Hướng dẫn kinh doanh nhỏ để bảo vệ dữ liệu

Bảo vệ dữ liệu doanh nghiệp nhỏ.


Ngày nay, hầu như không thể điều hành bất kỳ loại hình kinh doanh nào mà không tạo hoặc thu thập dữ liệu. Một số dữ liệu đó là dữ liệu quan trọng cần thiết để duy trì cuộc sống của doanh nghiệp và một số dữ liệu chắc chắn sẽ là dữ liệu khách hàng cá nhân.

Để đảm bảo sức khỏe của bất kỳ doanh nghiệp, cả hai điểm cần được giải quyết. Dữ liệu kinh doanh phải có sẵn và đủ phong phú để hỗ trợ các hoạt động của doanh nghiệp, nhưng các tổ chức cũng có nghĩa vụ giữ dữ liệu của khách hàng riêng tư và an toàn.

Nếu một doanh nghiệp bị mất dữ liệu của chính mình, nó có thể tự tìm thấy không thể thực hiện hoạt động hiệu quả hoặc ở tất cả. Điều đó là đủ xấu, nhưng chủ yếu chỉ ảnh hưởng đến chính doanh nghiệp.

Ngược lại, nếu một doanh nghiệp mất dữ liệu khách hàng của mình, điều đó có thể dẫn đến hành động pháp lý bao gồm các cuộc điều tra của chính phủ và tiền phạt, cũng như các vụ án dân sự và các bản án gây thiệt hại lớn. Ngay cả giá cổ phiếu của công ty cũng có thể bị ảnh hưởng bất lợi sau khi vi phạm dữ liệu công khai. Bài viết này đề cập đến cả hai khía cạnh.

Nguyên tắc bảo vệ dữ liệu

Dữ liệu không chỉ xuất hiện; nó đi du lịch Dữ liệu được thu thập ở đâu đó, nó được chuyển từ điểm thu thập đến điểm lưu trữ, nó được xử lý theo một cách nào đó và nó di chuyển đến các điểm truy cập khi doanh nghiệp cần. Quá trình đó có thể rất phức tạp hoặc nó có thể rất đơn giản. Một ví dụ đơn giản là nhận đơn đặt hàng trên trang web thương mại điện tử:

  1. Sưu tầm: Trang web thu thập thông tin giao hàng cá nhân và thông tin thanh toán trên trang thanh toán.
  2. Chuyển nhượng: Dữ liệu đó được truyền đến máy chủ web và có thể được lưu trữ trong cơ sở dữ liệu trên máy chủ đó.
  3. Xử lý: Dữ liệu đó có thể được xử lý để hỗ trợ các chức năng phụ trợ như giảm hàng tồn kho của các mặt hàng được bán hoặc để tạo phiếu đóng gói.
  4. Đã truy cập: Các đơn đặt hàng cần xem một số dữ liệu đó để hoàn thành đơn hàng và chuẩn bị giao hàng.

Trong mỗi bước của quy trình đó, có cơ hội truy cập trái phép hoặc mất dữ liệu. Tiếp tục với cửa hàng thương mại điện tử của trang web làm ví dụ, đây là một số bước cần thực hiện để có thể giúp bảo vệ dữ liệu đó.

Bảo vệ dữ liệu quá cảnh

Kiểu dữ liệu thứ tự này chuyển đổi qua mạng nhiều lần. Quá cảnh đầu tiên là từ trình duyệt web của khách hàng LinkedIn đến máy chủ web thương mại điện tử. Trái với suy nghĩ thông thường, chúng tôi không truy cập vào một trang web, thay vào đó, trang web đến với chúng tôi. Các trang web được tải xuống máy tính của chúng tôi nơi chúng tôi tương tác với chúng và gửi dữ liệu trở lại máy chủ web.

Trong trường hợp này, trong bước cuối cùng để điền dữ liệu giỏ hàng, khách hàng đã nhập thông tin thẻ tín dụng của họ trên máy tính của họ và sau đó nó là truyền đến máy chủ web. Thông tin thẻ tín dụng nhạy cảm đó được gửi qua internet, một nơi rất không thân thiện và nguy hiểm.

Dữ liệu tự nó là vô dụng; nó thường sẽ được chuyển nhiều lần trong đời. Nhân viên thực hiện đơn hàng cần biết những gì đã được đặt hàng, các công ty vận chuyển cần biết tên và địa chỉ của khách hàng, các công ty thẻ tín dụng cần biết bao nhiêu để tính phí tài khoản.

Nó không chắc chắn tất cả những điều này xảy ra tại một điểm, điều đó có nghĩa là thông tin này được gửi đến một số nơi và trong một số trường hợp, có lẽ là cho các tổ chức bên thứ ba bên ngoài tổ chức đã thu thập dữ liệu ở nơi đầu tiên. Mỗi lần chuyển đó cần được thực hiện thông qua một phương thức bảo mật.

