Guia per a petites empreses de protecció de dades

Protecció de dades de petites empreses.


Avui és pràcticament impossible fer cap tipus de negoci avui sense generar ni recopilar dades. Algunes d’aquestes dades són dades crítiques que es necessiten per mantenir la vida del negoci, i algunes, sens dubte, seran dades personals de clients..

Per garantir la salut de qualsevol negoci, cal abordar els dos punts. Les dades comercials han de ser disponibles i prou abundants per donar suport a les activitats del negoci, però les organitzacions també tenen l’obligació de mantenir les dades del client privades i segures.

Si una empresa perdés les seves pròpies dades, pot trobar-se incapaç de realitzar operacions de manera eficient o en absolut. Això és prou dolent, però sobretot afecta només al propi negoci.

Per contra, si una empresa perdés les dades dels seus clients, això podria conduir a accions legals incloses investigacions i multes governamentals, així com casos civils i sentències perjudicials. Fins i tot el preu de les accions d’una empresa es pot veure afectat de forma adversa després d’una falta de dades públiques. Aquest article tracta ambdós aspectes.

Principis de protecció de dades

Les dades no apareixen; viatja. Les dades es recullen en algun lloc, es transfereixen des del punt de recollida a un punt d’emmagatzematge, es processen d’alguna manera i es desplacen a punts d’accés segons el que necessiti l’empresa. Aquest procés pot ser molt complicat o pot ser molt senzill. Un exemple senzill és fer una comanda en un lloc web de comerç electrònic:

  1. Recollit: El lloc web recull informació de lliurament personal i informació de pagament a la pàgina de compra.
  2. Traspassat: Aquestes dades es transfereixen al servidor web i probablement s’emmagatzemen en una base de dades d’aquest servidor.
  3. Processat: Que es poden processar dades per admetre funcions auxiliars com ara disminuir l’inventari dels articles venuts o generar fitxes d’embalatge..
  4. S’ha accedit: Els carregadors de comandes han de veure algunes d’aquestes dades per complir la comanda i preparar-la per al seu lliurament.

A cada pas d’aquest procés, hi ha oportunitats d’accés no autoritzat o pèrdua de dades. A continuació, amb l’exemple de la botiga de comerç electrònic com a exemple, a continuació, es mostren alguns passos que cal ajudar a protegir aquestes dades.

Protecció de dades en trànsit

Aquest tipus de dades de comandes “transiten” moltes vegades. El primer trànsit és des del navegador web del client fins al servidor web de comerç electrònic. Al contrari de la creença habitual, no “visitem” un lloc web, sinó que el lloc web ens arriba. Les pàgines web es descarreguen als nostres ordinadors on interactuem amb elles i enviem dades al servidor web.

En aquest cas, en el darrer pas d’emplenar les dades del carretó de la compra, el client ha introduït les dades de la seva targeta de crèdit al seu propi ordinador i llavors ho és transmesos al servidor web. Aquesta informació de la targeta de crèdit sensible s’envia per Internet, que és un lloc molt antipàtic i perillós.

Les dades en si mateixes són inútils; normalment es transferirà moltes vegades durant la seva vida. Els empleats per complir l’ordre han de saber el que s’ha ordenat, les empreses navilieres han de saber el nom i l’adreça del client, les empreses de targetes de crèdit han de saber quant cobrar el compte.

És poc probable que tot això passi en un mateix lloc, cosa que significa que aquesta informació s’envia a diversos llocs i, en alguns casos, potser a organitzacions de tercers externes a l’organització que van recollir les dades en primer lloc. Cadascuna d’aquestes transferències s’ha de fer mitjançant un mètode assegurat.

Solucions

La manera més eficaç de protegir les dades sobre aquest tram de trànsit és assegurar-se que el vostre lloc web utilitza un certificat SSL i això el vostre lloc utilitza el protocol HTTPS, almenys a les pàgines que recullen dades sensibles.

Aquest pas garanteix que les dades en trànsit entre el vostre servidor web i el navegador del vostre client es xifren a mesura que es creua per Internet. Si les persones sensibles del vostre client fossin interceptades per un home dolent, ell no hi podrà fer molt perquè es tractaria d’una magnitud xifrada de xifres.

Si no és possible utilitzar el xifratge SSL per algun motiu, podeu fer-ho afegir xifratge a gairebé qualsevol transferència de dades mitjançant una xarxa privada virtual (VPN). Hi ha una sèrie de coses a tenir en compte a l’hora de seleccionar una VPN per a petites empreses, de manera que paga la vostra recerca.

