Rất có thể, doanh nghiệp của bạn thu thập thông tin cá nhân về khách hàng, nhân viên và / hoặc đối tác. Điều này có nghĩa là bạn có nghĩa vụ bảo vệ thông tin đó. Không làm như vậy có thể dẫn đến các vấn đề pháp lý hoặc thậm chí phá sản. Thật không may, nhiều doanh nghiệp đã tìm thấy chính mình trong những tình huống này trong nhiều năm qua.
Jane Hils Shea, luật sư về quyền riêng tư dữ liệu và công nghệ của Frost Brown Todd cho biết trong một cuộc phỏng vấn qua email với Xu hướng kinh doanh nhỏ, Tần suất và mức độ vi phạm dữ liệu ở mức cao nhất mọi thời đại về cả số lần vi phạm và số lượng hồ sơ cá nhân bị xâm phạm và các chi phí liên quan đến phản ứng vi phạm dữ liệu đang gia tăng.
$config[code] not foundĐây là những gì doanh nghiệp nhỏ của bạn cần biết về thông tin cá nhân và cách bảo vệ thông tin đó.
Thông tin cá nhân là gì?
Thông tin nhận dạng cá nhân hoặc dữ liệu cá nhân nhạy cảm có thể là bất cứ điều gì được sử dụng để xác định danh tính cá nhân của một cá nhân. Ví dụ:
- Tên
- Số an sinh xã hội
- Thông tin liên lạc
- Thông tin thanh toán
- Địa chỉ IP
Có một cơ hội tốt rằng doanh nghiệp của bạn thu thập một số thông tin này về khách hàng của bạn. Bất cứ khi nào ai đó thanh toán bằng thẻ tín dụng hoặc đăng ký danh sách email của bạn bằng tên và thông tin liên hệ của họ, bạn sẽ có quyền truy cập vào thông tin cá nhân.
Điều này có nghĩa là bạn cần phải có chính sách để bảo vệ thông tin này và cho khách hàng biết chính xác bạn dự định sử dụng dữ liệu này như thế nào. Đây là những gì bạn cần biết.
Tại sao thông tin cá nhân quan trọng đối với doanh nghiệp nhỏ của bạn?
Có luật pháp và quy định yêu cầu doanh nghiệp phải đáp ứng các tiêu chuẩn nhất định khi lưu trữ và bảo vệ thông tin cá nhân. Trong hầu hết các trường hợp, bạn đã bị ràng buộc bởi ngôn ngữ thực tế mà bạn sử dụng trong chính sách bảo mật của riêng bạn. Vì vậy, điều quan trọng là bạn phải phác thảo chính xác cách bạn dự định sử dụng bất kỳ thông tin cá nhân nào bạn thu thập và để khách hàng đồng ý với chính sách đó khi họ làm việc với bạn. Tuy nhiên, có những tiêu chuẩn khác cũng áp dụng cho các ngành cụ thể.
Shea nói, một doanh nghiệp trực tuyến thu thập dữ liệu cá nhân về những người ở Hoa Kỳ chủ yếu bị ràng buộc bởi những lời hứa trong chính sách bảo mật trang web của mình. NẾU doanh nghiệp là một phần của dịch vụ tài chính hoặc ngành chăm sóc sức khỏe, nó có thể phải tuân theo các yêu cầu của Đạo luật Gramm-Leach-Bliley (GLBA) hoặc Đạo luật bảo vệ thông tin và bảo vệ thông tin y tế (HIPAA). Nếu nó thu thập dữ liệu về trẻ em dưới 13 tuổi, nó có thể phải chịu trách nhiệm theo Đạo luật bảo vệ và quyền riêng tư trực tuyến của trẻ em (COPPA).
Thanh toán là một lĩnh vực chính khác, nơi các doanh nghiệp cần tập trung nỗ lực bảo mật của họ. Shea giải thích, các doanh nghiệp có thể chấp nhận thẻ tín dụng nên chắc chắn rằng họ tuân thủ Tiêu chuẩn bảo mật dữ liệu công nghiệp thẻ thanh toán (PCI-DSS). Tất cả các doanh nghiệp thanh toán bằng thẻ tín dụng đều được yêu cầu theo thỏa thuận xử lý thẻ của họ để thực hiện và duy trì PCI-DSS.
Các doanh nghiệp trực tuyến cũng cần lưu ý đến luật pháp quốc tế hoặc những luật tập trung vào thông tin cá nhân của khách hàng bên ngoài Hoa Kỳ, như luật GDPR có hiệu lực cho EU vào đầu năm nay.
Khi nói đến việc bảo vệ thông tin cá nhân, Quy tắc đánh cắp danh tính công bằng báo cáo tín dụng công bằng yêu cầu các doanh nghiệp nhất định phải có các chương trình bảo vệ chống trộm danh tính bằng văn bản. Và nhiều thỏa thuận dịch vụ của nhà cung cấp cũng yêu cầu các doanh nghiệp thực hiện các quy trình bảo mật tiêu chuẩn ngành như một phần của thỏa thuận hợp đồng.
Doanh nghiệp của bạn có thể bảo vệ thông tin cá nhân như thế nào?
Có nhiều bước bạn có thể và nên thực hiện để bảo vệ dữ liệu nhạy cảm và thông tin nhận dạng cá nhân bạn thu thập về khách hàng, nhân viên và nhà cung cấp. Kế hoạch chính xác của bạn sẽ phụ thuộc vào dữ liệu bạn thực sự thu thập. Nhưng có một nguyên tắc thiết yếu áp dụng cho cơ bản mọi doanh nghiệp.
Shea nói, quy tắc hồng y và bước đầu tiên để một doanh nghiệp thực hiện để bảo vệ chống lại các vi phạm dữ liệu là để biết dữ liệu của bạn. Một chương trình bảo mật thông tin mạnh mẽ bắt đầu với một kho dữ liệu và bản đồ dữ liệu. Bài tập này cho doanh nghiệp biết dữ liệu cá nhân nào họ thu thập và xử lý về khách hàng và nhân viên của mình và xác định vị trí trong hệ thống của mình để có thể bảo vệ dữ liệu đó tốt nhất. Hơn nữa, cần hiểu cách xử lý và truyền dữ liệu cá nhân, thời gian lưu giữ dữ liệu và nghĩa vụ hủy dữ liệu của nó là gì.
Cô cũng cung cấp một số bước cụ thể mà bạn có thể sử dụng. Ví dụ:
- Xóa tất cả dữ liệu khỏi hệ thống của bạn mà bạn không sử dụng hoặc cần giữ vì lý do pháp lý hoặc tuân thủ.
- Xây dựng kế hoạch ứng phó vi phạm dữ liệu.
- Phát triển một kế hoạch phục hồi kinh doanh và sao lưu dữ liệu cần thiết trong một máy chủ đám mây đáng tin cậy.
- Thêm mã hóa để truyền và lưu trữ thông tin cá nhân nhạy cảm.
- Đào tạo nhân viên về nhận thức an ninh.
- Yêu cầu nhân viên sử dụng mật khẩu mạnh, xác thực hai yếu tố và thực hành bảo mật phòng ngừa khác.
- Kiểm tra với các nhà cung cấp của bạn về các biện pháp và thực hành bảo mật của họ.
- Sử dụng công nghệ thẻ chip EMV để giảm nguy cơ gian lận thẻ.
Ảnh qua Shutterstock
Thêm trong: 2 Bình luận là gì