, kao što je obnavljanje jedne datoteke. Međutim, sigurnosne kopije na licu mjesta neće vam mnogo pomoći ako je ured poplavljen, postoji požar ili se ukrade sigurnosne kopije..

Kao takve, sigurnosne kopije na otvorenom su kritičan dio svakog plana sigurnosnih kopija i dok su usluge sigurnosnih kopija u oblaku najlakši način da se to postigne, nema razloga zašto pouzdani zaposlenici ne mogu povremeno uzimati šifrirane sigurnosne kopije kući. Imajte na umu da jednom kad podaci napuste prostorije, potrebno ih je zaštititi jaka enkripcija je presudna.

Vaša industrija također može imati zakone o čuvanju podataka što znači da ćete morati zadržati stare podatke koje više ne upotrebljavate da biste bili usklađeni. Što se duže podaci čuvaju, više je mogućnosti da se unište. Stoga su podaci o dugotrajnom zadržavanju idealan kandidat za pohranu izvan mjesta.

Zaštita uređaja u vlasništvu zaposlenika

Glavna briga koja komplicira sve aspekte zaštite podataka je širenje udaljenih radnika ili radnika sa uređajima Donesite svoj vlastiti uređaj (BYOD). Tu može biti prednost u omogućavanju rada na daljinu jer otvara bazen s talentima, tako da se mogu zaposliti najbolji radnici. Također povećava broj mjesta na kojima se podaci o tvrtki mogu izgubiti ili ugroziti.

BYOD i općenito udaljeni uređaji predstavljaju rizik od gubitka podataka i curenja podataka. Telefoni i tableti su mali i s nama idu svuda, a često se gube ili oštećuju.

rješenja

U idealnom slučaju, udaljeni radnici koristit će virtualno mrežno računanje (VNC) za pristup svojim radnim površinama u uredu. Čak i ako udaljeni radnik nikada neće doći u ured, omogućavajući pristup samo putem VNC omogućuje veću kontrolu preko onoga što taj udaljeni radnik može učiniti.

VNC poslužitelji mogu se konfigurirati za onemogućavanje prijenosa datoteka, a budući da VNC ne stvara stvarnu mrežnu vezu kao što je VPN, računalo udaljenog radnika nikada nije povezano s radnom mrežom. To može spriječiti širenje zlonamjernog softvera u uredsku mrežu ako se računalo udaljenog radnika zarazilo. Omogućavanje pristupa putem VPN veze omogućit će lakši pristup više uredskih resursa, ali također ima i veći rizik od infekcije i krađe podataka, jer će udaljeno računalo do neke mjere dijeliti uredsku mrežu.

Ako dopuštate BYOD, dobra je ideja primijeniti sustav za upravljanje mobilnim uređajima (MDM) koji može činiti stvari poput daljinski obrišite sve podatke s telefona i locirajte telefon ako je nestao.

Početna stranica ManageEngine Mobile Device Manager Plus.ManageEngine Mobile Device Manager Plus jedan je primjer softvera za MDM.

Također je poželjno koristiti MDM rješenje koje osigurava segregaciju podataka. Dijeljenje radnih i osobnih kontakata u istom adresaru, na primjer, stvara visoki rizik od curenja podataka, jer je lako pogrešno odabrati osobni kontakt kao primatelja i slučajno poslati osjetljive podatke tvrtke.

Planiranje nedostupnosti podataka

Tijekom poslovanja možda postoje slučajevi kada ured nije dostupan. Mali događaji poput požara u poslovnoj zgradi mogu učiniti vaš ured nepristupačnim za nekoliko dana. Veliki događaji, poput uragana Sandy 2012., mogu podzemnim dijelovima zgrade iznijeti godinama.

Praksa planiranja za događaje poput ove potpada pod koncept Planiranja kontinuiteta poslovanja (BCP). BCP planiranje pokušava odgovoriti na sljedeće pitanje: "Kako bismo nastavili poslovati ako naš ured / poslužitelji / trgovina nisu bili dostupni duže vrijeme?"

Riješenje

Vanjske sigurnosne kopije mogu igrati veliku ulogu u planiranju BCP-a. Ako postoje trenutne sigurnosne kopije u inozemstvu, zaposlenici će možda raditi kod kuće ili drugih udaljenih lokacija koristeći te podatke da bi se stvari nastavile odvijati. Ostala razmatranja mogu uključivati ​​telefonske brojeve koji se ne mogu prebaciti i koji mogu preusmjeriti na zaposlene mobitele da bi telefoni bili otvoreni.