Các giải pháp

Cách hiệu quả nhất để bảo vệ dữ liệu trên chặng đường quá cảnh này là đảm bảo trang web của bạn sử dụng chứng chỉ SSL và đó trang web của bạn sử dụng giao thức HTTPS, ít nhất là trên các trang thu thập dữ liệu nhạy cảm.

Bước này đảm bảo rằng dữ liệu chuyển tiếp giữa máy chủ web của bạn và trình duyệt khách hàng của bạn được mã hóa khi nó đi qua internet. Nếu dữ liệu nhạy cảm của khách hàng của bạn bị kẻ xấu chặn lại, anh ta sẽ không thể làm gì nhiều với dữ liệu đó vì đó sẽ là một đốm vô nghĩa được mã hóa.

Nếu vì lý do đó, không thể sử dụng mã hóa SSL, bạn có thể thêm mã hóa vào hầu hết mọi chuyển dữ liệu bằng cách sử dụng Mạng riêng ảo (VPN). Có một số điều cần tính đến khi chọn VPN doanh nghiệp nhỏ để trả tiền để thực hiện nghiên cứu của bạn.

Chu vi 81 trang chủ VPN kinh doanh.Chu vi 81 là SaferVPN cung cấp dành riêng cho các doanh nghiệp.

Có nhiều cách khác để truyền dữ liệu một cách an toàn, ví dụ: mã hóa tập tin trước khi gửi. Các tệp được mã hóa có thể được gửi một cách an toàn qua email dưới dạng tệp đính kèm, mặc dù dữ liệu nhạy cảm không bao giờ được gửi trong phần thân của email hoặc qua tệp đính kèm không được mã hóa.

Các phương thức ngoại tuyến cũ hơn như fax không nên được giảm giá. Các máy fax được nối với Hệ thống Điện thoại Cũ (POTS) không truyền qua internet theo cách dễ theo dõi và cung cấp bảo mật hơn email. Điều quan trọng là phải chắc chắn rằng một máy fax thực sự đang được sử dụng ở cả hai đầu; Ngày nay, email email đến fax dịch vụ fax hoặc dịch vụ fax fax trên nền tảng đám mây có thể khó phân biệt với các kết nối fax POTS thích hợp. Nhược điểm trước đây là các dịch vụ đó sử dụng internet để truyền dữ liệu giúp loại bỏ lợi thế riêng tư của họ.

Bảo mật thông tin được lưu trữ

Khi dữ liệu đã được lưu trữ ở đâu đó, nó được coi là phần còn lại. Dữ liệu ở phần còn lại được lưu trữ trên một số dạng ổ đĩa trong cơ sở dữ liệu, trong các tệp riêng lẻ như tài liệu PDF hoặc ở nhiều định dạng khác. Khi xem xét cách bảo vệ dữ liệu của bạn khi nghỉ ngơi, định dạng của dữ liệu có thể quan trọng.

Có hai cách chính trong đó dữ liệu tại phần còn lại có thể bị truy cập độc hại. Một kẻ xấu có thể sử dụng các phương tiện hợp pháp để truy cập dữ liệu như đánh cắp mật khẩu làm việc từ một nhân viên thông qua lừa đảo.

Hoặc máy lưu trữ dữ liệu có thể bị tấn công và nội dung đĩa được sao chép ở nơi khác để kiểm tra sau. Có thể khó để loại bỏ tên người dùng và mật khẩu ra khỏi mọi người; đôi khi việc đánh cắp toàn bộ máy tính từ quầy lễ tân sẽ dễ dàng hơn nhiều trong khi nó không được giám sát.

Nếu dữ liệu được lưu trữ trực tuyến, chẳng hạn như trong cửa hàng thương mại điện tử, có thể dễ dàng tấn công một trang web khác trên máy chủ để có quyền truy cập vào hệ thống tệp và sao chép cơ sở dữ liệu hơn là cố gắng đoán mật khẩu Magento admin.

Đôi khi vi phạm dữ liệu là một tội ác của cơ hội – có những trường hợp máy tính bị loại bỏ vẫn chứa dữ liệu nhạy cảm trên ổ cứng của họ.

Các giải pháp

Dữ liệu không được sử dụng nên được mã hóa cho đến khi nó cần. Điều này hoạt động tốt cho dữ liệu mà không cần phải truy cập thường xuyên. Có thể khó quản lý dữ liệu được nhiều người hoặc hệ thống truy cập rất thường xuyên.

Để bảo vệ chống truy cập thông qua thông tin đăng nhập, những người hợp pháp truy cập dữ liệu nên sử dụng mật khẩu mạnh và tài khoản cá nhân. Nhiều người sử dụng cùng tên người dùng và mật khẩu làm cho tất cả nhưng không thể xác định cách thức hoặc thời điểm vi phạm xảy ra. Trình quản lý mật khẩu giúp tạo và lấy lại mật khẩu cực kỳ dễ dàng, vì vậy, có rất ít lý do để chia sẻ mật khẩu nữa.

