Es probable que su empresa recopile información personal sobre clientes, empleados y / o socios. Esto significa que usted tiene la obligación de proteger esa información. De lo contrario, podría dar lugar a problemas legales o incluso a la quiebra. Desafortunadamente, muchas empresas se han encontrado en estas situaciones en los últimos años.
Jane Hils Shea, abogada de tecnología y privacidad de datos para Frost Brown Todd, dijo en una entrevista por correo electrónico a Small Business Trends, "La frecuencia y el alcance de las violaciones de datos se encuentra en su punto más alto en términos de número de violaciones y número de registros individuales. comprometidos, y los gastos asociados con la respuesta a la violación de datos están aumentando ".
$config[code] not foundEsto es lo que su pequeña empresa necesita saber sobre la información personal y cómo protegerla.
¿Qué es la información personal?
La información de identificación personal o los datos personales confidenciales pueden ser cualquier cosa que se use para identificar la identidad personal de una persona. Por ejemplo:
- Nombre
- Número de seguridad social
- Información del contacto
- Información del pago
- Dirección IP
Es muy probable que su empresa ya recopile parte de esta información sobre sus clientes. Cada vez que alguien paga con una tarjeta de crédito o se registra en su lista de correo electrónico con su nombre e información de contacto, usted obtiene acceso a la información personal.
Esto significa que debe tener políticas vigentes para proteger esta información y que los clientes sepan exactamente cómo piensa utilizar estos datos. Esto es lo que necesitas saber.
¿Por qué es importante la información personal para su pequeña empresa?
Existen leyes y regulaciones que requieren que las empresas cumplan con ciertos estándares cuando se trata de almacenar y proteger información personal. En la mayoría de los casos, está obligado por el idioma real que usa en sus propias políticas de privacidad. Por lo tanto, es importante que describa exactamente cómo planea utilizar la información personal que recopila y que los clientes acepten esa política cuando hagan negocios con usted. Sin embargo, hay otras normas que se aplican a industrias específicas también.
Shea dice: “Un negocio en línea que recopila datos personales sobre personas ubicadas en los EE. UU. Está vinculado principalmente por las promesas hechas en la política de privacidad de su sitio web. Si una empresa es parte de las industrias de servicios financieros o de atención médica, podría estar sujeta a los requisitos de la Ley Gramm-Leach-Bliley (GLBA) o la Ley de protección y portabilidad de la información de salud (HIPAA). Si recopila datos sobre niños menores de 13 años, podría ser responsable conforme a la Ley de protección y privacidad en línea de los niños (COPPA, por sus siglas en inglés) ".
Los pagos son otra área importante donde las empresas necesitan enfocar sus esfuerzos de seguridad. Shea explica: “Las empresas que aceptan tarjetas de crédito deben asegurarse de cumplir con los Estándares de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI-DSS). "Todas las empresas que aceptan pagos con tarjeta de crédito están obligadas por su acuerdo de procesamiento de tarjetas a implementar y mantener el PCI-DSS".
Los negocios en línea también deben conocer las leyes internacionales o aquellas que se centran en la información personal de clientes fuera de los EE. UU., Como las leyes GDPR que entraron en vigencia para la UE a principios de este año.
Cuando se trata de proteger la información personal, las Reglas de Robo de Identidad de la Ley de Informes Justos de Crédito requieren que ciertas empresas tengan programas escritos de protección contra robo de identidad. Y muchos acuerdos de servicios de proveedores también requieren que las empresas implementen procedimientos de seguridad estándar de la industria como parte de sus acuerdos contractuales.
¿Cómo puede su empresa proteger la información personal?
Hay muchos pasos que puede y debe tomar para proteger los datos confidenciales y la información de identificación personal que recopila sobre clientes, empleados y proveedores. Su plan exacto dependerá de los datos que realmente recopile. Pero hay un principio esencial que se aplica básicamente a todas las empresas.
Shea dice: "La regla fundamental y el primer paso que debe tomar una empresa para protegerse contra las violaciones de datos es" conocer sus datos ". Un programa de seguridad de la información sólido comienza con un inventario de datos y un mapa de datos. Este ejercicio le dice a la empresa qué datos personales recopila y procesa sobre sus clientes y empleados, e identifica dónde se encuentra en su sistema para poder proteger mejor esos datos. Además, debe comprender cómo se procesan y transmiten los datos personales, cuánto tiempo se conservan y cuáles son sus obligaciones de destrucción de datos ".
Ella también ofreció un puñado de pasos concretos que puedes emplear. Por ejemplo:
- Elimine todos los datos de su sistema que no utilice o deba conservar por razones legales o de cumplimiento.
- Desarrollar un plan de respuesta a la violación de datos.
- Desarrolle un plan de resiliencia empresarial y haga una copia de seguridad de los datos esenciales en un servidor de nube confiable.
- Agregue el cifrado para la transmisión y el almacenamiento de información personal confidencial.
- Capacitar a los empleados en la conciencia de seguridad.
- Exigir a los empleados que usen contraseñas seguras, autenticación de dos factores y otras prácticas de seguridad preventiva.
- Consulte con sus proveedores acerca de sus medidas y prácticas de seguridad.
- Utilice la tecnología de tarjeta con chip EMV para reducir el riesgo de fraude con tarjetas.
Foto a través de Shutterstock
Más en: Qué es 2 comentarios ▼
