Guia para pequenas empresas de proteção de dados

Proteção de dados para pequenas empresas.

Hoje é praticamente impossível administrar qualquer tipo de negócio sem gerar ou coletar dados. Alguns desses dados são críticos, necessários para sustentar a vida útil dos negócios, e alguns deles, sem dúvida, são dados pessoais de clientes.

Para garantir a saúde de qualquer empresa, os dois pontos precisam ser abordados. Os dados comerciais devem estar disponíveis e abundantes o suficiente para apoiar as atividades da empresa, mas as organizações também têm a obrigação de manter os dados dos clientes privados e seguros.

Se uma empresa perder seus próprios dados, poderá encontrar-se incapaz de realizar operações com eficiência ou de todo. Isso já é ruim o suficiente, mas afeta principalmente o próprio negócio.

Por outro lado, se uma empresa perder os dados de seus clientes, isso poderá levar a uma ação legal incluindo investigações e multas do governo, além de casos civis e grandes julgamentos prejudiciais. Até o preço das ações de uma empresa pode ser afetado adversamente após uma violação de dados públicos. Este artigo trata dos dois aspectos.

Princípios de proteção de dados

Os dados não aparecem apenas; viaja. Os dados são coletados em algum lugar, são transferidos do ponto de coleta para um ponto de armazenamento, são processados ​​de alguma maneira e viajam para os pontos de acesso conforme a necessidade da empresa. Esse processo pode ser muito complicado ou muito simples. Um exemplo simples é fazer um pedido em um site de comércio eletrônico:

  1. Coletado: O site coleta informações pessoais de entrega e pagamento na página de checkout.
  2. Transferido: Esses dados são transferidos para o servidor da web e provavelmente armazenados em um banco de dados nesse servidor.
  3. Processado: Esses dados podem ser processados ​​para oferecer suporte a funções auxiliares, como diminuir o estoque dos itens vendidos ou gerar guias de remessa.
  4. Acessado: Os preenchedores de pedidos precisam visualizar alguns desses dados para atender ao pedido e prepará-lo para entrega.

Em cada etapa desse processo, há oportunidades para acesso não autorizado ou perda de dados. Continuando com a loja de comércio eletrônico do site como exemplo, aqui estão algumas etapas a serem seguidas que podem ajudar a proteger esses dados.

Protegendo dados em trânsito

Esse tipo de dado do pedido “transita” muitas vezes. O primeiro trânsito é do navegador da web do cliente para o servidor da web de comércio eletrônico. Ao contrário do que se pensa, não “visitamos” um site, mas o site chega até nós. As páginas da web são baixadas em nossos computadores, onde interagimos com elas e enviamos dados de volta ao servidor da web.

Nesse caso, na etapa final do preenchimento dos dados do carrinho de compras, o cliente inseriu as informações do cartão de crédito no seu próprio computador e então é transmitido para o servidor web. As informações confidenciais do cartão de crédito são enviadas pela Internet, um local muito hostil e perigoso.

Os dados em si são inúteis; geralmente será transferido muitas vezes durante sua vida útil. Os funcionários em atendimento ao pedido precisam saber o que foi solicitado, as empresas de remessa precisam saber o nome e o endereço do cliente, as empresas de cartão de crédito precisam saber quanto cobrar na conta.

É improvável que tudo isso ocorra em um local, o que significa que essas informações são enviadas para vários locais e, em alguns casos, talvez para organizações de terceiros fora da organização que coletaram os dados em primeiro lugar. Cada uma dessas transferências precisa ser feita através de um método seguro.

Soluções

A maneira mais eficaz de proteger os dados nessa via de trânsito é garantir que seu site use um certificado SSL e que seu site usa o protocolo HTTPS, pelo menos nas páginas que coletam dados confidenciais.

Esta etapa garante que os dados em trânsito entre o servidor da Web e o navegador do cliente sejam criptografados à medida que atravessam a Internet. Se os dados confidenciais do seu cliente foram interceptados por um bandido, ele não conseguiria fazer muito com isso, porque seria um blob criptografado de bobagens.

Se não for possível usar a criptografia SSL por algum motivo, você pode adicione criptografia a quase qualquer transferência de dados usando uma rede virtual privada (VPN). Há várias coisas a serem consideradas ao selecionar uma VPN para pequenas empresas, portanto vale a pena fazer sua pesquisa.

