اطلاعات شخصی: چرا برای شما مهم است؟ کسب و کار؟
اطلاعات شخصی: چرا برای شما مهم است؟
کسب و کار؟
به احتمال زیاد، کسب و کار شما اطلاعات شخصی مشتریان، کارمندان و/یا شرکا را جمع آوری می کند. این بدان معناست که شما موظف به محافظت از آن اطلاعات هستید. عدم انجام این کار می تواند منجر به مشکلات حقوقی یا حتی ورشکستگی شود. متأسفانه، بسیاری از کسبوکارها در چندین سال گذشته خود را در این شرایط قرار دادهاند.
جین هیلز شی، وکیل حریم خصوصی دادهها و فناوری برای Frost Brown Todd در مصاحبه ایمیلی با Small Business Trends گفت: “تکرار و میزان نقض داده ها از نظر تعداد نقض و هم در بالاترین حد خود قرار دارد. تعداد سوابق فردی به خطر افتاده است، و هزینههای مرتبط با پاسخ به نقض دادهها در حال افزایش است.»
در اینجا چیزی است که کسبوکار کوچک شما باید درباره اطلاعات شخصی و چگونه از آن محافظت کنیم.
اطلاعات شخصی چیست؟
اطلاعات قابل شناسایی شخصی یا داده های شخصی حساس می تواند باشد هر چیزی که برای شناسایی هویت شخصی افراد استفاده می شود. به عنوان مثال:
- نام
- شماره تامین اجتماعی
- اطلاعات تماس
- اطلاعات پرداخت
- آدرس IP
احتمال زیادی وجود دارد که کسب و کار شما برخی از این اطلاعات را جمع آوری کند در مورد مشتریان شما در حال حاضر هر زمان که شخصی با کارت اعتباری پرداخت می کند یا با استفاده از نام و اطلاعات تماس خود در لیست ایمیل شما ثبت نام می کند، به اطلاعات شخصی دسترسی پیدا می کنید.
<این بدان معناست که شما باید خطمشیهایی برای محافظت از این اطلاعات داشته باشید و به مشتریان اطلاع دهید که دقیقاً چگونه قصد استفاده از این دادهها را دارید. این چیزی است که باید بدانید.
چرا اطلاعات شخصی برای کسبوکار کوچک شما مهم است؟
قوانین و مقرراتی وجود دارد که کسبوکارها را ملزم میکند که استانداردهای خاصی را در مورد ذخیره و محافظت از اطلاعات شخصی رعایت کنند. در بیشتر موارد، شما به زبان واقعی که در خطمشیهای رازداری خود استفاده میکنید، مقید هستید.
بنابراین مهم است که دقیقاً نحوه برنامه ریزی برای استفاده از اطلاعات شخصی که جمع آوری می کنید را مشخص کنید و از مشتریان بخواهید هنگام تجارت با شما با این خط مشی موافقت کنند. . با این حال، استانداردهای دیگری نیز برای صنایع خاص اعمال میشود.
شی میگوید: «یک کسبوکار آنلاین که دادههای شخصی افراد مستقر در ایالات متحده را جمعآوری میکند، در درجه اول متعهد به وعدههایی است که در خطمشی رازداری وبسایت خود داده شده است. . اگر کسبوکاری بخشی از خدمات مالی یا صنایع مراقبتهای بهداشتی باشد، میتواند مشمول الزامات قانون Gramm-Leach-Bliley (GLBA) یا قانون حفاظت از اطلاعات سلامت و قابلیت حمل (HIPAA) باشد. اگر دادههای مربوط به کودکان زیر ۱۳ سال را جمعآوری کند، ممکن است تحت قانون حفاظت از حریم خصوصی و حفاظت آنلاین کودکان (COPPA) مسئول باشد.»
پرداختها یکی دیگر از حوزههای اصلی است که کسبوکارها باید تلاشهای امنیتی خود را در آن متمرکز کنند. شی توضیح میدهد، «کسبوکارهایی که کارتهای اعتباری را میپذیرند باید مطمئن باشند که با استانداردهای امنیت دادههای صنعت کارت پرداخت مطابقت دارند. (PCI-DSS). همه مشاغلی که با کارت اعتباری پرداخت می کنند، طبق قرارداد پردازش کارت خود ملزم به اجرای و حفظ PCI-DSS هستند.”
کسب و کارهای آنلاین همچنین باید از قوانین بین المللی یا قوانینی که بر شخصی تمرکز می کنند آگاه باشند. اطلاعات مشتریان خارج از ایالات متحده، مانند قوانین GDPR که در اوایل سال جاری برای اتحادیه اروپا اجرایی شد.