Mật khẩu quản lý mật khẩu dính.Mật khẩu dính chỉ là một trong những trình quản lý mật khẩu miễn phí tuyệt vời có sẵn.

Bảo vệ chống lại ai đó đánh cắp máy vật lý hoặc bản sao dữ liệu ảo liên quan đến bảo mật vật lý và kiểm soát truy cập.

  1. Bảo mật vật lý: Không bao giờ để máy tính xách tay không giám sát. Nhiều nhân viên cảm thấy rằng một máy tính xách tay của công ty không quan trọng như của họ bởi vì một máy tính xách tay của công ty sẽ chỉ được thay thế nếu bị mất. Tuy nhiên, dữ liệu trên máy tính xách tay của công ty có thể là vô giá và, một khi bị mất, có thể khiến công ty tương lai gặp nguy hiểm. Máy tính để bàn nên được khóa vật lý với một cái gì đó lớn. Có rất nhiều loại khóa máy tính (như khóa Kensington) có sẵn cho mục đích này. Tất cả các đĩa máy tính, trên máy tính xách tay hoặc các thiết bị khác, phải được mã hóa để làm cho kẻ xấu lấy lại dữ liệu từ nó càng khó càng tốt.
  2. Kiểm soát truy cập: Nếu có thể, các máy tính xử lý dữ liệu nhạy cảm và thiết bị lưu trữ nên được giữ trong một khu vực hạn chế. Chẳng hạn, không nên có nhân viên CNTT không có quyền truy cập vật lý vào các máy chủ lưu trữ tệp, để máy chủ đó được đặt trong phòng khóa. Nếu công chúng nói chung là tiền đề của các hoạt động kinh doanh thông thường, thì tất cả các máy tính và thiết bị lưu trữ không cần thiết sẽ bị xóa khỏi chế độ xem công khai. Kẻ trộm có thể đánh cắp toàn bộ máy móc ngân hàng bằng cách đâm xuyên tường bằng bộ nạp phía trước. Khu vực tiếp tân của bạn an toàn đến mức nào?

Bảo vệ dữ liệu khỏi truy cập trái phép

Truy cập trái phép đề cập đến một người trái phép truy cập dữ liệu. Điều này có thể có nghĩa là một kẻ xấu đã xâm nhập vào mạng hoặc có thể có nghĩa là một nhân viên hợp pháp truy cập dữ liệu mà họ không được hưởng. Có hai khái niệm tại đây: xác thực và ủy quyền.

  1. Xác thực: Xác thực liên quan đến việc xác định danh tính của người dùng, nhưng không liên quan gì đến những gì người đó được phép làm. Trong hầu hết các trường hợp, sự kết hợp tên người dùng và mật khẩu được cung cấp để đăng nhập vào hệ thống. Người giữ tên người dùng và mật khẩu đó là một nhân viên hợp pháp và hệ thống phải ghi lại hợp lệ rằng người đó đã đăng nhập.
  2. Ủy quyền: Ủy quyền diễn ra sau khi xác thực. Ủy quyền xác định nếu một người được xác thực được phép truy cập tài nguyên. Trước khi xác định liệu người dùng có thể truy cập tài nguyên hay không, người đó phải được xác thực để xác nhận danh tính của họ.

Dưới đây, một ví dụ để minh họa: Nancy đăng nhập vào máy trạm của mình và hiện là người dùng đã được xác thực. Sau đó, cô ấy gửi một tài liệu đến một máy in mạng và nó được in vì cô ấy được phép sử dụng máy in đó. Sau đó, Nancy cố gắng truy cập các tệp nhân sự của công ty và bị từ chối truy cập vì cô không được phép xem các tệp đó.

Các giải pháp

Để đảm bảo quy trình xác thực và ủy quyền có hiệu quả, mỗi hệ thống máy tính nên tạo nhật ký kiểm toán. Nhật ký kiểm toán cung cấp một dấu vết để cho phép các nhà điều tra quay ngược thời gian và xem ai đã đăng nhập vào các hệ thống khác nhau và những gì họ đã cố gắng làm trong khi đăng nhập.

Nó cũng quan trọng rằng không ai chia sẻ tên người dùng và mật khẩu, như đã thảo luận ở trên. Nếu tên người dùng và mật khẩu được chia sẻ giữa các nhân viên, không có cách nào để ngăn chặn truy cập trái phép hoặc tìm ra ai đã truy cập cái gì. Nếu mọi người sử dụng cùng một tên người dùng, mọi người đều được xác thực và tên người dùng đó phải được ủy quyền để làm mọi thứ.

Tên người dùng quản trị.Tốt nhất là không ai nên sử dụng tên người dùng, quản trị viên, vì nó rất dễ đoán.

Nó không thể tránh khỏi những cuộc trò chuyện về kiểm soát truy cập tập trung vào việc ngăn chặn những kẻ xấu. Tuy nhiên nó là Điều quan trọng không kém là những người tốt don don bị khóa. Nếu bạn kết thúc trong tình huống quản trị viên hệ thống hoặc những người quan trọng khác bị khóa, tình huống đó có thể nhanh chóng xấu đi thành mọi người bị khóa và doanh nghiệp không thể tiếp tục.

