Sjansen er at bedriften samler inn personlig informasjon om kunder, ansatte og / eller partnere. Dette betyr at du har en forpliktelse til å beskytte denne informasjonen. Unnlatelse av å gjøre det kan føre til juridiske problemer eller til og med konkurs. Dessverre har mange bedrifter funnet seg i disse situasjonene de siste årene.
Jane Hils Shea, teknologi og datasikkerhetsadvokat for Frost Brown Todd sa i et e-postintervju med Small Business Trends: "Frekvensen og omfanget av databrudd er på heltid høyt både når det gjelder antall brudd og antall individuelle poster kompromittert, og utgiftene knyttet til datautbruddsvar øker. "
$config[code] not foundHer er hva din småbedrift trenger å vite om personlig informasjon og hvordan du beskytter den.
Hva er personlig informasjon?
Personlig identifiserbar informasjon eller sensitive personopplysninger kan være alt som brukes til å identifisere en persons personlige identitet. For eksempel:
- Navn
- Personnummer
- Kontaktinformasjon
- Betalingsinformasjon
- IP adresse
Det er en god sjanse for at virksomheten din allerede samler inn litt av denne informasjonen om kundene dine. Når som helst noen betaler med et kredittkort eller registrerer seg for din e-postliste ved hjelp av navn og kontaktinformasjon, får du tilgang til personlig informasjon.
Dette betyr at du må ha retningslinjer for å beskytte denne informasjonen, og la kundene vite nøyaktig hvordan du har tenkt å bruke disse dataene. Her er hva du trenger å vite.
Hvorfor er personlig informasjon viktig for din småbedrift?
Det er lover og forskrifter som krever at bedrifter oppfyller visse standarder når det gjelder lagring og beskyttelse av personlig informasjon. I de fleste tilfeller er du bundet av det aktuelle språket du bruker i din egen personvernpolicy. Så det er viktig at du skisserer nøyaktig hvordan du planlegger å bruke personlig informasjon du samler inn, og at kundene er enige i den politikken når de gjør forretninger med deg. Det er imidlertid andre standarder som gjelder for bestemte bransjer også.
Shea sier, "En Internett-bedrift som samler personopplysninger om personer som befinner seg i USA, er først og fremst bundet av løftene som er gjort i nettstedet for personvern. Hvis en bedrift er en del av finansvirksomheten eller helsevesenet, kan det være underlagt kravene i Gramm-Leach-Bliley Act (GLBA) eller HIPAA (Health Information Protection and Portability Act). Hvis det samler inn data om barn under 13 år, kan det være ansvarlig i henhold til Childrens Online Privacy and Protection Act (COPPA). "
Betalinger er et annet stort område der bedrifter må fokusere på sikkerhetsarbeidet. Shea forklarer, "Bedrifter som aksepterer kredittkort, bør være sikre på at de overholder betalingskortindustrien Datasikkerhetsstandarder (PCI-DSS). Alle virksomheter som tar betaling med kredittkort, kreves av deres kortbehandlingsavtale for å ha implementert og opprettholde PCI-DSS. "
Internett-bedrifter må også være oppmerksomme på internasjonale lover eller de som fokuserer på personlig informasjon fra kunder utenfor USA, som GDPR-lovene som trådte i kraft for EU tidligere i år.
Når det gjelder å beskytte personlig informasjon, krever rettighetserklæringslovenes regler for identitetstyveri at enkelte bedrifter har skrevet beskyttelsesprogrammer for identitetstyveri. Og mange leverandøravtaleavtaler krever også at bedrifter skal implementere industristandard sikkerhetsprosedyrer som en del av deres kontraktavtaler.
Hvordan kan virksomheten din beskytte personlige opplysninger?
Det er mange trinn du kan og bør ta for å beskytte sensitive data og personlig identifiserbare opplysninger du samler om kunder, ansatte og leverandører. Din nøyaktige plan vil avhenge av hvilke data du faktisk samler inn. Men det er et grunnleggende prinsipp som gjelder i utgangspunktet alle virksomheter.
Shea sier, "Kardinalregelen og det første skrittet for en bedrift å ta for å beskytte mot brudd på data er å" kjenne dine data ". Et sterkt informasjonssikkerhetsprogram begynner med en datalager og et datakart. Denne øvelsen forteller en bedrift hvilke personopplysninger det samler inn og behandler om sine kunder og dets ansatte, og identifiserer hvor i systemet det er plassert slik at det best kan beskytte dataene. Videre bør det forstå hvordan personopplysningene blir behandlet og overført, hvor lenge det er beholdt, og hva det er forpliktelsene til dataforstyrrelse. "
Hun tilbød også en håndfull konkrete trinn du kan ansette. For eksempel:
- Slett all data fra systemet ditt som du ikke bruker eller trenger å beholde for juridiske eller samsvarssaker.
- Utvikle en datautbruddssvarsplan.
- Utvikle en forretnings-robusthet plan og sikkerhetskopiere viktige data i en pålitelig cloud server.
- Legg til kryptering for overføring og lagring av sensitiv personlig informasjon.
- Tren ansatte på sikkerhetsbevissthet.
- Krev ansatte til å bruke sterke passord, tofaktorautentisering og annen forebyggende sikkerhetspraksis.
- Ta kontakt med leverandørene om deres sikkerhetstiltak og praksis.
- Bruk EMV-chipkortteknologi for å redusere risikoen for kortsvindel.
Bilde via Shutterstock
Mer i: Hva er 2 kommentarer ▼