Perímetre 81: pàgina d'inici de VPN empresarial.El perímetre 81 és l’oferta de SaferVPN dedicada a les empreses.

Hi ha altres maneres de transferir dades de forma segura, per exemple, per xifrant fitxers abans d’enviar. Els fitxers xifrats poden ser enviats de manera segura per correu electrònic com a fitxer adjunt, tot i que les dades confidencials no s’han d’enviar mai al cos d’un correu electrònic o a fitxers adjunts no xifrats..

No s’han de descomptar mètodes fora de línia, com ara faxs. Les màquines de fax connectades als Sistemes Telefònics Antics Llisos (POTS) no transiten Internet de manera fàcil de rastrejar i proporcionen més seguretat que el correu electrònic. És important estar segur que s’està utilitzant un equip de fax real als dos extrems; Els serveis actuals de “correu electrònic per fax” o serveis de fax “basats en núvol” actuals poden ser difícils de distingir de les connexions de fax POTS adequades. El desavantatge del primer és que aquests serveis utilitzen internet per transferir dades que eliminen el seu avantatge en privadesa.

Securitzar informació emmagatzemada

Una vegada emmagatzemades les dades en algun lloc, es considera “en repòs”. Les dades en repòs s’emmagatzemen en algun tipus de unitat de disc d’una base de dades, en fitxers individuals com documents PDF o en una gran varietat d’altres formats. Quan es planteja com protegir les vostres dades en repòs, el format de les dades pot ser important.

Hi ha dues formes principals en què es pot accedir malament a les dades en repòs. Un dolent pot utilitzar mitjans legítims per accedir a dades, com ara robar una contrasenya de treball d’un empleat a través de la pesca.

O la màquina que emmagatzema les dades en si es pot atacar i el contingut del disc es pot copiar en un altre lloc per examinar-lo més tard. Pot ser difícil eliminar noms d’usuari i contrasenyes de la gent; de vegades és molt més senzill robar tot l’ordinador de la recepció mentre no tingui atenció.

Si les dades s’emmagatzemen en línia, com en una botiga de comerç electrònic, pot ser més fàcil atacar un altre lloc del servidor per accedir al sistema d’arxius i copieu la base de dades que no pas intentar endevinar la contrasenya d’un administrador de Magento.

De vegades, l’incompliment de dades és un delicte d’oportunitat: hi ha casos d’ordinadors descartats que encara contenen dades sensibles als seus discs durs.

Solucions

Les dades que no s’utilitzin s’han de xifrar fins que siguin necessàries. Això funciona bé per a les dades a les quals no cal accedir sovint. Pot ser més difícil de gestionar per a dades a les quals s’accedeix amb gran freqüència de persones o sistemes.

Per protegir-se contra l’accés mitjançant les credencials d’inici de sessió, les persones legítimes que accedeixen a les dades haurien de fer-ho utilitzeu contrasenyes fortes i comptes individuals. Diverses persones que utilitzen el mateix nom d’usuari i contrasenya fan que sigui impossible, però, determinar com o quan s’ha produït l’incompliment. Els gestors de contrasenyes són molt fàcils de crear i recuperar contrasenyes fortes, de manera que ja hi ha pocs motius per compartir contrasenyes.

Gestor de contrasenyes enganxoses.Sticky Password és només un dels grans gestors de contrasenyes gratuïts disponibles.

La protecció contra algú que roba una màquina física o una còpia virtual de dades implica seguretat física i control d’accés.

  1. Seguretat física: No deixeu els ordinadors portàtils sense vigilància. Molts empleats consideren que un ordinador portàtil corporatiu no és tan important com el propi, perquè es substituirà un ordinador portàtil corporatiu si es perd. Tot i això, les dades d’un ordinador portàtil de l’empresa poden no tenir preu i, un cop perdudes, podrien posar en perill el futur de l’empresa. Els ordinadors d’escriptori haurien d’estar bloquejats físicament a alguna cosa important. Hi ha una gran varietat de panys d’ordinador (com els panys de Kensington) disponibles només amb aquest propòsit. Tots els discos d’ordinador, en ordinadors portàtils o altres dispositius, s’han de xifrar per tal de fer-lo el màxim dur possible per recuperar un tipus de dades..
  2. Control d’accés: Sempre que sigui possible, els equips que processin dades sensibles i dispositius d’emmagatzematge s’han de mantenir en una zona restringida. No hauria d’haver-hi personal que no sigui de TI amb accés físic als servidors d’emmagatzematge de fitxers, per exemple, de manera que s’ha de col·locar el servidor a una sala tancada. Si el públic general es troba en la premissa com a part de les activitats empresarials normals, tots els equips i dispositius d’emmagatzematge innecessaris haurien de ser eliminats de la vista pública. Els lladres poden robar màquines bancàries senceres xocant-se per les parets amb un carregador front-end. Com de segura és la vostra zona de recepció?