Mỗi hệ thống quan trọng cần có ít nhất hai quản trị viên hoặc một quản trị viên và ít nhất một người khác có thẩm quyền thực hiện các hoạt động cấp quản trị viên nếu được cung cấp thông tin xác thực chính xác.

Giảm thiểu rủi ro mất dữ liệu

Tác động của việc mất dữ liệu có thể nằm trong phạm vi từ ngay bây giờ, ngay cả khi chú ý đến việc tôi đã được gọi tới một phiên điều trần của Quốc hội để làm chứng. Các mất dữ liệu kinh doanh quan trọng có thể làm tê liệt một doanh nghiệp và gây ra tác hại không thể khắc phục. Ngoài ra, mất dữ liệu có thể gây ra sự bối rối, dẫn đến thiệt hại cho danh tiếng của công ty và thậm chí ảnh hưởng mạnh đến giá cổ phiếu trong nhiều năm.

Thuật ngữ mất dữ liệu được sử dụng theo nghĩa này có nghĩa là dữ liệu đã bị hủy, không phải dữ liệu đã bị vi phạm và tiết lộ ở nơi khác. Máy tính lưu trữ dữ liệu theo những cách rất thô sơ bằng cách sử dụng từ tính, chip bán dẫn hoặc phần tử laser, phần lớn. Mỗi phương thức đều có những ngày tồi tệ và dữ liệu có thể bị cắt xén và không thể phục hồi.

Lỗi của con người, chẳng hạn như ghi đè các tệp quan trọng hoặc vô tình định dạng ổ cứng cũng có thể phá hủy dữ liệu mãi mãi. Máy tính cũng vậy không tránh khỏi những thảm họa vật lý và dữ liệu đã bị mất do hệ thống phun nước chữa cháy làm ngập văn phòng hoặc sự cố điện làm hỏng các ổ đĩa sau khi sửa chữa.

Trong thời đại điện toán nhỏ, mọi người mất USB và thả điện thoại vào nhà vệ sinh hàng ngày. Trong một khoảnh khắc thiếu tập trung, một nhân viên có thể nhấp vào một liên kết độc hại trong email và khởi động một cuộc tấn công ransomware trên toàn thế giới mã hóa không thể đảo ngược mọi tệp đơn lẻ.

Đôi khi không có gì xảy ra và ổ đĩa chỉ đến hết tuổi thọ và thất bại. Có nghĩa đen là một danh sách không giới hạn các cách dữ liệu có thể bị phá hủy.

Các giải pháp

Chấp nhận rằng mất dữ liệu là một rủi ro không thể tránh khỏi, nó có ý nghĩa để đảm bảo dữ liệu quan trọng được sao lưu. Tạo một kế hoạch sao lưu đáng tin cậy từng là một nghệ thuật phức tạp mà chỉ những quản trị viên hệ thống có kinh nghiệm mới có thể thực hiện được. Trong trường hợp cực đoan, điều đó vẫn có thể đúng, nhưng những ngày này gần như bất cứ ai cũng có thể mua bản sao lưu ngoại vi với một vài đô la mỗi tháng. Có một vài câu hỏi mà bạn sẽ muốn hỏi các công ty sao lưu tiềm năng và bạn cũng muốn chắc chắn rằng các bản sao lưu của bạn sẽ được mã hóa.

Trang chủ iDrive.iDrive chỉ là một trong nhiều tùy chọn để sao lưu và lưu trữ đám mây,

Nếu thông tin của bạn đặc biệt nhạy cảm, hoặc quy định trong ngành của bạn không cho phép sao lưu đám mây, có những lựa chọn thay thế khác.

Sao lưu được giữ trên trang web có thể hữu ích đối với các loại tình huống lỗi do con người yêu cầu khắc phục nhanh, chẳng hạn như khôi phục một tệp duy nhất. Tuy nhiên, các bản sao lưu tại chỗ đã giành được nhiều lợi ích cho bạn nếu văn phòng bị ngập lụt, có một đám cháy hoặc các bản sao lưu bị đánh cắp.

Do đó, sao lưu ngoại vi là một phần quan trọng của bất kỳ gói sao lưu nào và trong khi các dịch vụ sao lưu đám mây là cách dễ nhất để đạt được điều này, thì không có lý do nào khiến nhân viên đáng tin cậy có thể nhận sao lưu mã hóa tại nhà theo định kỳ. Hãy nhớ rằng một khi dữ liệu rời khỏi cơ sở, nó vẫn cần được bảo vệ, vì vậy mã hóa mạnh là rất quan trọng.

Ngành của bạn cũng có thể có luật lưu giữ dữ liệu, điều đó có nghĩa là bạn có thể phải giữ dữ liệu cũ mà bạn không còn sử dụng để tuân thủ. Dữ liệu được giữ càng lâu, càng có nhiều cơ hội để nó bị phá hủy. Do đó, dữ liệu lưu giữ dài hạn là một ứng cử viên lý tưởng cho việc lưu trữ ngoại vi.