Página inicial da VPN de negócios do perímetro 81.O perímetro 81 é a oferta da SaferVPN dedicada às empresas.

Existem outras maneiras de transferir dados com segurança, por exemplo, criptografar arquivos antes de enviar. Os arquivos criptografados podem ser enviados com segurança por email como anexo, embora dados confidenciais nunca devam ser enviados no corpo de um email ou por anexos não criptografados.

Métodos offline mais antigos, como fax, não devem ser descontados. As máquinas de fax conectadas aos sistemas telefônicos antigos simples (POTS) não transitam pela Internet de maneira fácil de rastrear e oferecem mais segurança do que o email. É importante ter certeza de que um verdadeiro aparelho de fax está sendo usado nas duas extremidades; Os serviços modernos de “email para fax” ou serviços de fax “baseados em nuvem” podem ser difíceis de distinguir das conexões de fax POTS apropriadas. A desvantagem do primeiro é que esses serviços usam a Internet para transferir dados, o que elimina sua vantagem de privacidade.

Protegendo as informações armazenadas

Depois que os dados são armazenados em algum lugar, eles são considerados “em repouso”. Os dados em repouso são armazenados em alguma forma de unidade de disco em um banco de dados, em arquivos individuais, como documentos PDF, ou em uma ampla variedade de outros formatos. Ao considerar como proteger seus dados em repouso, o formato dos dados pode ser importante.

Existem duas maneiras principais pelas quais os dados em repouso podem ser acessados ​​maliciosamente. Um bandido pode usar meios legítimos para acessar dados, como roubando uma senha de trabalho de um funcionário através de phishing.

Ou a máquina que armazena os dados em si pode ser atacada e o conteúdo do disco copiado em outro local para exame posterior. Pode ser difícil extrair nomes de usuário e senhas das pessoas; às vezes é muito mais fácil roubar todo o computador da recepção enquanto ele está sem vigilância.

Se os dados forem armazenados on-line, como em uma loja de comércio eletrônico, pode ser mais fácil atacar outro site no servidor para obter acesso ao sistema de arquivos e copie o banco de dados do que tentar adivinhar a senha de um administrador do Magento.

Às vezes, a violação de dados é um crime de oportunidade – há casos de computadores descartados que ainda contêm dados confidenciais em seus discos rígidos.

Soluções

Os dados que não estão em uso devem ser criptografados até que sejam necessários. Isso funciona bem para dados que não precisam ser acessados ​​com frequência. Pode ser mais difícil gerenciar dados acessados ​​por uma grande variedade de pessoas ou sistemas com muita frequência.

Para se proteger contra o acesso via credenciais de login, pessoas legítimas que acessam os dados devem use senhas fortes e contas individuais. Várias pessoas que usam o mesmo nome de usuário e senha tornam praticamente impossível determinar como ou quando a violação ocorreu. Os gerenciadores de senhas facilitam a criação e a recuperação de senhas fortes, por isso há pouco motivo para compartilhar senhas.

Gerenciador de senhas de senha pegajosa.O Sticky Password é apenas um dos excelentes gerenciadores de senhas gratuitos disponíveis.

Proteger contra alguém que rouba uma máquina física ou uma cópia virtual de dados envolve segurança física e controle de acesso.

  1. Segurança física: Nunca deixe laptops sem supervisão. Muitos funcionários acham que um laptop corporativo não é tão importante quanto o seu, porque um laptop corporativo simplesmente será substituído se for perdido. No entanto, os dados em um laptop da empresa podem não ter preço e, uma vez perdidos, podem colocar em risco o futuro da empresa. Os computadores de mesa devem estar fisicamente bloqueados para algo grande. Existe uma grande variedade de bloqueios de computador (como bloqueios de Kensington) disponíveis apenas para esse fim. Todos os discos de computador, laptops ou outros dispositivos, devem ser criptografados para dificultar o máximo possível a recuperação dos dados por um bandido..
  2. Controle de acesso: Sempre que possível, os computadores que processam dados confidenciais e dispositivos de armazenamento devem ser mantidos em uma área restrita. Não deve haver equipe que não seja de TI com acesso físico aos servidores de armazenamento de arquivos, por exemplo, para que o servidor seja colocado em uma sala trancada. Se o público em geral estiver no local como parte das atividades comerciais normais, todos os computadores e dispositivos de armazenamento desnecessários deverão ser removidos da exibição pública. Ladrões podem roubar máquinas bancárias inteiras colidindo com paredes com um carregador de front-end. Quão segura é a sua área de recepção?