Protecció de dades d’accés no autoritzat

L’accés no autoritzat fa referència a una persona no autoritzada que accedeixi a les dades. Això podria significar un dolent que ha aconseguit infiltrar-se a la xarxa, o pot suposar un empleat legítim que accedeixi a dades a les quals no tenen dret. Aquí hi ha dos conceptes en funcionament: autenticació i autorització.

  1. Autenticació: L’autenticació implica determinar la identificació d’un usuari, però no té res a veure amb el que es pot fer a aquesta persona. En la majoria dels casos, es proporciona una combinació de nom d’usuari i contrasenya per iniciar la sessió en un sistema. El titular d’aquest nom d’usuari i contrasenya és un empleat legítim i el sistema ha de registrar degudament que la persona s’ha iniciat.
  2. Autorització: L’autorització es produeix després de l’autenticació. L’autorització determina si una persona autentificada té accés a un recurs. Abans de determinar si un usuari pot accedir a un recurs, cal autentificar la persona per confirmar la seva identificació.

Aquí teniu un exemple per il·lustrar: Nancy inicia la sessió de treball i ara és una usuària autentificada. A continuació, envia un document a una impressora de xarxa i s’imprimeix perquè està autoritzada a utilitzar-la. A continuació, Nancy intenta accedir als fitxers de personal de l’empresa i se li nega l’accés perquè no està autoritzada a veure aquests fitxers.

Solucions

Per garantir que els processos d’autenticació i autorització siguin eficients, tots els sistemes informàtics han de crear registres d’auditoria. Els registres d’auditoria proporcionen un rastre per permetre als investigadors retrocedir en el temps i veure qui es va iniciar la sessió en diversos sistemes i què van intentar fer mentre es van iniciar la sessió.

També és important que ningú comparteixi nom d’usuari i contrasenyes, tal com s’ha comentat anteriorment. Si els usuaris i les contrasenyes es comparteixen entre els empleats, no hi ha manera d’evitar l’accés no autoritzat ni esbrinar qui va accedir a què. Si tothom utilitza el mateix nom d’usuari, tothom està autenticat i s’ha d’autoritzar aquest nom d’usuari per fer-ho tot.

Nom d'usuari d'administradorL’ideal és que ningú hagi d’utilitzar el nom d’usuari “administrador” ja que és tan fàcil d’endevinar.

És inevitable que les converses sobre control d’accés se centrin en evitar que els dolents siguin foragitats. Tot i això, ho és igual d’important que els nois bons no es tanquin. Si acabeu en una situació en què els administradors de sistemes o altres persones crítiques queden bloquejades, aquesta situació pot deteriorar-se ràpidament perquè tothom està bloquejat i el negoci no podrà continuar.

Tot sistema crític ha de tenir almenys dos administradors o un administrador i almenys una altra persona que sigui competent per realitzar activitats a nivell d’administrador si se’ls dóna les credencials correctes..

Mitigant els riscos de pèrdua de dades

L’impacte de la pèrdua de dades pot anar des de “ni tan sols se’n va adonar” fins a “M’han cridat a una audiència del Congrés per testificar”. El la pèrdua de dades comercials crítiques pot afectar una empresa i causar-li danys operatius irreparables. A més, la pèrdua de dades pot causar vergonya, provocar danys en la reputació d’una empresa i fins i tot afectar dràsticament els preus de les accions durant anys.

El terme “pèrdua” s’utilitza en aquest sentit per significar dades destruïdes, no dades que han estat incomplides i divulgades en un altre lloc. Els ordinadors emmagatzemen dades de maneres molt rudimentàries mitjançant magnètica, xips de semiconductors o làser “fosses”, en la seva majoria. Cadascun d’aquests mètodes té els seus dies dolents i les dades poden ser simplement torbades i irrecuperables.