Bảo vệ các thiết bị thuộc sở hữu của nhân viên

Một mối quan tâm bao trùm làm phức tạp tất cả các khía cạnh của bảo vệ dữ liệu là sự phổ biến của nhân viên từ xa hoặc công nhân với các thiết bị Mang theo thiết bị của riêng bạn (BYOD). Có thể có một lợi thế để cho phép làm việc từ xa vì nó mở ra nhóm tài năng để những người lao động giỏi nhất có thể được thuê. Nó cũng làm tăng số lượng nơi dữ liệu công ty có thể bị mất hoặc bị xâm phạm.

BYOD và các thiết bị từ xa nói chung, có nguy cơ mất dữ liệu và rò rỉ dữ liệu. Điện thoại và máy tính bảng nhỏ và đi cùng chúng tôi ở mọi nơi và chúng thường xuyên bị mất hoặc hư hỏng.

Các giải pháp

Lý tưởng nhất, nhân viên từ xa sẽ sử dụng Máy tính mạng ảo (VNC) để truy cập máy tính để bàn của họ trong văn phòng. Ngay cả khi nhân viên từ xa sẽ không bao giờ đến văn phòng, chỉ cho phép truy cập thông qua VNC cung cấp cho sự kiểm soát lớn hơn hơn những gì nhân viên từ xa có thể làm.

Máy chủ VNC có thể được cấu hình để không cho phép truyền tệp và do VNC không tạo kết nối mạng thực tế như VPN, máy tính công nhân từ xa không bao giờ được kết nối với mạng làm việc. Điều này có thể giúp ngăn chặn sự lây lan của phần mềm độc hại vào mạng văn phòng nếu máy tính công nhân từ xa đã bị nhiễm. Cho phép truy cập thông qua kết nối VPN sẽ giúp truy cập dễ dàng hơn đến nhiều tài nguyên văn phòng hơn, nhưng cũng có nguy cơ lây nhiễm và đánh cắp dữ liệu cao hơn, vì máy tính từ xa sẽ thực sự chia sẻ mạng văn phòng ở một mức độ nào đó.

Nếu bạn có thể cho phép BYOD, thì đó là một ý tưởng hay để triển khai hệ thống quản lý thiết bị di động (MDM) có thể làm những việc như từ xa xóa tất cả dữ liệu từ điện thoại và xác định vị trí điện thoại nếu nó bị mất.

Trang chủ ManageEngine Mobile Device Manager Plus.ManageEngine Mobile Device Manager Plus là một ví dụ về phần mềm MDM.

Nó cũng mong muốn sử dụng giải pháp MDM cung cấp sự phân tách dữ liệu. Ví dụ, chia sẻ liên hệ công việc và cá nhân trong cùng một sổ địa chỉ, có nguy cơ rò rỉ dữ liệu cao vì dễ chọn sai liên hệ cá nhân làm người nhận và vô tình gửi thông tin nhạy cảm của công ty.

Lập kế hoạch cho việc không có sẵn dữ liệu

Trong quá trình kinh doanh, có thể đôi khi văn phòng không có sẵn. Các sự kiện nhỏ như hỏa hoạn trong tòa nhà văn phòng có thể khiến văn phòng của bạn không thể truy cập được trong vài ngày. Các sự kiện lớn, như Bão Sandy năm 2012, có thể đưa các khu vực dưới lòng đất của một tòa nhà ra ngoài trong nhiều năm.

Việc thực hiện lập kế hoạch cho các sự kiện như thế này thuộc khái niệm Kế hoạch liên tục kinh doanh (BCP). Lập kế hoạch BCP cố gắng trả lời câu hỏi sau: Tập chúng tôi sẽ tiến hành công việc như thế nào nếu văn phòng / máy chủ / cửa hàng của chúng tôi không có sẵn trong một thời gian dài?

Giải pháp

Sao lưu ngoại vi có thể đóng một vai trò lớn trong kế hoạch BCP. Nếu các bản sao lưu ngoại vi hiện tại tồn tại, thì nhân viên có thể làm việc tại nhà hoặc các địa điểm từ xa khác có thể sử dụng dữ liệu đó để duy trì mọi thứ. Các cân nhắc khác có thể bao gồm số điện thoại chuyển đổi dự phòng có thể chuyển tiếp đến điện thoại di động của nhân viên để giữ cho điện thoại mở.

Biết cách truy cập dữ liệu của bạn

Điều này có vẻ như một câu hỏi ngớ ngẩn. Đáng buồn thay, chúng ta có thể chứng thực từ kinh nghiệm rằng nó không phải là. Nhiều doanh nghiệp nhỏ đã dựa vào sự nhầm lẫn của các bên thứ ba để chăm sóc dữ liệu của họ trong nhiều năm và trong một số trường hợp không biết nơi nào trong số đó thực sự được lưu trữ. Một phần của bất kỳ kế hoạch ngăn ngừa mất dữ liệu thích hợp nào là biết dữ liệu của bạn bắt đầu từ đâu.