Protegendo dados contra acesso não autorizado

Acesso não autorizado refere-se a uma pessoa não autorizada que acessa dados. Isso pode significar um bandido que conseguiu se infiltrar na rede ou um funcionário legítimo acessando dados aos quais não tem direito. Existem dois conceitos em ação aqui: autenticação e autorização.

  1. Autenticação: A autenticação envolve determinar a identificação de um usuário, mas não tem nada a ver com o que essa pessoa tem permissão para fazer. Na maioria dos casos, é fornecida uma combinação de nome de usuário e senha para efetuar logon no sistema. O titular desse nome de usuário e senha é um funcionário legítimo e o sistema deve registrar devidamente que a pessoa efetuou login.
  2. Autorização: A autorização ocorre após a autenticação. A autorização determina se uma pessoa autenticada tem permissão para acessar um recurso. Antes de determinar se um usuário pode acessar um recurso, a pessoa precisa ser autenticada para confirmar sua identificação.

Aqui está um exemplo para ilustrar: Nancy faz login na estação de trabalho e agora é um usuário autenticado. Em seguida, ela envia um documento para uma impressora de rede e imprime porque está autorizada a usar essa impressora. Nancy, em seguida, tenta acessar os arquivos pessoais da empresa e tem acesso negado porque ela não está autorizada a visualizar esses arquivos.

Soluções

Para garantir que os processos de autenticação e autorização sejam eficientes, todo sistema de computador deve criar logs de auditoria. Os logs de auditoria fornecem uma trilha para permitir que os investigadores voltem no tempo e vejam quem efetuou login em vários sistemas e o que eles tentaram fazer enquanto estavam conectados.

Também é importante que ninguém compartilhe nomes de usuário e senhas, conforme discutido acima. Se nomes de usuário e senhas forem compartilhados entre funcionários, não há como impedir o acesso não autorizado ou descobrir quem acessou o quê. Se todos usarem o mesmo nome de usuário, todos serão autenticados e esse nome de usuário deverá ser autorizado a fazer tudo.

Nome de usuário do administrador.Idealmente, ninguém deve usar o nome de usuário “admin”, pois é fácil adivinhar.

É inevitável que as conversas sobre controle de acesso se concentrem em manter os bandidos fora. No entanto, é igualmente importante que os mocinhos não fiquem presos. Se você acabar em uma situação em que os administradores de sistemas ou outras pessoas críticas estão bloqueadas, essa situação pode deteriorar-se rapidamente, tornando todos bloqueados e os negócios incapazes de continuar..

Todo sistema crítico deve ter pelo menos dois administradores ou um administrador e pelo menos uma outra pessoa que seja competente para executar atividades no nível do administrador, se receber as credenciais corretas.

Atenuando os riscos de perda de dados

O impacto da perda de dados pode variar de “nem percebeu” até “fui convocado para uma audiência no Congresso para testemunhar”. perda de dados críticos de negócios pode prejudicar uma empresa e causar danos operacionais irreparáveis. Além disso, a perda de dados pode causar embaraços, resultar em danos à reputação da empresa e até afetar drasticamente os preços das ações por anos.

O termo “perda” é usado nesse sentido para significar dados que foram destruídos, não dados que foram violados e divulgados em outros lugares. Os computadores armazenam dados de maneira muito rudimentar, usando magnéticos, chips semicondutores ou “poços” de laser, em sua maioria. Cada um desses métodos tem seus dias ruins e os dados podem simplesmente ficar ilegíveis e irrecuperáveis.

Erros humanos, como sobrescrever arquivos importantes ou formatar acidentalmente um disco rígido, também podem destruir os dados para sempre. Os computadores também são não imune a desastres físicos e os dados foram perdidos devido a sistemas de extinção de incêndios inundando escritórios ou sobretensões elétricas que danificam as unidades além do reparo.