Znajući kako pristupiti svojim podacima

Ovo može izgledati kao glupo pitanje. Nažalost, iz iskustva možemo potvrditi da nije. Mnoge male tvrtke oslanjale su se na mish-mh treće strane kako bi se brinule o svojim podacima tijekom godina, au nekim slučajevima nemaju pojma gdje se bilo koji od njih zapravo pohranjuje. Dio svakog odgovarajućeg plana za sprečavanje gubitka podataka je znati gdje počinju vaši podaci.

Ponovno razmotrite našu jednostavnu web lokaciju za e-trgovinu. U najmanju ruku, ima sljedeće:

  1. Račun registrara: Registrator domena je tvrtka koja prodaje imena domena. Davateljima imena vaše domene upravlja registar vaše domene. Poslužitelji imena su kritični kontrolni element vaše web stranice, tako da biste trebali znati tko je to i imati vjerodajnice računa.
  2. Račun za hosting: Datoteke vaše web stranice fizički se nalaze na web poslužitelju negdje u svijetu. Tvrtka koja pruža tu uslugu je vaš web domaćin. Pobrinite se da znate tko je vaš web domaćin i da imate vjerodajnice računa.
  3. Račun e-pošte: Vaš web domaćin možda nije ni domaćin e-pošte. Mnoge tvrtke koriste davatelje e-pošte drugih proizvođača poput Googlea. Provjerite znate li gdje se nalazi vaša e-pošta i imate li vjerodajnice računa.
  4. Sigurnosne kopije: Ako već imate postavljanje sigurnosnih kopija, kamo idu? Ako nemate pristup njima i znate kako vratiti datoteke, te sigurnosne kopije ne čine vam puno dobro.

O svim vašim podatkovnim sustavima trebaju se postavljati iste vrste pitanja sve dok ne budete dovoljno dobro shvatili gdje se nalaze svi vaši podaci. Pokušaj pronalaska tih podataka u hitnim slučajevima najgore je vrijeme.

Osim praktične potrebe da se te stvari znaju, vaša industrija može regulirati i zemljopisne regije u kojima vam je dopušteno pohranjivanje podataka.

Razmatranje podataka o kupcima po zemljama

Podaci o kupcima obično trebaju posebno razmotriti. Jedno je izgubiti interne proračunske tablice. Zakonski, sasvim je drugačija stvar da se podaci o klijentima ukradu ili koriste na neprimjeren način. Preko 80 zemalja ima svojevrsno zakonodavstvo o privatnosti koje se primjenjuje na tvrtke koje prikupljaju podatke o klijentima. Temeljne obveze većine ovih djela svode se na ove točke:

  1. Dobivanje dozvole za prikupljanje podataka o kupcima prije nego što to učinite.
  2. Prikupite što je manje moguće informacija.
  3. Koristite podatke na način na koji imate dopuštenje.
  4. Zaštitite podatke od neovlaštenog pristupa.
  5. Učinite podatke dostupnima svojim kupcima.

Evo vrlo brzog pregleda općeg stanja zakonodavstva o privatnosti u SAD-u, Velikoj Britaniji, Kanadi i Australiji. To daje neke naznake o tome kakve se vrste zaštitnih organizacija očekuje da pruže podatke o klijentima, kao i osjećaj kazne za kršenje zakona.

Australija

Vodič za zaštitu malih poduzeća za zaštitu podataka

Kao i Kanada i Velika Britanija, Australija ima savezni zakon o privatnosti koji se primjereno naziva Zakonom o privatnosti. Prvi put je donesen 1988. godine i od tada je izmijenjen i proširen. Akt se temelji na konceptu 13 australskih načela privatnosti.

Zakonodavstvo

Zakon o privatnosti u početku je obuhvaćao samo rukovanje privatnim podacima od strane vladinih agencija i državnih ugovarača. Od tada se proširio i na poduzeća iz privatnog sektora.

Sve australske tvrtke s ukupnom prodajom od preko 3.000.000 AUD imaju obveze prema zakonu o privatnosti. Mali popis tvrtki kao što su zdravstvene i financijske tvrtke također je predmet zakona bez obzira na ukupnu prodaju.