Hãy xem xét trang web thương mại điện tử đơn giản của chúng tôi một lần nữa. Ở mức tối thiểu, nó có các mục sau:

  1. Tài khoản đăng ký: Công ty đăng ký tên miền là một công ty bán tên miền. Máy chủ tên miền tên miền của bạn được kiểm soát bởi nhà đăng ký tên miền của bạn. Máy chủ tên là một yếu tố kiểm soát quan trọng của trang web của bạn, vì vậy bạn nên biết đó là ai và có thông tin đăng nhập tài khoản.
  2. Tài khoản lưu trữ: Các tệp trang web của bạn nằm trên một máy chủ web ở đâu đó trên thế giới. Công ty cung cấp dịch vụ đó cho bạn là máy chủ web của bạn. Đảm bảo bạn biết máy chủ web của mình là ai và bạn có thông tin đăng nhập tài khoản.
  3. Tài khoản email: Máy chủ web của bạn có thể không phải là máy chủ email của bạn. Nhiều công ty sử dụng các nhà cung cấp email của bên thứ ba như Google. Đảm bảo bạn biết email của bạn ở đâu và bạn có thông tin đăng nhập tài khoản.
  4. Sao lưu: Nếu bạn đã thiết lập sao lưu, họ sẽ đi đâu? Nếu bạn không có quyền truy cập vào chúng và biết cách khôi phục các tệp, các bản sao lưu đó sẽ giúp bạn làm tốt.

Các loại câu hỏi tương tự nên được hỏi về tất cả các hệ thống dữ liệu của bạn cho đến khi bạn hiểu khá rõ về nơi tất cả dữ liệu của bạn. Cố gắng tìm thông tin này trong trường hợp khẩn cấp là thời điểm tồi tệ nhất.

Ngoài nhu cầu thực tế cần biết những điều này, ngành của bạn cũng có thể điều chỉnh các khu vực địa lý nơi bạn được phép lưu trữ dữ liệu.

Cân nhắc dữ liệu khách hàng theo quốc gia

Dữ liệu khách hàng thường cần xem xét đặc biệt. Nó có một thứ để mất bảng tính nội bộ của bạn. Về mặt pháp lý, nó rất khác nhau khi dữ liệu khách hàng của bạn bị đánh cắp hoặc sử dụng không phù hợp. Hơn 80 quốc gia có một số loại luật riêng tư áp dụng cho các doanh nghiệp thu thập dữ liệu khách hàng. Các nghĩa vụ cơ bản của hầu hết các hành vi này đều rút gọn những điểm sau:

  1. Có được quyền thu thập dữ liệu khách hàng trước khi làm như vậy.
  2. Thu thập càng ít thông tin càng tốt.
  3. Sử dụng dữ liệu theo cách bạn có quyền.
  4. Bảo vệ thông tin chống lại truy cập trái phép.
  5. Cung cấp dữ liệu cho khách hàng của bạn.

Dưới đây là một tổng quan rất nhanh về tình trạng chung về luật riêng tư ở Hoa Kỳ, Anh, Canada và Úc. Nó đưa ra một số manh mối về loại tổ chức bảo vệ nào được dự kiến ​​sẽ cung cấp cho dữ liệu khách hàng, cũng như ý thức về các hình phạt cho các vi phạm.

Châu Úc

Giống như Canada và Vương quốc Anh, Úc có một đạo luật về quyền riêng tư liên bang được đặt tên một cách thông minh là Đạo luật Quyền riêng tư. Nó lần đầu tiên được thông qua vào năm 1988 và đã được sửa đổi và mở rộng kể từ đó. Đạo luật này dựa trên khái niệm 13 Nguyên tắc bảo mật của Úc.

Pháp luật

Đạo luật Quyền riêng tư ban đầu chỉ bao gồm việc xử lý thông tin cá nhân của các cơ quan chính phủ và nhà thầu chính phủ. Nó đã được mở rộng để bao gồm cả các doanh nghiệp khu vực tư nhân.

Tất cả các doanh nghiệp Úc có tổng doanh số trên 3.000.000 AUD có nghĩa vụ theo luật riêng tư. Một danh sách nhỏ các doanh nghiệp như các doanh nghiệp tài chính và liên quan đến sức khỏe cũng phải tuân theo hành động bất kể tổng doanh số.

Cung cấp cho khách hàng thông tin của họ

Nguyên tắc 12 của Đạo luật quyền riêng tư liên quan đến quyền truy cập và sửa thông tin cá nhân. Với một vài trường hợp ngoại lệ, phải cung cấp một yêu cầu cá nhân cho thông tin cá nhân của họ, nhưng không có thời hạn quy định nào để thực hiện điều đó. Yêu cầu của cơ quan phải được xử lý trong vòng 30 ngày, nhưng nếu người yêu cầu là một người thì yêu cầu duy nhất là để cung cấp quyền truy cập thông tin theo cách mà cá nhân yêu cầu, nếu hợp lý và có thể thực hiện được.

