Cómo proteger los datos del cliente en una pequeña empresa
Casi todas las empresas manejan algún tipo de información de clientes que podría ser mal utilizada si es robada o mal manejada. Los números de las tarjetas de crédito de los clientes y los números de la Seguridad Social de los empleados, por ejemplo, pueden ser fácilmente explotados por ladrones de identidad y otros delincuentes si tales datos no están debidamente protegidos. Una violación de datos puede suponer un duro golpe para cualquier negocio, incluyendo la pérdida de la confianza de sus clientes y posiblemente incluso una demanda.
La Comisión Federal de Comercio (Federal Trade Commission) recomienda determinar a qué información personal su compañía tiene o tiene acceso, guardando sólo lo que usted necesita, protegiendo la información que usted tiene, desechando apropiadamente la información que ya no necesita, y creando un plan antes de que ocurra una violación de datos.
Cinco consejos para ayudarle a proteger los datos de sus clientes.
1. ¿Qué información personal maneja su empresa?
Llevar a cabo una auditoría de todos los datos potencialmente sensibles controlados o a los que su empresa tiene acceso, incluyendo quién tiene acceso a qué información, es el primer paso para proteger la información personal de clientes y empleados. Deberías:
- Inventario de computadoras, teléfonos celulares, unidades flash, discos de almacenamiento, computadoras domésticas (si corresponde), incluso gabinetes de archivos y otros medios no digitales; considere otras posibles fuentes de información personal: sitios web, centros de llamadas, contratistas, faxes, etc.
- Hable con el personal clave de su empresa (ventas, tecnología de la información, recursos humanos, contabilidad, etc.), incluidos los proveedores de servicios externos o cualquier otra persona que pueda haber estado al tanto de los datos confidenciales.
- Obtenga una imagen completa de quién podría tener acceso a varios datos en toda la empresa; incluso el mejor sistema de seguridad de datos del mundo es susceptible a errores humanos o intenciones maliciosas.
- Tenga en cuenta que los diferentes tipos de información conllevan diferentes grados de riesgo. Los números de Seguro Social, números de tarjetas de crédito e información financiera tienden a ser los datos más valiosos para el fraude o robo de identidad.
2. ¿Tiene más datos privados de los que necesita?
Del mismo modo, no recopile ni guarde información confidencial en primer lugar si no la necesita. La información personal necesaria sólo por un tiempo determinado (en el punto de venta, por ejemplo) se convierte en una responsabilidad si se conserva más tiempo del necesario.
- Los números de Seguro Social sólo se deben usar para propósitos legales requeridos, tales como reportar los impuestos de los empleados.
- Los recibos impresos electrónicamente de la tarjeta de crédito deben ser acortados a sólo los últimos cinco dígitos (y la fecha de vencimiento debe ser borrada), de acuerdo a la ley federal.
- Tener una razón de negocio convincente para almacenar los datos de la tarjeta de crédito del cliente para su uso futuro.Asegúrese de que el software que lee y procesa los números de las tarjetas de crédito de los clientes no guarde esa información.
3. ¿Sus datos sensibles están correctamente protegidos?
La seguridad efectiva está determinada por el tipo de información, cómo se almacena, quién tiene acceso y otras consideraciones. Los mejores planes de seguridad de datos se ocupan de la seguridad física, la seguridad electrónica, la formación de los empleados y las prácticas de seguridad de los proveedores de servicios y otros socios comerciales, según la FTC.
Seguridad Física:
- Almacene documentos digitales e impresos en una ubicación bloqueada; limite el acceso
- y requieren que los empleados mantengan los documentos potencialmente sensibles guardados bajo llave cuando no estén en uso.
- Exija a los empleados que desconecten las computadoras, cierren los gabinetes de archivos y aseguren sus áreas de trabajo al final del día.
- Limite el acceso de los empleados a las instalaciones de almacenamiento externas y lleve un registro de entrada.
- Cifre la información confidencial al enviarla a través de transportistas externos y rastree la entrega.
