您的企业可能会收集有关客户,员工和/或合作伙伴的个人信息。这意味着您有义务保护该信息。如果不这样做可能会导致法律问题甚至破产。不幸的是,许多企业在过去几年中发现自己处于这些状况。
Frost Brown Todd的技术和数据隐私律师Jane Hils Shea在接受小企业趋势的电子邮件采访时说:“数据泄露的频率和程度在违规次数和个人记录数量方面都处于历史最高水平。受到损害,与数据泄露响应相关的费用正在增加。“
$config[code] not found以下是您的小型企业需要了解的有关个人信息以及如何保护个人信息的信息。
什么是个人信息?
个人身份信息或敏感个人数据可以是用于识别个人身份的任何信息。例如:
- 名称
- 社会安全号码
- 联系信息
- 支付信息
- IP地址
您的企业很有可能已经收集了有关您客户的部分信息。每当有人使用信用卡付款或使用他们的姓名和联系信息注册您的电子邮件列表时,您都可以访问个人信息。
这意味着您需要制定策略来保护此信息,并让客户确切了解您打算如何使用此数据。这是你需要知道的。
为什么个人信息对您的小型企业很重要?
在存储和保护个人信息方面,有些法律和法规要求企业满足某些标准。在大多数情况下,您受自己的隐私政策中使用的实际语言的约束。因此,您必须详细说明您计划如何使用您收集的任何个人信息,并让客户在与您开展业务时同意该政策。但是,还有其他标准也适用于特定行业。
Shea说:“收集位于美国的人的个人数据的在线业务主要受其网站隐私政策中的承诺约束。如果企业是金融服务或医疗保健行业的一部分,则可能符合Gramm-Leach-Bliley法案(GLBA)或健康信息保护和便携法案(HIPAA)的要求。如果它收集有关13岁以下儿童的数据,根据儿童在线隐私和保护法案(COPPA)可能要承担责任。“
付款是企业需要关注其安全工作的另一个主要领域。 Shea解释说,“接受信用卡的企业应该确保他们遵守支付卡行业数据安全标准(PCI-DSS)。所有通过信用卡付款的企业都需要通过卡处理协议来实施和维护PCI-DSS。“
在线企业还需要了解国际法或那些专注于美国以外客户的个人信息的法律,例如今年早些时候为欧盟生效的GDPR法律。
在保护个人信息方面,“公平信用报告法”的身份盗窃规则要求某些企业拥有书面身份盗窃保护计划。许多供应商服务协议还要求企业实施行业标准安全程序,作为其合同协议的一部分。
您的企业如何保护个人信息?
您可以并且应该采取许多步骤来保护您收集的有关客户,员工和供应商的敏感数据和个人身份信息。您的具体计划取决于您实际收集的数据。但是有一个基本原则适用于基本上每个企业。
Shea说:“基本规则和企业采取的防止数据泄露的第一步是”了解您的数据“。强大的信息安全计划始于数据清单和数据映射。此练习告诉企业它收集和处理有关其客户及其员工的个人数据,并确定其所在系统的位置,以便最好地保护这些数据。此外,它应该了解如何处理和传输个人数据,保留多长时间以及数据销毁义务是什么。“
她还提供了一些你可以采用的具体步骤。例如:
- 从法律或合规性原因中删除您未使用或需要保留的系统中的所有数据。
- 制定数据违规响应计划。
- 制定业务弹性计划并在可靠的云服务器中备份基本数据。
- 为敏感个人信息的传输和存储添加加密。
- 培训员工的安全意识。
- 要求员工使用强密码,双因素身份验证和其他预防性安全措施。
- 请咨询您的供应商,了解他们的安全措施和做法。
- 使用EMV芯片卡技术降低卡欺诈的风险。
照片来自Shutterstock
更多内容:什么是2评论▼