L’error humà, com ara sobreescriure fitxers importants o formatar accidentalment un disc dur també pot destruir dades per sempre. Els ordinadors també ho són no és immune als desastres físics i s’han perdut dades a causa dels sistemes d’aspersió d’incendis que inunden oficines o sobretensions elèctriques que malmeten els discos més enllà de les reparacions.

En l’època de la petita informàtica, les persones perden sticks USB i deixen anar els telèfons als banys diàriament. En un moment de desatenció, un sol empleat pot fer clic en un enllaç maliciós en un correu electrònic i llançar un atac mundial de ransomware que xifra de manera irreversible cada fitxer.

De vegades no passa res i la unitat de disc només arriba al final de la seva vida i falla. Hi ha literalment una llista ininterrompuda de maneres de destruir les dades.

Solucions

Acceptar que la pèrdua de dades és un risc inevitable, té sentit assegurar la còpia de seguretat de les dades crítiques. La creació d’un pla de còpia de seguretat fiable solia ser un art arcà que només podrien eliminar els administradors de sistemes experimentats. En casos extrems, això encara pot ser cert, però aquests dies gairebé qualsevol pot comprar còpies de seguretat fora de lloc per uns dòlars per mes. Hi ha algunes preguntes que voldreu fer a empreses potencials de còpia de seguretat i també voldreu estar segur que les vostres còpies de seguretat es xifraran..

Pàgina inicial d’iDrive.iDrive és només una de les moltes opcions de seguretat i emmagatzematge en núvol,

Si la informació és especialment sensible o la normativa del vostre sector no permet la còpia de seguretat en núvol, hi ha altres alternatives.

Les còpies de seguretat que es mantenen al lloc poden ser útils per a tipus de situacions d’error humà que requereixen una correcció ràpida, com ara restaurar un únic fitxer. Tot i això, les còpies de seguretat al lloc no us permetran gaire res si l’oficina està inundada, hi ha un incendi o si es roben les còpies de seguretat.

Com a tal, les còpies de seguretat externes són una part crítica de qualsevol pla de còpia de seguretat i, tot i que els serveis de còpia de seguretat en núvol són la manera més senzilla d’aconseguir-ho, no hi ha cap raó per la qual els empleats de confiança no poden portar còpies de seguretat xifrades a casa periòdicament. Tingueu en compte que, un cop les dades surten del local, encara cal protegir-lo el xifrat fort és crucial.

És possible que la vostra indústria tingui lleis de retenció de dades, cosa que significa que haureu de mantenir dades antigues que ja no utilitzeu per complir-les. Com més temps es conserven les dades, més oportunitats es poden destruir. Per tant, les dades de retenció a llarg termini són un candidat ideal per a emmagatzematge fora de lloc.

Protecció de dispositius propietaris dels empleats

Una preocupació general que complica tots els aspectes de la protecció de dades és la proliferació de treballadors remots o de treballadors amb dispositius Bring Your Own Device (BYOD). Pot haver un avantatge en permetre el treball a distància, ja que obre la piscina de talents perquè es puguin contractar els millors treballadors. També augmenta el nombre de llocs on es poden perdre o comprometre les dades de l’empresa.

BYOD i els dispositius remots en general comporten un risc de pèrdua i fuga de dades. Els telèfons i les tauletes són petits i van amb nosaltres a tot arreu, i sovint es perden o es fan malbé.

Solucions

L’ideal és que els treballadors remots utilitzin la virtual virtual Computing Network (VNC) per accedir als seus ordinadors de sobretaula a l’oficina. Fins i tot si el treballador remot no assistirà mai a l’oficina, només permetrà l’accés a través VNC permet un major control per sobre del que pot fer aquell treballador remot.

Els servidors VNC es poden configurar per impedir les transferències de fitxers i, com que VNC no crea una connexió de xarxa real com ho fa una VPN, l’ordinador del treballador remot mai està connectat a la xarxa de treball. Això pot ajudar a evitar la propagació de programari maliciós a la xarxa d’oficines si l’ordinador del treballador remot s’ha infectat. Permetre l’accés mitjançant una connexió VPN proporcionarà un accés més fàcil a més recursos d’oficina, però també té el major risc d’infecció i robatori de dades, ja que l’ordinador remot realment compartirà la xarxa d’oficines fins a cert punt..