Seguridad Electrónica:
- Seguridad General de la Red - Identifique todas las conexiones a computadoras donde se almacena información personal; evalúe la vulnerabilidad de cada conexión; no haga que los datos sensibles del consumidor sean accesibles a través de Internet; cifrar los datos confidenciales enviados a través de Internet; ejecutar regularmente programas antivirus y antispyware; asegurarse de que el software se actualiza regularmente por motivos de seguridad; desactivar los programas o servicios de la red que no sean necesarios; asegurarse de que sus aplicaciones web estén seguras.
- Gestión de contraseñas - Requiere el uso de contraseñas "seguras" y cambios frecuentes; configure las computadoras de los empleados para que se bloqueen después de un período de inactividad; advierta a los empleados sobre los intentos de coaccionarlos para que proporcionen sus contraseñas, a menudo por teléfono; cambie inmediatamente las contraseñas predeterminadas después de instalar el nuevo software.
- Seguridad de Laptop/Smartphone - Evalúe si la información personal necesita o no ser almacenada en un ordenador portátil, eliminando datos innecesarios con un programa de "borrado"; considere sólo permitir el acceso a datos sensibles sin permitir que se almacenen en ordenadores portátiles.
- Cortafuegos - Los cortafuegos son configuraciones de software o hardware que dificultan el acceso de los hackers a su ordenador.
- Acceso Inalámbrico - Considere limitar la capacidad de los escáneres de inventarios o teléfonos celulares para acceder a información confidencial; utilice el cifrado para la información personal.
- Detectar una Brecha - Existen varios sistemas de detección de intrusos en el mercado que ayudan a minimizar el daño cuando se produce una brecha en la red; monitorear el tráfico entrante y saliente para detectar actividades inusuales.
Formación de los empleados:
- Realizar comprobaciones de antecedentes de posibles nuevos empleados que puedan tener acceso a datos confidenciales.
- Haga que sus estándares de confidencialidad y seguridad sean claros y pida a los nuevos empleados que firmen un acuerdo que prometa seguir esos estándares.
- Limitar el acceso a la información personal a los empleados que tengan una "necesidad de saber".
- Haga de la privacidad de la información y la formación en seguridad un proceso continuo, no una cosa de una sola vez.
- Advierta a los empleados sobre el "phishing" telefónico, que es cuando los delincuentes intentan obtener información confidencial a través de engaños.
- Imponer sanciones por infracciones a la política de seguridad.
Contratistas y Proveedores de Servicios:
Investigue las políticas de privacidad y seguridad de datos de posibles proveedores de servicios, socios o contratistas comparando sus estándares con los suyos. Asegúrese de que los proveedores de servicios le notifiquen cualquier violación de seguridad, incluso de menor importancia y potencialmente inofensiva.
4. ¿Ha eliminado correctamente los datos del cliente?
Aunque el robo de identidad ha ganado popularidad en la era digital, algunos de los materiales más dañinos todavía se encuentran en la basura. Esto incluye recibos de tarjetas de crédito y otros documentos, así como computadoras viejas y CDs que se tiran a la basura sin ser triturados.
- Implementar una práctica de eliminación de información, hacerla lo más conveniente posible (es decir, de fácil acceso a las trituradoras) y comunicarla a los empleados.
- Utilice las trituradoras de documentos en papel y CDs y utilice los programas de utilidades de borrado para borrar los datos almacenados de las computadoras antiguas.
- Si usted usa reportes de crédito al consumidor en su negocio, asegúrese de seguir la Regla de Eliminación de la FTC.
5. ¿Tiene un plan de respuesta de seguridad de datos?
El hecho es que incluso la seguridad más estricta puede verse comprometida, por lo que vale la pena pensar en formas de reducir el impacto en su empresa, empleados y clientes.
- Designar a un miembro de alto rango del personal para que coordine un plan de respuesta a las violaciones de la seguridad de los datos.
- Desconecte inmediatamente un ordenador comprometido de Internet e intranet
- Investigue los incidentes de seguridad de datos inmediatamente.
- Sepa con quién debe comunicarse en caso de que se produzca una violación de la seguridad de la información antes de que suceda.
Próximos pasos en la seguridad de datos
Si su negocio ha sufrido una violación de datos o usted está esperando para detener uno antes de que suceda, hable con un abogado de negocios y derecho comercial en su área ahora. Un abogado experto puede ayudarle a tomar decisiones responsables con respecto a los datos confidenciales de sus clientes.
Deja una respuesta
Tambien puedes leer: