Chancerne er, din virksomhed indsamler personlige oplysninger om kunder, medarbejdere og / eller partnere. Det betyder, at du har en forpligtelse til at beskytte disse oplysninger. Undladelse af at gøre det kunne føre til juridiske problemer eller endog konkurs. Desværre har mange virksomheder fundet sig i disse situationer i løbet af de seneste år.
Jane Hils Shea, teknologi og datasikkerhedsadvokat for Frost Brown Todd sagde i en e-mail-interview med Small Business Trends, "Frekvensen og omfanget af databrud er på et helt tidspunkt højt med hensyn til både antal brud og antal individuelle poster kompromitteret, og udgifterne i forbindelse med data brud svar er stigende. "
$config[code] not foundHer er hvad din lille virksomhed skal vide om personlige oplysninger og hvordan man beskytter den.
Hvad er personlig information?
Personligt identificerbare oplysninger eller følsomme personoplysninger kan være alt, der bruges til at identificere en persons personlige identitet. For eksempel:
- Navn
- CPR-nummer
- Kontakt information
- Betalingsinformation
- IP-adresse
Der er en god chance for, at din virksomhed allerede indsamler nogle af disse oplysninger om dine kunder. Når som helst en betaler med et kreditkort eller tilmelder sig din e-mail-liste ved hjælp af deres navn og kontaktoplysninger, får du adgang til personlige oplysninger.
Det betyder, at du har brug for politikker for at beskytte disse oplysninger og lade kunderne vide præcis, hvordan du har til hensigt at bruge disse data. Her er hvad du behøver at vide.
Hvorfor er personlige oplysninger vigtige for din lille virksomhed?
Der er love og bestemmelser, der kræver, at virksomhederne opfylder visse standarder, når det gælder lagring og beskyttelse af personlige oplysninger. I de fleste tilfælde er du bundet af det egentlige sprog, du bruger i dit eget privatlivspolitik. Så det er vigtigt, at du præcist præciserer, hvordan du planlægger at bruge personlige oplysninger, du indsamler, og har kunderne enige om denne politik, når de handler med dig. Der er dog også andre standarder, der gælder for specifikke industrier.
Shea siger: "En online-virksomhed, der samler personoplysninger om personer i USA, er primært bundet af de løfter, der er foretaget i sit websted for beskyttelse af personlige oplysninger. Hvis en virksomhed er en del af finansielle tjenesteydelser eller sundhedssektoren, kan det være underlagt kravene i Gramm-Leach-Bliley Act (GLBA) eller Health Information Protection and Portability Act (HIPAA). Hvis den indsamler data om børn under 13 år, kan den være ansvarlig i henhold til Children's Online Privacy and Protection Act (COPPA). "
Betalinger er et andet stort område, hvor virksomhederne skal fokusere deres sikkerhedsindsats. Shea forklarer: "Virksomheder, der accepterer kreditkort, bør være sikre på, at de overholder betalingskortindustrien Datasikkerhedsstandarder (PCI-DSS). Alle virksomheder, der tager betaling med kreditkort, skal i henhold til deres kortbehandlingsaftale have implementeret og vedligeholde PCI-DSS. "
Online-virksomheder skal også være opmærksomme på internationale love eller dem, der fokuserer på personlige oplysninger fra kunder uden for USA, ligesom de GDPR-love, der trådte i kraft for EU tidligere i år.
Når det gælder beskyttelse af personlige oplysninger, kræver Fair Credit Reporting Act's Identity Theft Rules visse virksomheder at have skrevet tyverisikringsprogrammer. Og mange leverandørbetjeningsaftaler kræver også, at virksomhederne gennemfører sikkerhedsstandarder for industriens standard som en del af deres kontraktaftaler.
Hvordan kan din virksomhed beskytte personlige oplysninger?
Der er mange trin, du kan og bør tage for at beskytte de følsomme data og personligt identificerbare oplysninger, du samler om kunder, medarbejdere og leverandører. Din nøjagtige plan afhænger af hvilke data du faktisk samler. Men der er et vigtigt princip, der gælder for stort set alle virksomheder.
Shea siger: "Kardinalreglen og det første skridt for en virksomhed at tage for at beskytte mod overtrædelser af data er at" kende dine data ". Et stærkt informationssikkerhedsprogram begynder med en datalager og et datakort. Denne øvelse fortæller en virksomhed, hvilke personlige data den indsamler og behandler om sine kunder og medarbejdere, og identificerer, hvor i systemet det er placeret, så det bedst kan beskytte disse data. Desuden bør det forstå, hvordan personoplysninger behandles og overføres, hvor længe det bevares, og hvad dets data ødelæggelsesforpligtelser er. "
Hun tilbød også en håndfuld konkrete trin, du kan ansætte. For eksempel:
- Slet alle data fra dit system, som du ikke bruger eller skal opbevare af juridiske eller overholdelsesmæssige grunde.
- Udvikle en databeskyttelsesplan.
- Udvikle en virksomheds robusthed plan og sikkerhedskopiere vigtige data på en pålidelig cloud server.
- Tilføj kryptering til transmission og opbevaring af følsomme personlige oplysninger.
- Træn medarbejdere om sikkerhedskendskab.
- Kræv medarbejdere til at bruge stærke adgangskoder, to-faktor autentificering og anden forebyggende sikkerhedspraksis.
- Tjek med dine leverandører om deres sikkerhedsforanstaltninger og -praksis.
- Brug EMV chipkort teknologi til at reducere risikoen for kort svindel.
Foto via Shutterstock
Mere i: Hvad er 2 kommentarer ▼