وقتی صحبت از محافظت از اطلاعات شخصی به میان میآید، قوانین سرقت هویت قانون گزارش اعتبار منصفانه، برخی مشاغل را ملزم به داشتن برنامه های حفاظت از سرقت هویت نوشته شده و بسیاری از قراردادهای خدمات فروشنده همچنین از کسبوکارها میخواهند که رویههای امنیتی استاندارد صنعتی را به عنوان بخشی از قراردادهای قرارداد خود اجرا کنند.
<چگونه کسب و کار شما می تواند از اطلاعات شخصی محافظت کند؟
مراحل زیادی وجود دارد که می توانید و باید برای محافظت از داده های حساس و قابل شناسایی شخصی انجام دهید. اطلاعاتی که در مورد مشتریان، کارمندان و فروشندگان جمع آوری می کنید. طرح دقیق شما به داده هایی که واقعاً جمع آوری می کنید بستگی دارد. اما یک اصل اساسی وجود دارد که اساساً در مورد هر کسب و کاری صدق می کند.
شی می گوید: “قاعده اساسی و اولین قدمی که یک کسب و کار برای محافظت در برابر نقض داده ها باید بردارد این است که “اطلاعات خود را بشناسد”. یک برنامه امنیت اطلاعات قوی با فهرستی از دادهها و نقشه دادهها شروع میشود.
این تمرین به یک کسبوکار میگوید که چه دادههای شخصی را در مورد مشتریان و کارمندان خود جمعآوری و پردازش میکند، و مشخص میکند در کجای سیستم خود قرار دارد. بنابراین میتواند به بهترین شکل از آن دادهها محافظت کند.
بهعلاوه، باید بداند که دادههای شخصی چگونه پردازش و منتقل میشوند، چه مدت نگهداری میشوند، و چه تعهداتی برای تخریب دادهها دارد.»
او همچنین چند مرحله ملموس را ارائه کرد که می توانید از آنها استفاده کنید. به عنوان مثال:
- تمام دادههایی را که به دلایل قانونی یا مطابقت از آنها استفاده نمیکنید یا نیازی به نگهداری آنها ندارید، از سیستم خود حذف کنید.
- یک طرح پاسخ به نقض دادهها ایجاد کنید.< /li>
- برنامه تاب آوری کسب و کار تهیه کنید و از داده های ضروری در یک سرور ابری قابل اعتماد پشتیبان تهیه کنید.
- برای انتقال و ذخیره اطلاعات شخصی حساس، رمزگذاری اضافه کنید.
- آموزش کارکنان در زمینه آگاهی از امنیت.
- کارمندان را ملزم به استفاده قوی کنید. گذرواژهها، احراز هویت دو مرحلهای و سایر روشهای امنیتی پیشگیرانه.
- در مورد اقدامات و اقدامات امنیتی با فروشندگان خود مشورت کنید.
- از فناوری کارت تراشه EMV برای کاهش خطر تقلب کارت استفاده کنید.
مراحل حفاظت | توضیحات |
---|---|
داده های خود را بشناسید | شروع با فهرست و نقشه داده ها برای شناسایی داده های شخصی که جمع آوری و پردازش می کنید. نحوه استفاده، محل قرارگیری و تعهدات خود را در مورد تخریب داده ها بدانید. |
حذف کنید. دادههای غیرضروری | دادههایی را که دیگر استفاده نمیکنید یا به آنها نیاز ندارید، از سیستمهای خود حذف کنید، به خصوص اگر به دلایل قانونی یا مطابقت لازم نباشد. |
طرح پاسخگویی به نقض داده ایجاد کنید | طرحی ایجاد کنید که نحوه سازمان شما را مشخص کند. به نقض داده ها پاسخ می دهد، مسئولیت ها و روش های ارتباطی را تعیین می کند. |
یک کسب و کار ایجاد کنید. طرح انعطافپذیری | از دادههای ضروری در یک سرور ابری قابل اعتماد پشتیبانگیری کنید تا در صورت از دست رفتن یا نقض، از بازیابی اطلاعات اطمینان حاصل کنید. |
رمزگذاری را اجرا کنید | اطلاعات شخصی حساس را در حین انتقال و ذخیره سازی رمزگذاری کنید تا از دسترسی غیرمجاز محافظت شود. . |
آموزش آگاهی امنیتی | کارمندان را در مورد بهترین شیوه های امنیتی، از جمله شناسایی تهدیدهایی مانند فیشینگ و تمرین عادات امنیتی قوی آموزش دهید. |
گذرواژه های قوی و ۲FA را اعمال کنید | کارمندان را ملزم کنید از گذرواژه های قوی و منحصر به فرد استفاده کنند و برای امنیت بیشتر، احراز هویت دو مرحله ای (۲FA) را در نظر بگیرند. |