Si permeteu BYOD, és una bona idea implementar un sistema de gestió de dispositius mòbils (MDM) que pot fer coses com ara esborra de forma remota totes les dades del telèfon i localitzeu el telèfon si ha desaparegut.

Pàgina inicial de ManageEngine Mobile Device Manager Plus.ManageEngine Mobile Device Manager Plus és un exemple de programari MDM.

També és desitjable utilitzar una solució MDM que ofereixi la segregació de dades. Compartir treballs i contactes personals en la mateixa llibreta d’adreces, per exemple, crea un alt risc de fuites de dades, ja que és fàcil seleccionar de manera incorrecta un contacte personal com a destinatari i enviar informació de l’empresa sensible..

Planificació de la indisponibilitat de dades

Al llarg del negoci, hi pot haver moments en què l’oficina no estigui disponible. Petits esdeveniments com un incendi a l’edifici d’oficines poden fer que la vostra oficina estigui inaccessible durant uns dies. Grans esdeveniments, com l’huracà Sandy el 2012, poden endur-se zones subterrànies d’un edifici durant anys.

L’exercici de la planificació d’esdeveniments com aquest entra dins del concepte de Planificació de continuïtat empresarial (BCP). La planificació BCP tracta de respondre la següent pregunta: “Com seguiríem fent negocis si la nostra oficina / servidors / botiga no estigués disponible per un període de temps prolongat?”

Solució

Les còpies de seguretat externes poden tenir un paper important en la planificació de BCP. Si existeixen còpies de seguretat fora de lloc, pot ser que els empleats treballin des de casa o en altres ubicacions remotes amb aquestes dades per continuar funcionant. Altres consideracions poden incloure números de telèfon amb reutilització que poden reenviar als telèfons mòbils dels empleats per mantenir els telèfons oberts.

Saber accedir a les vostres dades

Això pot semblar una tonteria. Malauradament, podem constatar per experiència que no ho és. Moltes petites empreses han confiat en una confusió de tercers per tenir cura de les seves dades al llarg dels anys i, en alguns casos, no saben on es guarda alguna. Una part de qualsevol pla de prevenció de pèrdues de dades adequat és saber on començar les vostres dades.

Penseu de nou al nostre senzill lloc web de comerç electrònic. Com a mínim, té el següent:

  1. Compte de registre: Un registrador de dominis és una empresa que ven noms de domini. Els registradors de nom del vostre domini estan controlats pel registre del vostre domini. Els servidors de noms són un element de control crític del vostre lloc web, per la qual cosa heu de saber qui és qui tinguin les credencials del compte.
  2. Compte de hosting: Els fitxers del vostre lloc web resideixen físicament en un servidor web en algun lloc del món. L’empresa que us proporciona aquest servei és el vostre amfitrió web. Assegureu-vos de saber qui és el vostre host web i que teniu les credencials del compte.
  3. Compte de correu electrònic: És possible que el vostre host web no sigui el vostre amfitrió de correu electrònic. Moltes empreses utilitzen proveïdors de correu electrònic de tercers com Google. Assegureu-vos de saber on es troba el vostre correu electrònic i que tingueu les credencials del compte.
  4. Còpies de seguretat: Si ja teniu la configuració de còpies de seguretat, on van? Si no hi teniu accés i no sabeu com restaurar fitxers, les còpies de seguretat no us serveixen gaire bé.

S’haurien de fer els mateixos tipus de preguntes sobre tots els vostres sistemes de dades fins que tingueu una bona comprensió d’on es troben totes les vostres dades. El moment pitjor és intentar trobar aquesta informació en cas d’emergència.

A part de la necessitat pràctica de conèixer aquestes coses, la vostra indústria també podrà regular les regions geogràfiques on teniu permès emmagatzemar dades.

Consideracions de les dades del client per país

Les dades del client solen tenir una consideració especial. Una cosa és perdre els fulls de càlcul interns. Legalment, és bastant diferent que les dades del client siguin robades o utilitzades de manera inadequada. Més de 80 països tenen una mena de legislació sobre privadesa que s’aplica a empreses que recullen dades de clients. Les obligacions fonamentals de la majoria d’aquests actes es limiten a aquests punts:

  1. Obteniu permís per recollir dades del client abans de fer-ho.
  2. Recolliu la menor informació possible.
  3. Feu servir les dades de la forma en què teniu permís.
  4. Protegir la informació contra l’accés no autoritzat.
  5. Poseu les dades a disposició dels vostres clients.