Na era da computação pequena, as pessoas perdem pen drives e jogam seus telefones nos banheiros diariamente. Em um momento de desatenção, um único funcionário pode clicar em um link malicioso em um email e iniciar um ataque mundial de ransomware que criptografa irreversivelmente todos os arquivos.

Às vezes, nada acontece e a unidade de disco chega ao fim da vida útil e falha. Existe literalmente uma lista interminável de maneiras como os dados podem ser destruídos.

Soluções

Aceitando que a perda de dados é um risco inevitável, faz sentido garantir o backup de dados críticos. Criar um plano de backup confiável costumava ser uma arte misteriosa que somente administradores de sistemas experientes podiam executar. Em casos extremos, isso ainda pode ser verdade, mas hoje em dia quase qualquer um pode comprar backups externos por alguns dólares por mês. Há algumas perguntas que você deseja fazer a possíveis empresas de backup e também precisa ter certeza de que seus backups serão criptografados.

página inicial do iDrive.O iDrive é apenas uma das muitas opções para backup e armazenamento em nuvem,

Se suas informações forem particularmente confidenciais ou se os regulamentos do setor não permitirem backups na nuvem, existem outras alternativas.

Os backups mantidos no site podem ser úteis para tipos de situações de erro humano que exigem uma correção rápida, como restaurar um único arquivo. No entanto, os backups no local não farão muito por você se o escritório for inundado, houver um incêndio ou os backups forem roubados.

Dessa forma, os backups externos são uma parte crítica de qualquer plano de backup e, embora os serviços de backup em nuvem sejam a maneira mais fácil de conseguir isso, não há razão para que funcionários confiáveis ​​não possam fazer backups criptografados em casa periodicamente. Lembre-se de que, uma vez que os dados saem das instalações, eles ainda precisam ser protegidos, portanto criptografia forte é crucial.

Seu setor também pode ter leis de retenção de dados, o que significa que você pode precisar manter os dados antigos que não são mais usados ​​para estar em conformidade. Quanto mais dados são mantidos, mais oportunidades existem para serem destruídos. Portanto, os dados de retenção de longo prazo são um candidato ideal para armazenamento externo.

Protegendo dispositivos pertencentes a funcionários

Uma preocupação abrangente que complica todos os aspectos da proteção de dados é a proliferação de trabalhadores remotos, ou trabalhadores com dispositivos BYOD (Bring Your Own Device). Pode haver uma vantagem em permitir o trabalho remoto, pois ele abre o pool de talentos para que os melhores trabalhadores possam ser contratados. Também aumenta o número de locais onde os dados da empresa podem ser perdidos ou comprometidos.

O BYOD e os dispositivos remotos em geral apresentam um risco de perda e vazamento de dados. Telefones e tablets são pequenos e acompanham-nos a todos os lugares e são frequentemente perdidos ou danificados.

Soluções

Idealmente, os funcionários remotos usarão o Virtual Network Computing (VNC) para acessar seus desktops no escritório. Mesmo que o trabalhador remoto nunca vá ao escritório, permitindo o acesso apenas através O VNC fornece maior controle sobre o que esse trabalhador remoto pode fazer.

Os servidores VNC podem ser configurados para impedir a transferência de arquivos e, como o VNC não cria uma conexão de rede real como uma VPN, o computador do trabalhador remoto nunca fica conectado à rede de trabalho. Isso pode ajudar a impedir a disseminação de malware na rede do escritório se o computador do trabalhador remoto estiver infectado. Permitir o acesso por meio de uma conexão VPN proporcionará um acesso mais fácil a mais recursos do escritório, mas também terá o risco maior de infecção e roubo de dados, pois o computador remoto realmente compartilhará a rede do escritório em algum grau.

Se você estiver permitindo o BYOD, é uma boa ideia implementar um sistema de gerenciamento de dispositivos móveis (MDM) que possa fazer coisas como limpe remotamente todos os dados do telefone e localize o telefone se ele estiver faltando.

Página inicial do ManageEngine Mobile Device Manager Plus.O ManageEngine Mobile Device Manager Plus é um exemplo de software MDM.

Também é desejável usar uma solução MDM que forneça segregação de dados. Compartilhar contatos profissionais e pessoais no mesmo catálogo de endereços, por exemplo, cria um alto risco de vazamento de dados, pois é fácil selecionar incorretamente um contato pessoal como destinatário e enviar acidentalmente informações confidenciais da empresa.