Hình phạt

Có các hình phạt khác nhau cho việc vi phạm Đạo luật Quyền riêng tư, tùy thuộc vào mức độ vi phạm nghiêm trọng như thế nào. Giá trị tiền tệ cho các vi phạm không được nêu trong Đạo luật Quyền riêng tư. Thay vào đó, vi phạm được chỉ định một số đơn vị hình phạt dựa trên mức độ nghiêm trọng của hành vi phạm tội. Vi phạm nghiêm trọng được chỉ định 2.000 đơn vị hình phạt trong khi vi phạm ít nghiêm trọng hơn được chỉ định là 120 đơn vị hình phạt.

Mục 4AA của Đạo luật tội phạm Úc quy định giá trị của một đơn vị hình phạt bằng đô la Úc và được cập nhật theo thời gian. Hiện tại, một đơn vị hình phạt duy nhất là 210 AUD (có thể lập chỉ mục), điều đó có nghĩa là các vi phạm nghiêm trọng có thể nằm trong phạm vi 420.000 AUD. Trong thực tế, các tòa án ở Úc đôi khi chỉ yêu cầu một lời xin lỗi.

Canada

cờ Canada

Pháp luật

Các quy tắc bảo vệ dữ liệu của Liên bang Canada cho các doanh nghiệp được nêu trong Đạo luật Tài liệu Điện tử và Bảo vệ Thông tin Cá nhân (PIPEDA). Một số tỉnh như Alberta, British Columbia và Quebec có các hành vi bảo vệ dữ liệu cấp tỉnh riêng tương tự nhau mà PIPEDA không áp dụng cho các doanh nghiệp ở các tỉnh đó. Do đó, tùy thuộc vào tỉnh mà bạn đang kinh doanh ở tỉnh nào, bạn sẽ cần phải làm quen với PIPEDA hoặc một trong những hành vi lập pháp sau đây của tỉnh:

  • Alberta: Đạo luật bảo vệ thông tin cá nhân
  • British Columbia: Đạo luật bảo vệ thông tin cá nhân
  • Quebec: * Một đạo luật tôn trọng việc bảo vệ thông tin cá nhân trong
    khu vực tư nhân*

Ngoài ra, Canada có Đạo luật bảo mật riêng biệt kiểm soát cách thức Chính phủ Liên bang xử lý thông tin cá nhân trong các cơ quan chính phủ.

PIPEDA yêu cầu các tổ chức phải có được sự đồng ý trước khi thu thập thông tin cá nhân. Tuy nhiên, thật thú vị khi lưu ý rằng PIPEDA không áp dụng cho các cá nhân thu thập dữ liệu cá nhân cho sử dụng cá nhân hoặc các tổ chức thu thập thông tin cá nhân để sử dụng cho báo chí.

Văn phòng Ủy viên quyền riêng tư ở Canada duy trì một cái nhìn tổng quan về các hành vi bảo mật khác nhau của liên bang và tỉnh bang Canada.

Cung cấp cho khách hàng thông tin của họ

Thông tin được tổ chức bởi các cơ quan liên bang có thể được yêu cầu bằng cách điền vào mẫu yêu cầu thông tin. Để yêu cầu thông tin cá nhân được tổ chức bởi một loại hình tổ chức khác, hãy liên hệ với tổ chức đó. Văn phòng giám sát viên cấp tỉnh hoặc lãnh thổ có thể giúp đỡ.

Hình phạt

Những người vi phạm PIPEDA có thể phải đối mặt với khoản tiền phạt lên tới 100.000 đô la cho mỗi lần vi phạm vì cố ý vi phạm hành vi.

Vương quốc Anh

Cờ Anh - jack jackBritish - jack jack - UK

Pháp luật

Đạo luật bảo vệ liên bang của Vương quốc Anh là Đạo luật bảo vệ dữ liệu có tên thích hợp. Không giống như Canada, Đạo luật bảo vệ dữ liệu của Vương quốc Anh áp dụng trên toàn hội đồng cho doanh nghiệp và chính phủ.

Cung cấp cho khách hàng thông tin của họ

Công dân Vương quốc Anh có quyền tìm hiểu những thông tin mà một tổ chức có về họ. Không phải tất cả các thông tin phải được phát hành mặc dù. Dữ liệu không phải phát hành bao gồm thông tin về:

  • thông tin về điều tra tội phạm
  • hồ sơ quân sự
  • vấn đề thuế, hoặc
  • bổ nhiệm tư pháp và bộ trưởng

Các tổ chức cũng có thể tính tiền để cung cấp thông tin này cho mọi người. Trang web của Văn phòng Ủy viên Thông tin Vương quốc Anh có thể cung cấp lời khuyên và hướng dẫn, cũng như điều tra các khiếu nại xử lý dữ liệu.