A continuació, es mostra una visió general de l’estat general de la legislació de privadesa als EUA, Regne Unit, Canadà i Austràlia. Ofereix algunes pistes sobre quin tipus d’organitzacions de protecció preveu proporcionar les dades del client, així com una idea de les sancions per infraccions.

Austràlia

Igual que el Canadà i el Regne Unit, Austràlia té un acte federal de privadesa que es coneix amb el nom de Llei de privadesa. Es va aprovar per primera vegada el 1988 i es va modificar i ampliar des de llavors. L’acte es basa en el concepte de 13 Principis australians de privadesa.

Legislació

La Llei de privadesa inicialment només tractava el maneig d’informació privada per part d’agències governamentals i contractistes governamentals. Des d’aleshores, s’ha estès a cobrir també empreses del sector privat.

Totes les empreses australianes amb vendes totals superiors a 3.000.000 AUD tenen obligacions en virtut de la Llei de privadesa. Una petita llista d’empreses com les empreses relacionades amb la salut i financeres també estan subjectes a la llei, independentment de les vendes totals.

Oferint als seus clients la informació

El principi 12 de la Llei de privadesa tracta sobre “L’accés i la correcció d’informació personal”. Amb algunes excepcions, s’ha de proporcionar la sol·licitud de la informació personal d’una persona, però no hi ha cap termini indicat per fer-ho. Les sol·licituds de l’agència s’han de tramitar en el termini de 30 dies, però si el sol·licitant és una persona, l’únic requisit és “donar accés a la informació de la manera que ho sol·liciti la persona, si és raonable i practicable fer-ho”.

Sancions

Hi ha diferents penalitzacions per violar la Llei de privadesa, depenent de com sigui greument l’incompliment. Els valors monetaris per incompliments no estan indicats a la Llei de privadesa. Més aviat, a les infraccions s’assignen diverses unitats de penalització en funció de la gravetat del delicte. Les infraccions greus s’assignen 2.000 unitats de pena mentre que se n’assignen faltes menys greus a tan sols 120 unitats de pena.

La secció 4AA de la Llei australiana de delictes estableix el valor d’una unitat de penalització en dòlars australians i s’actualitza de tant en tant. Actualment, una unitat de penalització única és de 210 AUD (subjectes a indexació), cosa que significa que les infraccions greus poden situar-se en el rang de 420.000 AUD. En realitat, els tribunals a Austràlia de vegades només requereixen disculpes.

Canadà

Bandera canadenca

Legislació

La normativa federal sobre protecció de dades per a empreses a Canadà es troba a la Llei de protecció de dades de caràcter personal i documents electrònics (PIPEDA). Algunes províncies com l’Alberta, la Colúmbia Britànica i el Quebec tenen els seus propis actes provincials de protecció de dades que són prou semblants que les PIPEDA no s’apliquen a les empreses d’aquestes províncies. Per tant, segons quina província realitzeu negocis, haureu de familiaritzar-vos amb la PIPEDA o en un dels actes legislatius provincials següents:

  • Alberta: Llei de protecció de dades personals
  • Columbia Britànica: Llei de protecció d’informació personal
  • Quebec: * Llei que respecta la protecció de la informació personal en
    el sector privat *

A més, el Canadà té una Llei de privadesa separada que controla la forma en què el govern federal gestiona la informació personal dins de les agències governamentals.

PIPEDA requereix que les organitzacions obtinguin el seu consentiment abans de recopilar informació personal. Tot i això, és interessant tenir en compte que PIPEDA no s’aplica a persones que recullen dades personals d’ús personal ni a organitzacions que recullin informació personal d’ús periodístic..

L’Oficina del Comissari de privadesa al Canadà manté una visió general dels diversos actes federals i provincials canadencs sobre privadesa.

Oferint als seus clients la informació

La informació de les agències federals es pot sol·licitar omplint un formulari de sol·licitud d’informació. Per sol·licitar informació personal de qualsevol altre tipus d’organització, poseu-vos en contacte amb aquesta. L’oficina d’ombudsman provincial o territorial pot ajudar-vos.

Sancions

Els infractors de PIPEDA poden fer front a multes de fins a 100.000 dòlars per violació per violar a consciència l’acte.

Regne Unit

Bandera britànica - union jackBritish flag - union jack - Regne Unit

Legislació

L’acte de protecció federal del Regne Unit és la denominació adequada Llei de protecció de dades. A diferència del Canadà, la Llei de protecció de dades del Regne Unit s’aplica a nivell general tant a les empreses com al govern.