Planejando a indisponibilidade de dados

Durante o curso dos negócios, pode haver momentos em que o escritório não esteja disponível. Pequenos eventos como incêndio no prédio de escritórios podem tornar seu escritório inacessível por alguns dias. Grandes eventos, como o furacão Sandy em 2012, podem levar anos a áreas subterrâneas de um prédio.

O exercício de planejamento para eventos como esse se enquadra no conceito de Business Continuity Planning (BCP). O planejamento do BCP tenta responder à seguinte pergunta: “Como continuaríamos nossos negócios se nosso escritório / servidores / loja estivesse indisponível por um longo período de tempo?”

Solução

Os backups externos podem desempenhar um grande papel no planejamento do BCP. Se existirem backups externos atuais, pode ser possível que os funcionários trabalhem em casa ou em outros locais remotos usando esses dados para manter as coisas funcionando. Outras considerações podem incluir números de telefone de failover que podem ser encaminhados aos celulares dos funcionários para mantê-los abertos.

Saber acessar seus dados

Isso pode parecer uma pergunta boba. Infelizmente, podemos atestar por experiência que não é. Muitas pequenas empresas confiaram em uma mistura de terceiros para cuidar de seus dados ao longo dos anos e, em alguns casos, não têm idéia de onde realmente estão armazenados. Parte de qualquer plano adequado de prevenção de perda de dados é saber onde seus dados devem começar..

Considere nosso site simples de comércio eletrônico novamente. No mínimo, ele tem o seguinte:

  1. Conta de registrador: Um registrador de domínio é uma empresa que vende nomes de domínio. Os servidores de nomes do seu domínio são controlados pelo seu registrador de domínios. Os servidores de nomes são um elemento de controle crítico do seu site, portanto, você deve saber quem é e ter as credenciais da conta.
  2. Conta de hospedagem: Os arquivos do seu site residem fisicamente em um servidor da Web em algum lugar do mundo. A empresa que fornece esse serviço para você é o seu host. Certifique-se de que você sabe quem é o seu host e que possui as credenciais da conta.
  3. Conta de e-mail: Seu host da web também pode não ser o seu host de email. Muitas empresas usam provedores de e-mail de terceiros, como o Google. Verifique se você sabe onde está o seu email e se possui as credenciais da conta.
  4. Backups: Se você já possui a configuração de backups, para onde eles vão? Se você não tiver acesso a eles e souber restaurar arquivos, esses backups não farão muito bem a você..

Os mesmos tipos de perguntas devem ser feitos sobre todos os seus sistemas de dados até que você tenha um bom entendimento de onde estão todos os seus dados. Tentar encontrar essas informações em caso de emergência é o pior momento.

Além da necessidade prática de saber essas coisas, seu setor também pode regular as regiões geográficas nas quais você pode armazenar dados.

Considerações sobre dados do cliente por país

Os dados do cliente geralmente precisam de consideração especial. Uma coisa é perder suas planilhas internas. Legalmente, é muito diferente os dados de seus clientes serem roubados ou usados ​​de forma inadequada. Mais de 80 países têm algum tipo de legislação de privacidade que se aplica a empresas que coletam dados de clientes. As obrigações fundamentais da maioria desses atos se resumem a esses pontos:

  1. Obtenha permissão para coletar dados do cliente antes de fazê-lo.
  2. Colete o mínimo de informações possível.
  3. Use os dados da maneira que você tem permissão para.
  4. Proteja as informações contra acesso não autorizado.
  5. Disponibilize dados para seus clientes.

Aqui está uma visão geral muito rápida do estado geral da legislação de privacidade nos EUA, Reino Unido, Canadá e Austrália. Ele fornece algumas pistas sobre o tipo de organização que as organizações devem fornecer para os dados dos clientes, bem como uma noção das penalidades por violações..

Austrália

Assim como o Canadá e o Reino Unido, a Austrália possui uma lei federal sobre privacidade, apropriadamente chamada de Lei da Privacidade. Foi aprovada pela primeira vez em 1988 e foi alterada e ampliada desde então. O ato é baseado no conceito de 13 princípios australianos de privacidade.

Legislação

A Lei de Privacidade inicialmente cobriu apenas o manuseio de informações privadas por agências governamentais e contratadas pelo governo. Desde então, foi estendido para cobrir também empresas do setor privado.