ارزیابی امنیت فروشنده | فروشندگان خود را ارزیابی کنید اقدامات و اقدامات امنیتی، با اطمینان از اینکه آنها با استانداردهای حفاظت از داده شما مطابقت دارند. |
کارت چیپ EMV. فناوری | تکنولوژی کارت تراشه EMV را برای تراکنش ها به منظور کاهش خطر تقلب کارت، به ویژه در پردازش پرداخت، پیاده سازی کنید. |
بهترین تمرین | توضیح |
---|---|
بهروزرسانی منظم نرمافزار و سیستمها | همه نرم افزارها و سیستم ها را با آخرین وصله های امنیتی به روز نگه دارید و در صورت امکان به روز رسانی خودکار را فعال کنید. |
سیاست های رمز عبور قوی را اجرا کنید | کارمندان را تشویق کنید تا از رمزهای عبور قوی و منحصر به فرد استفاده کنند و احراز هویت دو عاملی (۲FA) را در نظر بگیرند. | تیم خود را در مورد امنیت سایبری آموزش دهید | برگزاری جلسات آموزشی برای آموزش کارکنان در شناخت تهدیدهای رایج و ترویج فرهنگ هوشیاری. |
Wi-Fi خود را ایمن کنید. شبکه | از رمزهای عبور قوی Wi-Fi، پروتکل های رمزگذاری و به روز رسانی منظم سیستم عامل روتر استفاده کنید. یک شبکه مهمان ایجاد کنید. |
به طور منظم از داده های خود نسخه پشتیبان تهیه کنید | روشهای پشتیبانگیری از دادهها را اجرا کنید، نسخههای پشتیبان را به صورت ایمن ذخیره کنید، و به طور منظم فرآیندهای پشتیبانگیری و بازیابی را آزمایش کنید. |
نرم افزار آنتی ویروس را نصب و نگهداری کنید | نرم افزار آنتی ویروس معتبر را روی همه دستگاه ها نصب کنید و برای شناسایی و کاهش تهدیدات آن را به روز نگه دارید. |
طرح پاسخگویی به حوادث امنیت سایبری | ایجاد برنامهریزی کنید تا در صورت بروز تخلف، مسئولیتها را تعیین کنید و کانالهای ارتباطی ایجاد کنید. |
محدود کردن دسترسی به داده های حساس | از اصل حداقل امتیاز (PoLP) برای محدود کردن دسترسی به داده های حساس بر اساس نقش های شغلی پیروی کنید. |
بررسی منظم فعالیت شبکه | از سیستم های تشخیص نفوذ و پیشگیری استفاده کنید برای شناسایی و پاسخگویی به فعالیت مشکوک شبکه. |
دستگاه های تلفن همراه ایمن | اطمینان حاصل کنید که دستگاه های تلفن همراه دارای اقدامات امنیتی مانند پاک کردن از راه دور و رمزگذاری هستند و به کارکنان در مورد امنیت تلفن همراه آموزش می دهند. |
با کارشناسان امنیت سایبری همکاری کنید | با مشاوران امنیت سایبری یا MSSPها شریک شوید تا امنیت خود را ارزیابی کنید، آسیبپذیریها را شناسایی کنید و استراتژی ایجاد کنید. |
از تهدیدات نوظهور مطلع بمانید | با اشتراک در منابع خبری، شرکت در کنفرانس ها و غیره، از آخرین روندها و تهدیدات امنیت سایبری مطلع شوید. |
<توسعه یک استراتژی جامع حفاظت از داده ها
یک استراتژی قوی حفاظت از داده ها با شناخت سطوح مختلف حساسیت در اطلاعات شخصی جمع آوری شده آغاز می شود. دادههای حساس، مانند جزئیات مالی، سوابق بهداشتی، و شمارههای تامین اجتماعی، نیازمند اقدامات حفاظتی سختگیرانه از جمله رمزگذاری و کنترلهای دسترسی هستند.
تجار باید دادهها را در محل جمعآوری طبقهبندی کنند، سطوح حساسیت را تعیین کنند و تعیین کنند. پادمان های مناسب برای هر دسته. این طبقهبندی یک رویکرد حفاظتی لایهای را امکانپذیر میکند و اطمینان میدهد که حساسترین دادهها بالاترین سطح امنیت را دریافت میکنند.
اجرای ممیزیهای منظم دادهها برای حفظ دقت و ارتباط دادهها بسیار مهم است. این ممیزیها دادههای ذخیرهشده، سطوح دسترسی و استفاده از آنها را در برابر خطمشیهای حفظ حریم خصوصی و تعهدات انطباق شرکت ارزیابی میکنند.