Oferint als seus clients la informació

Els ciutadans del Regne Unit tenen dret a esbrinar quina informació té una organització sobre ells. Tanmateix, no s’ha de difondre tota la informació. Les dades que no s’han de publicar inclouen informació sobre:

  • informació sobre investigacions penals
  • registres militars
  • qüestions fiscals o
  • cites judicials i ministerials

Les organitzacions també poden cobrar diners per proporcionar aquesta informació a les persones. El lloc web de l’Oficina del Comissari d’Informació del Regne Unit pot proporcionar assessorament i orientació, així com investigar queixes sobre la gestió de dades.

Sancions

La Llei de protecció de dades del Regne Unit preveu multes de fins a 500.000 GBP i, fins i tot, persecució per infraccions.

Estats Units

Bandera dels Estats Units

Els Estats Units són una mica únics, ja que compta amb una legislació de privadesa menys federal que la majoria dels altres països. En canvi, la majoria d’actes de privacitat als Estats Units són d’indústria o estatals. Per tant, pot ser difícil descobrir les lleis que poden aplicar-se a qualsevol negoci concret. Un bon lloc per començar és la pàgina de privadesa i seguretat de la Comissió Federal de Comerç dels Estats Units.

Legislació

La Llei de privadesa dels Estats Units de 1974 controla la manera en què la informació pot ser recopilada, usada i revelada per agències federals. En part, estableix:

Cap agència no divulgarà cap registre que estigui inclòs en un sistema de registres per qualsevol mitjà de comunicació a cap persona oa una altra agència, excepte en virtut d’una sol·licitud per escrit de la persona o amb el consentiment previ per escrit de la persona a qui es faci el registre. pertanyents.

L’acte enumera després diverses excepcions a aquesta directiva. Alguns d’ells, com l’exempció de “ús rutinari” poden semblar una mica àmplia al segle XXI.

La majoria de les lleis de privadesa dels Estats Units estan relacionades amb indústries o generades a nivell estatal. Per tant, és important que una organització calculi quins estats es considerarà que funciona dins i també si hi ha alguna normativa de privadesa específica del sector que s’apliqui a qualsevol govern..

Alguns actes importants sobre la privadesa dels Estats Units són:

  • Llei de portabilitat i rendició de comptes de l’assegurança mèdica (HIPPA): aquest acte correspon a l’administració de l’assistència sanitària als EUA.
  • Llei de protecció de la privadesa en línia per a nens (COPPA): aquest acte tracta de la recollida en línia de dades sobre menors de 13 anys als EUA.
  • Transaccions de crèdit justes i precises (FACTA): aquest acte tracta de l’obligació de les agències de crèdit de proporcionar informació de crèdit i eines de prevenció del frau als ciutadans dels Estats Units.

Oferint als seus clients la informació

La Llei de privadesa dels Estats Units estableix que les persones tenen dret a obtenir la informació que les organitzacions federals tenen sobre elles. Per fer una sol·licitud, les persones es posaran en contacte amb l’agència corresponent. Per a les empreses privades, el requisit que una organització proporcioni registres a les persones dependria de l’existència de legislació aplicable a la indústria o estat. Un cop més, el millor lloc per començar probablement serà el lloc web de la Comissió Federal del Comerç dels Estats Units.

Sancions

La Llei federal de privadesa conté sancions, però la Llei de privadesa només s’aplica al govern federal dels Estats Units, que no és el cas d’altres organitzacions. Les sancions per infraccions a la privadesa als Estats Units depenen de quin acte hagi estat violat i de quines sancions s’incloguin.

Comentaris finals

El ritme amb què s’han produït pèrdues i incompliments de dades durant els darrers anys és alarmant. La majoria d’aquests incompliments són possibles perquè simplement les organitzacions no s’ho esperen. Els atacs de Ransomware a escala global tenen èxit perquè els empleats continuen fent clic en enllaços maliciosos als correus electrònics. Les empreses perden la seva capacitat de comanda en línia durant dies, en comptes d’hores, perquè no saben amb qui contactar quan el lloc web baixi. Tot això es pot mitigar perfectament amb el xifrat, les còpies de seguretat i alguns coneixements del sistema.

Crèdit d’imatge: “Internet Cyber” de Gerd Altmann amb llicència CC BY 2.0

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me