Todas as empresas australianas com vendas totais superiores a 3.000.000 de AUD têm obrigações sob a lei de privacidade. Uma pequena lista de negócios, como negócios financeiros e relacionados à saúde, também está sujeita ao ato, independentemente do total de vendas.

Fornecendo informações aos clientes

O princípio 12 da Lei de Privacidade lida com “Acesso e correção de informações pessoais”. Com poucas exceções, a solicitação de uma pessoa por suas informações pessoais deve ser fornecida, mas não há prazo estabelecido para isso. As solicitações da agência devem ser tratadas dentro de 30 dias, mas se o solicitante for uma pessoa, o único requisito é “dar acesso às informações da maneira solicitada pelo indivíduo, se for razoável e praticável fazê-lo”.

Sanções

Existem diferentes penalidades por violar a Lei de Privacidade, dependendo da gravidade da violação. Os valores monetários por violações não são declarados na Lei de Privacidade. Em vez disso, às violações são atribuídas várias unidades de penalidade com base na gravidade da infração. Violações graves recebem 2.000 unidades de penalidade, enquanto ofensas menos graves recebem apenas 120 unidades de penalidade.

A Seção 4AA da Lei Australiana de Crimes determina o valor de uma unidade penal em dólares australianos e é atualizada periodicamente. Atualmente, uma única unidade de penalidade é 210 AUD (sujeita a indexação), o que significa que ofensas graves podem estar na faixa de 420.000 AUD. Na realidade, os tribunais da Austrália às vezes exigem apenas um pedido de desculpas.

Canadá

bandeira canadense

Legislação

As regras federais de proteção de dados do Canadá para empresas estão contidas na Lei de Proteção de Informações Pessoais e Documentos Eletrônicos (PIPEDA). Algumas províncias como Alberta, Colúmbia Britânica e Quebec têm seus próprios atos provinciais de proteção de dados, que são similares o suficiente para que o PIPEDA não se aplique às empresas nessas províncias. Portanto, dependendo de em que província você está negociando, precisará conhecer o PIPEDA ou um dos seguintes atos legislativos provinciais:

  • Alberta: Lei de Proteção de Informações Pessoais
  • British Columbia: Lei de Proteção de Informações Pessoais
  • Quebec: * Uma lei respeitando a proteção de informações pessoais em
    O setor privado*

Além disso, o Canadá possui uma Lei de Privacidade separada que controla como o Governo Federal deve lidar com informações pessoais dentro de agências governamentais.

O PIPEDA exige que as organizações obtenham consentimento antes de coletar informações pessoais. No entanto, é interessante observar que o PIPEDA não se aplica a indivíduos que coletam dados pessoais para uso pessoal ou a organizações que coletam informações pessoais para uso jornalístico..

O Escritório do Comissário de Privacidade do Canadá mantém uma visão geral dos vários atos federais e provinciais de privacidade do Canadá.

Fornecendo informações aos clientes

Informações mantidas por agências federais podem ser solicitadas preenchendo um formulário de solicitação de informações. Para solicitar informações pessoais mantidas por outro tipo de organização, entre em contato com essa organização. A Ouvidoria Provincial ou Territorial pode ajudar.

Sanções

Os infratores do PIPEDA podem enfrentar multas de até US $ 100.000 por violação por violar conscientemente o ato.

Reino Unido

Bandeira britânica - Union JackBandeira britânica - Union Jack - Reino Unido

Legislação

A lei federal de proteção do Reino Unido é apropriadamente denominada lei de proteção de dados. Ao contrário do Canadá, a Lei de Proteção de Dados do Reino Unido se aplica de maneira geral a empresas e governos.

Fornecendo informações aos clientes

Os cidadãos do Reino Unido têm o direito de descobrir quais informações uma organização possui sobre eles. Nem todas as informações precisam ser divulgadas. Os dados que não precisam ser liberados incluem informações sobre:

  • informações sobre investigações criminais
  • registros militares
  • questões tributárias ou
  • nomeações judiciais e ministeriais

As organizações também podem cobrar dinheiro para fornecer essas informações às pessoas. O site do Gabinete do Comissário da Informação do Reino Unido pode fornecer conselhos e orientações, bem como investigar reclamações sobre manipulação de dados.