بررسیهای مطابقت با آنها استانداردهایی مانند GDPR، HIPAA، یا CCPA، پایبندی مداوم به الزامات قانونی را تضمین میکند و به کسبوکارها کمک میکند از جریمههای پرهزینه و آسیبهای اعتباری اجتناب کنند.
افزایش اعتماد مشتری از طریق ایجاد خطمشیهای حفظ حریم خصوصی شفاف
شفافیت در نحوه مدیریت دادههای مشتری نقشی اساسی در ایجاد اعتماد دارد. یک خطمشی رازداری واضح و مختصر باید انواع دادههای جمعآوریشده، اهداف پردازش دادهها، اقدامات امنیتی موجود و حقوق مشتریان در مورد دادههایشان را بیان کند.
این خطمشی باید بهراحتی در دسترس باشد، در حالت ایدهآل. با خلاصه یا نکات برجسته برای بخش های کلیدی برای کمک به درک مطلب. بهروزرسانیهای منظم خطمشی رازداری، که منعکسکننده تغییرات در شیوههای داده یا الزامات قانونی است، شفافیت و اعتماد را بیشتر میکند.
اجرای مدیریت رضایت
مدیریت رضایت موثر تضمین می کند که مشتریان بر اطلاعات شخصی خود کنترل دارند. این شامل ارتباط واضح در مورد دادههای جمعآوریشده و استفاده مورد نظر از آن در محل جمعآوری است، که به مشتریان امکان انتخاب شرکت یا انصراف را میدهد.
برای اطلاعات حساس، رضایت صریح اغلب مورد نیاز است، که نیازمند سازوکاری ساده برای اعطای رضایت یا پس گرفتن رضایت مشتریان است. مدیریت دقیق سوابق رضایت نه تنها با الزامات قانونی مطابقت دارد، بلکه نشان دهنده احترام به ترجیحات مشتری است.
تهیه طرح پاسخ به نقض داده
آماده سازی برای مدیریت مؤثر نقض داده ها کلیدی است. یک طرح پاسخ به خوبی تعریف شده، اقداماتی را که باید بلافاصله پس از نقض انجام شود، از جمله ارزیابی دامنه، مهار نقض، و اطلاع رسانی به افراد و نهادهای نظارتی متاثر شده، تشریح میکند.
این طرح باید نقشها و مسئولیتهای خاصی را در داخل سازمان تعیین کند. سازمان برای مدیریت پاسخ به نقض، اطمینان از یک رویکرد هماهنگ و کارآمد.
تعهدات قانونی و ارتباط با مشتری
به دنبال نقض داده ها، پایبندی به تعهدات قانونی و نظارتی بسیار مهم است. این شامل اطلاع رسانی به موقع به مقامات و افراد آسیب دیده، ارائه جزئیات در مورد نقض، نوع داده های در معرض خطر، و اقدامات انجام شده برای رسیدگی به نقض است.
ارتباط شفاف با مشتریان، با تاکید بر اقدامات انجام شده برای ایمن سازی. داده های آنها و جلوگیری از نقض در آینده، برای حفظ اعتماد بسیار مهم است. ارائه پشتیبانی، مانند خدمات نظارت بر اعتبار، میتواند تعهد شرکت به حفاظت از مشتریان خود را بیشتر نشان دهد.
نتیجهگیری: حفاظت از آینده از طریق مدیریت مسئولانه داده
در عصری که دادهها هم دارایی ارزشمند و هم بدهی بالقوه هستند، اجرای استراتژیهای قوی حفاظت از دادهها، تقویت شفافیت، و آمادهسازی برای موارد غیرمنتظره برای کسبوکارها در هر اندازهای حیاتی است.
با توسعه استراتژیهای جامع حفاظت از دادهها، کسبوکارها نه تنها خود را در برابر پیامدهای مالی و اعتباری نقض دادهها محافظت میکنند. بلکه پایه و اساس اعتماد را با مشتریان خود ایجاد می کند.
شفافیت در شیوه های مدیریت داده ها به مشتریان اطمینان می دهد که اطلاعات شخصی آنها محترم و محافظت می شود و وفاداری را در یک بازار رقابتی تقویت می کند.
پیمایش در عواقب نقض دادهها با یکپارچگی و شفافیت، شهرت کسبوکار را بهعنوان یک نهاد قابل اعتماد بیشتر میکند.
در نهایت، تعهد به مدیریت و حفاظت مسئولانه دادهها گواهی بر تعهد کسبوکار به رفاه مشتریانش است. و حریم خصوصی.
در پذیرش این اصول، کسب و کارها نه تنها از چشم اندازهای قانونی در حال تحول پیروی می کنند، بلکه همچنین راه را برای رشد و موفقیت پایدار در عصر دیجیتال هموار کنید.
عکس از طریق Shutterstock