É provável que sua empresa colete informações pessoais sobre clientes, funcionários e / ou parceiros. Isso significa que você tem a obrigação de proteger essas informações. Não fazê-lo pode levar a questões legais ou mesmo falência. Infelizmente, muitas empresas se encontraram nessas situações nos últimos anos.
Jane Hils Shea, advogada de tecnologia e privacidade de dados da Frost Brown Todd, disse em entrevista por e-mail à Small Business Trends: “A frequência e a extensão das violações de dados estão em alta em termos de número de violações e número de registros individuais comprometida e as despesas associadas à resposta à violação de dados estão aumentando ”.
$config[code] not foundVeja o que sua pequena empresa precisa saber sobre informações pessoais e como protegê-las.
O que é informação pessoal?
Informações pessoalmente identificáveis ou dados pessoais confidenciais podem ser qualquer coisa usada para identificar a identidade pessoal de um indivíduo. Por exemplo:
- Nome
- Número da Segurança Social
- Informações de contato
- Informação de pagamento
- Endereço de IP
Há uma boa chance de sua empresa coletar algumas dessas informações sobre seus clientes. Toda vez que alguém paga com um cartão de crédito ou inscreve-se em sua lista de e-mail usando o nome e as informações de contato, você obtém acesso a informações pessoais.
Isso significa que você precisa ter políticas em vigor para proteger essas informações e permitir que os clientes saibam exatamente como você pretende usar esses dados. Veja o que você precisa saber.
Por que as informações pessoais são importantes para sua pequena empresa?
Existem leis e regulamentos que exigem que as empresas atendam a certos padrões quando se trata de armazenar e proteger informações pessoais. Na maioria dos casos, você está vinculado ao idioma real que você usa em suas próprias políticas de privacidade. Por isso, é importante definir exatamente como você planeja usar as informações pessoais coletadas e se os clientes concordam com essa política quando fazem negócios com você. No entanto, existem outros padrões que se aplicam a setores específicos também.
Shea diz: “Uma empresa on-line que coleta dados pessoais sobre pessoas localizadas nos EUA está basicamente vinculada às promessas feitas na política de privacidade de seu website. Se uma empresa fizer parte dos setores de serviços financeiros ou de assistência médica, ela poderá estar sujeita aos requisitos da Lei Gramm-Leach-Bliley (GLBA) ou da Lei de Proteção e Portabilidade de Informações de Saúde (HIPAA). Se coletar dados sobre crianças menores de 13 anos, poderá ser responsabilizada pela COPPA (Children Online Privacy and Protection Act). ”
Os pagamentos são outra área importante em que as empresas precisam concentrar seus esforços de segurança. Shea explica: “As empresas que aceitam cartões de crédito devem estar certas de que estão em conformidade com os Padrões de Segurança de Dados do Setor de Cartões de Pagamento (PCI-DSS). Todas as empresas que aceitam pagamento com cartão de crédito são obrigadas por seu contrato de processamento de cartões a implementar e manter o PCI-DSS. ”
As empresas on-line também precisam estar cientes das leis internacionais ou das que se concentram em informações pessoais de clientes fora dos EUA, como as leis GDPR que entraram em vigor para a UE no início deste ano.
Quando se trata de proteger informações pessoais, as Regras de roubo de identidade da Fair Credit Reporting Act exigem que certas empresas tenham programas escritos de proteção contra roubo de identidade. E muitos contratos de serviços de fornecedores também exigem que as empresas implementem procedimentos de segurança padrão do setor como parte de seus contratos.
Como sua empresa pode proteger informações pessoais?
Há muitas etapas que você pode e deve tomar para proteger os dados confidenciais e as informações pessoalmente identificáveis que você coleta sobre clientes, funcionários e fornecedores. Seu plano exato dependerá de quais dados você realmente coletará. Mas há um princípio essencial que se aplica basicamente a todos os negócios.
Shea diz: “A regra básica e o primeiro passo para uma empresa tomar para proteger contra violações de dados é“ conhecer seus dados ”. Um forte programa de segurança da informação começa com um inventário de dados e um mapa de dados. Este exercício informa a um negócio quais dados pessoais ele coleta e processa sobre seus clientes e seus funcionários e identifica onde está localizado em seu sistema para melhor proteger esses dados. Além disso, deve entender como os dados pessoais são processados e transmitidos, quanto tempo são retidos e quais são as obrigações de destruição de dados. ”
Ela também ofereceu um punhado de medidas concretas que você pode empregar. Por exemplo:
- Exclua todos os dados do seu sistema que você não usa ou precisa manter por motivos legais ou de conformidade.
- Desenvolver um plano de resposta à violação de dados.
- Desenvolva um plano de resiliência de negócios e faça backup de dados essenciais em um servidor em nuvem confiável.
- Adicione criptografia para a transmissão e armazenamento de informações pessoais confidenciais.
- Treine os funcionários em conscientização de segurança.
- Exija que os funcionários usem senhas fortes, autenticação de dois fatores e outras práticas de segurança preventiva.
- Verifique com seus fornecedores sobre suas medidas e práticas de segurança.
- Use a tecnologia de cartão com chip EMV para reduzir o risco de fraude de cartão.
Foto via Shutterstock
More in: O que é 2 Comentários ▼