Hình phạt

Đạo luật bảo vệ dữ liệu của Vương quốc Anh quy định mức phạt lên tới 500.000 GBP và thậm chí truy tố các vi phạm.

Hoa Kỳ

USA cờ

Hoa Kỳ có phần độc đáo ở chỗ nó có luật riêng tư ở cấp liên bang ít hơn so với hầu hết các quốc gia khác. Thay vào đó, hầu hết các hành vi bảo mật ở Mỹ là dựa trên công nghiệp hoặc nhà nước. Do đó, có thể khó khám phá các luật có thể áp dụng cho bất kỳ doanh nghiệp cụ thể nào. Một nơi tốt để bắt đầu là trang Bảo mật và Bảo mật của Ủy ban Thương mại Liên bang Hoa Kỳ.

Pháp luật

Đạo luật về quyền riêng tư của Hoa Kỳ năm 1974 kiểm soát cách thức thu thập, sử dụng và tiết lộ thông tin của các cơ quan Liên bang. Một phần, nó nêu:

Không có cơ quan nào tiết lộ bất kỳ hồ sơ nào có trong hệ thống hồ sơ bằng bất kỳ phương tiện liên lạc nào với bất kỳ người nào, hoặc cho cơ quan khác, ngoại trừ theo yêu cầu bằng văn bản của, hoặc với sự đồng ý trước bằng văn bản của cá nhân mà hồ sơ gửi cho liên quan.

Đạo luật sau đó liệt kê một số ngoại lệ cho chỉ thị này. Một số trong số họ, chẳng hạn như sự miễn trừ đối với việc sử dụng thói quen của người dùng có thể có vẻ hơi rộng trong thế kỷ 21.

Phần lớn luật riêng tư của Hoa Kỳ có liên quan đến các ngành công nghiệp hoặc được tạo ra ở cấp tiểu bang. Do đó, nó rất quan trọng đối với một tổ chức để đánh giá tiểu bang nào sẽ được coi là hoạt động bên trong và nếu có bất kỳ quy định bảo mật cụ thể nào trong ngành áp dụng ở bất kỳ cấp chính phủ nào.

Một số hành vi bảo mật lớn của Liên bang Hoa Kỳ là:

  • Đạo luật về trách nhiệm giải trình và trách nhiệm bảo hiểm y tế (HIPPA): đạo luật này liên quan đến chính quyền chăm sóc sức khỏe tại Hoa Kỳ.
  • Đạo luật bảo vệ quyền riêng tư trực tuyến của trẻ em (COPPA): đạo luật này liên quan đến việc thu thập dữ liệu trực tuyến về trẻ em dưới 13 tuổi ở Mỹ.
  • Giao dịch tín dụng chính xác và công bằng (FACTA): đạo luật này liên quan đến nghĩa vụ của văn phòng tín dụng cung cấp thông tin tín dụng và các công cụ phòng chống gian lận cho công dân Hoa Kỳ.

Cung cấp cho khách hàng thông tin của họ

Đạo luật bảo mật của Hoa Kỳ ra lệnh rằng các cá nhân có quyền có được thông tin mà các tổ chức liên bang có về họ. Để thực hiện một yêu cầu, mọi người sẽ liên hệ với các cơ quan hiện hành. Đối với các doanh nghiệp tư nhân, yêu cầu đối với một tổ chức cung cấp hồ sơ cho các cá nhân sẽ dựa vào sự tồn tại của pháp luật áp dụng cho ngành hoặc tiểu bang đó. Một lần nữa, nơi tốt nhất để bắt đầu có lẽ sẽ là trang web của Ủy ban Thương mại Liên bang Hoa Kỳ.

Hình phạt

Đạo luật quyền riêng tư liên bang có các hình phạt, nhưng vì Đạo luật quyền riêng tư chỉ áp dụng cho chính phủ liên bang Hoa Kỳ không phải là trường hợp của các tổ chức khác. Các hình phạt cho vi phạm quyền riêng tư ở Hoa Kỳ sẽ phụ thuộc vào hành vi nào bị vi phạm và hình phạt nào được nêu trong đó.

Nhận xét cuối cùng

Tốc độ mất dữ liệu và vi phạm đã xảy ra trong vài năm qua là đáng báo động. Hầu hết các vi phạm là có thể bởi vì các tổ chức chỉ đơn giản là không mong đợi nó. Các cuộc tấn công của Ransomware trên quy mô toàn cầu thành công vì nhân viên vẫn nhấp vào các liên kết độc hại trong email. Các doanh nghiệp mất khả năng đặt hàng trực tuyến trong nhiều ngày, thay vì hàng giờ, vì họ không biết phải liên hệ với ai khi trang web của họ bị sập. Tất cả điều này có thể được giảm thiểu rất gọn gàng với mã hóa, sao lưu và một số kiến ​​thức hệ thống.

Tín dụng hình ảnh: Internet Internet Cyber ​​của Gerd Altmann được cấp phép theo CC BY 2.0

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map