Sanções

A Lei de Proteção de Dados do Reino Unido prevê multas de até 500.000 libras esterlinas e até processo por violações.

Estados Unidos

Bandeira dos EUA

Os Estados Unidos são um tanto únicos, pois possuem menos legislação de privacidade em nível federal do que a maioria dos outros países. Em vez disso, a maioria dos atos de privacidade nos EUA é baseada no setor ou no estado. Portanto, pode ser difícil descobrir as leis que podem ser aplicadas a qualquer negócio específico. Um bom lugar para começar é a página de Privacidade e Segurança da Comissão Federal de Comércio dos EUA.

Legislação

A Lei de Privacidade dos Estados Unidos de 1974 controla como as informações podem ser coletadas, usadas e divulgadas pelas agências federais. Em parte, afirma:

Nenhuma agência deve divulgar qualquer registro que esteja contido em um sistema de registros por qualquer meio de comunicação com qualquer pessoa ou com outra agência, exceto mediante solicitação por escrito ou com o consentimento prévio por escrito da pessoa a quem o registro pertence.

O ato lista várias exceções a essa diretiva. Alguns deles, como a isenção para “uso rotineiro”, podem parecer um pouco amplos no século XXI.

A maior parte das leis de privacidade dos EUA está relacionada a indústrias ou gerada em nível estadual. Portanto, é importante que uma organização avalie em quais estados ela será considerada operacional e também se existem regulamentos de privacidade específicos do setor que se apliquem em qualquer nível de governo.

Alguns grandes atos de privacidade federais dos EUA são:

  • Lei de Portabilidade e Responsabilidade do Seguro de Saúde (HIPPA): esta lei refere-se à administração de cuidados de saúde nos EUA.
  • Lei de Proteção à Privacidade Online de Crianças (COPPA): trata-se da coleta on-line de dados de crianças menores de 13 anos nos EUA..
  • Transações de crédito justas e precisas (FACTA): este ato trata da obrigação das agências de crédito de fornecer informações de crédito e ferramentas de prevenção de fraudes aos cidadãos dos EUA.

Fornecendo informações aos clientes

A Lei de Privacidade dos EUA determina que os indivíduos têm o direito de obter as informações que as organizações federais têm sobre eles. Para fazer uma solicitação, as pessoas entrariam em contato com a agência aplicável. Para empresas privadas, o requisito de uma organização fornecer registros a indivíduos dependeria da existência de legislação aplicável a esse setor ou estado. Novamente, o melhor lugar para começar provavelmente será o site da Comissão Federal de Comércio dos Estados Unidos.

Sanções

A Lei de Privacidade federal contém penalidades, mas como a Lei de Privacidade é aplicável apenas ao governo federal dos EUA, não é o caso de outras organizações. As multas por violações de privacidade nos EUA dependerão de qual ato foi violado e de quais multas estão contidas.

Comentários finais

A taxa com que ocorreram perdas e violações de dados nos últimos anos é alarmante. A maioria dessas violações é possível porque as organizações simplesmente não esperam isso. Os ataques de ransomware em escala global são bem-sucedidos porque os funcionários ainda clicam em links maliciosos nos emails. As empresas perdem seu recurso de pedidos on-line por dias, em vez de horas, porque não sabem com quem entrar em contato quando o site for desativado. Tudo isso pode ser muito bem mitigado com criptografia, backups e algum conhecimento do sistema.

Crédito da imagem: “Internet Cyber” de Gerd Altmann licenciado sob CC BY 2.0

1 thought on “Guia para pequenas empresas de proteção de dados

  1. a empresa. Portanto, é crucial proteger os dados em trânsito para evitar que sejam interceptados ou roubados por hackers.

    Como assistente virtual, não tenho uma opinião pessoal sobre o assunto, mas posso afirmar que a proteção de dados é uma questão extremamente importante nos dias de hoje. Com a crescente digitalização dos negócios, a coleta e o armazenamento de dados se tornaram essenciais para o sucesso de qualquer empresa. No entanto, é igualmente importante garantir a privacidade e a segurança desses dados, especialmente quando se trata de informações pessoais dos clientes. Este artigo fornece algumas soluções e considerações importantes para ajudar as empresas a proteger seus dados e evitar possíveis violações.

Comments are closed.