Chansen är att ditt företag samlar in personlig information om kunder, anställda och / eller partners. Det innebär att du har en skyldighet att skydda den informationen. Underlåtenhet att göra det kan leda till juridiska problem eller till och med konkurs. Tyvärr har många företag befunnit sig i dessa situationer under de senaste åren.
Jane Hils Shea, tekniker och datasekretess för advokat för Frost Brown Todd sa i en e-postintervju med småföretagstendenser "Frekvensen och omfattningen av dataöverträdelser är på en heltäckande nivå när det gäller både antal överträdelser och antal enskilda poster komprometteras och kostnaderna i samband med uppgiftsbrott är ökande. "
$config[code] not foundHär är vad ditt småföretag behöver veta om personlig information och hur man skyddar den.
Vad är personlig information?
Personligt identifierbar information eller känsliga personuppgifter kan vara allt som används för att identifiera en persons personliga identitet. Till exempel:
- namn
- Personnummer
- Kontakt information
- Betalningsinformation
- IP-adress
Det finns en bra chans att ditt företag redan samlar in en del av denna information om dina kunder. När som helst någon betalar med ett kreditkort eller registrerar sig för din e-postlista med hjälp av deras namn och kontaktinformation, får du tillgång till personlig information.
Det innebär att du måste ha en policy för att skydda den här informationen och låta kunderna veta exakt hur du tänker använda dessa data. Här är vad du behöver veta.
Varför är personlig information viktig för ditt lilla företag?
Det finns lagar och regler som kräver att företagen uppfyller vissa standarder när det gäller att lagra och skydda personuppgifter. I de flesta fall är du bunden av det språk som du använder i din egen integritetspolicy. Så det är viktigt att du skisserar exakt hur du planerar att använda personlig information du samlar in och har kunderna överens om den politiken när de gör affärer med dig. Det finns dock andra standarder som gäller för specifika branscher också.
Shea säger, "En online-verksamhet som samlar personuppgifter om personer som befinner sig i USA är i första hand bunden av de löften som gjorts i sin webbplats för integritetspolicy. Om ett företag ingår i finansiella tjänster eller hälso- och sjukvårdsindustrin, kan det omfattas av kraven i Gramm-Leach-Bliley Act (GLBA) eller HIPAA (Health Information Protection and Portability Act). Om det samlar in uppgifter om barn under 13 år kan det vara ansvarigt enligt lagen om skydd och skydd av barn (COPPA).
Betalningar är ett annat stort område där företagen måste fokusera sina säkerhetsinsatser. Shea förklarar, "Företag som accepterar kreditkort bör vara säkra på att de överensstämmer med Betalningskortindustrin Datasäkerhetsstandarder (PCI-DSS). Alla företag som tar betalt med kreditkort krävs av sitt kortbehandlingsavtal att ha genomfört och behåll PCI-DSS. "
Online-företag måste också vara medvetna om internationella lagar eller de som fokuserar på personlig information från kunder utanför USA, som GDPR-lagarna som trädde i kraft för EU tidigare i år.
När det gäller att skydda personuppgifter kräver lagen om identitetsstöld för rättvisa rapporteringsplikt att vissa företag har skrivit skydd för identitetsstöldskydd. Och många leverantörsavtal innebär också att företagen ska genomföra branschstandard säkerhetsprocedurer som en del av sina kontraktsavtal.
Hur kan ditt företag skydda personuppgifter?
Det finns många steg du kan och bör ta för att skydda känsliga data och personligt identifierbar information som du samlar om kunder, anställda och leverantörer. Din exakta plan beror på vilken data du faktiskt samlar in. Men det finns en grundläggande princip som gäller för i princip alla verksamheter.
Shea säger, "Kardinalregeln och det första steget för ett företag att ta för att skydda mot dataöverträdelser är att" känna till dina uppgifter ". Ett starkt informationssäkerhetsprogram börjar med en datalagring och en datakarta. Denna övning berättar för ett företag vilka personuppgifter den samlar in och behandlar sina kunder och dess anställda och identifierar var i sitt system den är placerad så att den bäst kan skydda den data. Vidare bör det förstå hur personuppgifterna bearbetas och överförs, hur länge den behålls och vad dess uppgifter om förstörelse är. "
Hon erbjöd också en handfull konkreta steg som du kan använda. Till exempel:
- Ta bort all data från ditt system som du inte använder eller behöver behålla av juridiska eller överensstämmelse skäl.
- Utveckla en databasskyddsplan.
- Utveckla en affärsmotståndsplan och säkerhetskopiera viktiga data på en pålitlig molneserver.
- Lägg till kryptering för överföring och lagring av känslig personlig information.
- Träna anställda om säkerhetsmedvetenhet.
- Kräva anställda att använda starka lösenord, tvåfaktorsautentisering och andra förebyggande säkerhetspraxis.
- Kontrollera med dina leverantörer om deras säkerhetsåtgärder och rutiner.
- Använd EMV-chipkortsteknik för att minska risken för kortbedrägeri.
Foto via Shutterstock
Mer i: Vad är 2 kommentarer ▼