Davanje klijentima njihovih podataka

Načelo 12. Zakona o privatnosti bavi se „Pristupom i ispravljanju osobnih podataka.“ Uz nekoliko izuzetaka, osoba mora zatražiti svoje osobne podatke, ali nema određenog roka u kojem bi to mogla učiniti. Zahtjevi agencija moraju biti riješeni u roku od 30 dana, ali ako je osoba koja je podnositelj zahtjeva, jedini uvjet je "dati pristup informacijama na način kako to pojedinac traži, ako je to razumno i izvedivo".

kazne

Postoje različite kazne za kršenje Zakona o zaštiti privatnosti, ovisno o tome koliko je kršenje teško. Monetarne vrijednosti za kršenja nisu navedene u Zakonu o privatnosti. Umjesto toga, prekršajima je dodijeljen određeni broj kaznenih jedinica na osnovu težine kaznenog djela. Za ozbiljne prekršaje dodijeljeno je 2000 kaznenih jedinica, dok je za manje teške prekršaje dodijeljeno samo 120 kaznenih jedinica.

Odjeljak 4AA australskog zakona za zločine diktira vrijednost kaznene jedinice u australskim dolarima i povremeno se ažurira. Trenutno pojedinačna kaznena jedinica iznosi 210 AUD (podložno indeksiranju), što znači da teški prekršaji mogu biti u rasponu od 420 000 AUD. U stvarnosti, sudovi u Australiji ponekad zahtijevaju samo ispriku.

Kanada

Kanadska zastava

Zakonodavstvo

Kanadska federalna pravila zaštite podataka za tvrtke sadržana su u Zakonu o zaštiti osobnih podataka i elektroničkih dokumenata (PIPEDA). Neke provincije poput Alberte, British Columbia i Quebeca imaju vlastite provincijske akte o zaštiti podataka koji su dovoljno slični da se PIPEDA ne primjenjuje na tvrtke u tim pokrajinama. Stoga, ovisno o pokrajini kojom poslujete, morat ćete biti upoznati s PIPEDA ili jednim od sljedećih pokrajinskih zakonodavnih akata:

  • Alberta: Zakon o zaštiti osobnih podataka
  • British Columbia: Zakon o zaštiti osobnih podataka
  • Quebec: * Zakon koji poštuje zaštitu osobnih podataka u
    privatni sektor *

Pored toga, Kanada ima poseban Zakon o privatnosti koji kontrolira kako Savezna vlada postupa s osobnim podacima unutar vladinih agencija.

PIPEDA zahtijeva da organizacije pribave suglasnost prije prikupljanja osobnih podataka. Međutim, zanimljivo je napomenuti da se PIPEDA ne odnosi na pojedince koji prikupljaju osobne podatke za osobnu upotrebu ili na organizacije koje prikupljaju osobne podatke za novinarsku upotrebu.

Ured povjerenika za zaštitu privatnosti u Kanadi održava pregled različitih kanadskih saveznih i pokrajinskih akata o privatnosti.

Davanje klijentima njihovih podataka

Informacije koje posjeduju savezne agencije mogu se zatražiti ispunjavanjem obrasca zahtjeva za informacije. Da biste zatražili osobne podatke koje posjeduje druga vrsta organizacije, obratite se toj organizaciji. Pokrajinski ili teritorijalni ured ombudsmana može pomoći.

kazne

Nasilnici PIPEDA-e mogu se suočiti s novčanom kaznom do 100.000 USD po prekršaju za svjesno kršenje djela.

Ujedinjeno Kraljevstvo

Britanska zastava - Union jackBritanska zastava - Union Jack - Velika Britanija

Zakonodavstvo

Federalni zakon o zaštiti Ujedinjenog Kraljevstva primjereno je nazvan Zakon o zaštiti podataka. Za razliku od Kanade, Zakon o zaštiti podataka u Velikoj Britaniji primjenjuje se podjednako na poslovanje i vlade.

