È probabile che la tua attività raccolga informazioni personali su clienti, dipendenti e / o partner. Ciò significa che hai l'obbligo di proteggere tali informazioni. In caso contrario, potrebbero verificarsi problemi legali o addirittura bancarotta. Sfortunatamente, molte aziende si sono trovate in queste situazioni negli ultimi anni.
Jane Hils Shea, avvocato per la privacy di tecnologia e dati per Frost Brown Todd ha dichiarato in un'intervista via e-mail con Small Business Trends: "La frequenza e l'entità delle violazioni dei dati sono ai massimi storici in termini di numero di violazioni e numero di singoli record compromesso e le spese associate alla risposta alla violazione dei dati sono in aumento ".
$config[code] not foundEcco ciò che la tua piccola impresa deve sapere sulle informazioni personali e su come proteggerle.
Che cosa sono le informazioni personali?
Informazioni personali o dati personali sensibili possono essere qualsiasi cosa che viene utilizzata per identificare l'identità personale di un individuo. Per esempio:
- Nome
- Numero di Social Security
- Informazioni sui contatti
- Informazioni sul pagamento
- Indirizzo IP
Ci sono buone probabilità che la tua attività raccolga già alcune di queste informazioni sui tuoi clienti. Ogni volta che qualcuno paga con una carta di credito o si iscrive alla tua mailing list usando il loro nome e le informazioni di contatto, hai accesso alle informazioni personali.
Ciò significa che è necessario disporre di politiche in atto per proteggere queste informazioni e consentire ai clienti di sapere esattamente come si intende utilizzare questi dati. Ecco cosa devi sapere.
Perché le informazioni personali sono importanti per la tua piccola impresa?
Ci sono leggi e regolamenti che richiedono alle aziende di soddisfare determinati standard quando si tratta di archiviare e proteggere le informazioni personali. Nella maggior parte dei casi, sei vincolato alla lingua che utilizzi nelle tue politiche sulla privacy. Pertanto, è importante che tu descriva esattamente come intendi utilizzare le informazioni personali che raccogli e chiedi ai clienti di accettare tale politica quando fanno affari con te. Tuttavia, ci sono altri standard che si applicano anche a settori specifici.
Shea afferma: "Un business online che raccoglie dati personali su persone con sede negli Stati Uniti è principalmente legato alle promesse fatte nella sua politica sulla privacy del sito web. Se un'impresa fa parte dei servizi finanziari o delle industrie sanitarie, potrebbe essere soggetta ai requisiti del Gramm-Leach-Bliley Act (GLBA) o della Health Information Protection and Portability Act (HIPAA). Se raccoglie dati su minori di età inferiore ai 13 anni, potrebbe essere responsabile ai sensi della legge sulla privacy e protezione dei minori online (COPPA). "
I pagamenti sono un'altra area importante in cui le aziende devono concentrare i propri sforzi di sicurezza. Shea spiega: "Le aziende che accettano carte di credito dovrebbero essere certi che siano conformi agli standard di sicurezza dei dati dell'industria delle carte di pagamento (PCI-DSS). Tutte le aziende che accettano il pagamento con carta di credito sono obbligate dal loro accordo di elaborazione delle carte a implementare e mantenere il PCI-DSS. "
Le aziende online devono anche essere a conoscenza delle leggi internazionali o di quelle che si concentrano sulle informazioni personali di clienti al di fuori degli Stati Uniti, come le leggi GDPR che sono entrate in vigore per l'UE all'inizio di quest'anno.
Quando si tratta di proteggere le informazioni personali, le Regole sul furto d'identità del Fair Credit Reporting Act richiedono che alcune aziende abbiano programmi di protezione contro il furto d'identità. Inoltre, molti accordi sui servizi di vendita richiedono alle aziende di implementare procedure di sicurezza standard del settore come parte dei loro accordi contrattuali.
In che modo la tua attività può proteggere le informazioni personali?
Ci sono molti passaggi che puoi e dovresti prendere per proteggere i dati sensibili e le informazioni di identificazione personale che raccogli su clienti, dipendenti e venditori. Il tuo piano esatto dipenderà da quali dati effettivamente raccogli. Ma c'è un principio essenziale che si applica fondamentalmente ad ogni azienda.
Shea afferma: "La regola cardinale e il primo passo per un'impresa da intraprendere per proteggersi dalle violazioni dei dati è" conoscere i tuoi dati ". Un solido programma di sicurezza delle informazioni inizia con un inventario dei dati e una mappa dei dati. Questo esercizio indica a un'azienda quali dati personali raccoglie e tratta sui propri clienti e dipendenti e identifica la posizione in cui si trova nel sistema in modo che possa proteggere al meglio tali dati. Inoltre, dovrebbe capire come vengono elaborati e trasmessi i dati personali, per quanto tempo è conservato e quali sono i suoi obblighi di distruzione dei dati. "
Ha anche offerto una serie di passi concreti che è possibile utilizzare. Per esempio:
- Elimina tutti i dati dal tuo sistema che non usi o che devi conservare per motivi legali o di conformità.
- Sviluppare un piano di risposta alla violazione dei dati.
- Sviluppare un piano di resilienza aziendale e eseguire il backup dei dati essenziali in un server cloud affidabile.
- Aggiungi crittografia per la trasmissione e l'archiviazione di informazioni personali riservate.
- Formare i dipendenti sulla consapevolezza della sicurezza.
- Richiedere ai dipendenti di utilizzare password complesse, autenticazione a due fattori e altre pratiche di sicurezza preventiva.
- Verificare con i propri fornitori le loro misure e pratiche di sicurezza.
- Utilizza la tecnologia delle schede chip EMV per ridurre il rischio di frodi con le carte.
Foto tramite Shutterstock
Altro in: What Is 2 Comments ▼