Davanje klijentima njihovih podataka

Građani Ujedinjenog Kraljevstva imaju pravo saznati koje informacije o njima imaju organizacije. Ipak, ne moraju se objaviti sve informacije. Podaci koje ne treba objavljivati ​​uključuju podatke o:

  • informacije o kriminalističkim istragama
  • vojni zapisi
  • poreznim pitanjima ili
  • pravosudna i ministarska imenovanja

Organizacije također mogu naplatiti novac kako bi ljudima pružile te informacije. Web-lokacija Ureda povjerenika za informaciju u Velikoj Britaniji može pružiti savjete i upute, kao i istražiti žalbe na postupanje s podacima.

kazne

Zakon o zaštiti podataka u Velikoj Britaniji predviđa novčane kazne do 500.000 GBP, pa čak i kazneni progon za kršenje zakona.

Ujedinjene države

Zastava SAD-a

Sjedinjene Države pomalo su jedinstvene po tome što imaju manje zakonodavstva o privatnosti na saveznoj razini od većine drugih zemalja. Umjesto toga, većina zakona o privatnosti u SAD-u temelji se na industriji ili državi. Zbog toga može biti teško otkriti zakone koji se mogu primijeniti na bilo koji određeni posao. Dobro mjesto za početak je stranica o privatnosti i sigurnosti Federalne trgovačke komisije SAD-a.

Zakonodavstvo

Američki Zakon o privatnosti iz 1974. kontrolira kako savezne agencije mogu sakupljati, koristiti i objavljivati ​​informacije. Djelomično stoji:

Nijedna agencija ne smije objaviti nijednu evidenciju sadržanu u sustavu zapisa bilo kojim sredstvom komunikacije bilo kojoj osobi ili drugoj agenciji, osim na temelju pismenog zahtjeva pojedinca kojem je data evidencija ili uz prethodni pisani pristanak odnosi.

Akt tada navodi nekoliko izuzetaka od ove direktive. Neki od njih, poput izuzeća za "rutinsku uporabu", mogu se činiti malo širokim u 21. stoljeću.

Većina američkih zakona o privatnosti odnose se na industrije ili se generiraju na državnoj razini. Stoga je važno za organizaciju procijeniti u kojim će se državama smatrati da djeluju unutar njih, kao i postoje li posebni propisi o zaštiti privatnosti koji se primjenjuju na bilo kojoj državnoj razini.

Neki od glavnih saveznih zakona o privatnosti SAD-a su:

  • Zakon o prenosivosti zdravstvenog osiguranja i odgovornosti (HIPPA): ovaj se zakon odnosi na administraciju zdravstvene zaštite u SAD-u.
  • Dječji zakon o zaštiti privatnosti na Internetu (COPPA): ovaj se zakon bavi mrežnim prikupljanjem podataka o djeci mlađoj od 13 godina u SAD-u.
  • Poštene i precizne kreditne transakcije (FACTA): ovaj se čin bavi obvezom kreditnih ureda da građanima SAD-a pružaju kreditne podatke i alate za sprečavanje prijevara..

Davanje klijentima njihovih podataka

Američki Zakon o privatnosti naređuje da pojedinci imaju pravo na pribavljanje informacija koje o njima imaju savezne organizacije. Da bi postavili zahtjev, ljudi bi kontaktirali odgovarajuću agenciju. Za privatna poduzeća uvjet da bi organizacija pružala evidenciju pojedincima oslanjao bi se na postojanje zakona koji se primjenjuje na tu industriju ili državu. Opet, najbolje mjesto za početak vjerojatno će biti web mjesto Savezne komisije za trgovinu Sjedinjenih Država.

kazne

Federalni zakon o zaštiti privatnosti sadrži kazne, ali budući da je Zakon o privatnosti primjenjiv samo na američku saveznu vladu, što nije slučaj za ostale organizacije. Kazne za kršenje privatnosti u SAD-u ovisit će o tome koji je čin prekršen i koje su kazne sadržane u njima.

Završni komentari

Stopa pojave gubitaka i kršenja podataka u posljednjih nekoliko godina je alarmantna. Većina tih kršenja moguća je jer organizacije to jednostavno ne očekuju. Ransomware napadi na globalnoj razini uspijevaju jer zaposlenici i dalje kliknu zlonamjerne veze u e-porukama. Tvrtke gube mogućnost mrežne narudžbe danima, umjesto satima, jer ne znaju kome se obratiti kad web stranica nestane. Sve to može se vrlo uredno ublažiti šifriranjem, sigurnosnim kopijama i nekim znanjem o sustavu.

Kreditna slika: "Internet Cyber" Gerda Altmanna pod CC BY 2.0 licencom

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

− 2 = 4