Pruebe ahora

Conformidad

Leyes normativas sobre datos de Internet que debe conocer y cumplir

Si tiene un negocio en línea, hay cosas de las que es responsable de las que es posible que no tenga conocimiento, en particular con respecto al acceso a los datos de los archivos de ciertas personas, lo que puede terminar colocándolo en la posición de tener que pagar una multa considerable si no se remedia rápidamente. Por esta razón, su conocimiento y el cumplimiento de estas leyes y el de sus empleados, así como la forma en que debe otorgar acceso a los datos, manejar archivos de datos, procesar archivos de datos y almacenar archivos de datos, debe ser una preocupación diaria para el bienestar de tu negocio. Debe ser disciplinado cuando se trata de las pasarelas de pago que utiliza y asegurarse de que sus socios no expongan los datos durante las transferencias de pago. Es de suma importancia que examine minuciosamente a sus socios y la visibilidad de sus procesos, asegúrese de que tengan funciones antifraude integradas, pregunte si están alojados o no y asegúrese de que tengan cifrado.

Debe asegurarse de mantener el cumplimiento de la tarjeta de pago y conocer las marcas comerciales, los derechos de autor, los requisitos de visibilidad, las restricciones de envío para ciertos productos, las restricciones de edad y los permisos correspondientes. Por último, pero no menos importante, debe cumplir con la regulación de seguridad de datos. Los datos de nadie más pueden caer en manos de otra persona que no debería tenerlos. Por lo tanto, asegúrese siempre de que todos sus soportes de datos estén completamente controlados, remediados fácilmente y sean destructibles desde la distancia. Conozca las leyes de los estados o países en los que su sitio web está disponible, en particular, el nuevo RGPD de la UE, el Reglamento general de protección de datos, que se aprobó recientemente en 2016.

Datos del RGPD

El acceso a datos que es ilegal proporcionar, a menos que ya haya obtenido el permiso explícito de la persona, se denomina información de identificación personal. Aunque las direcciones IP y el historial de búsqueda de una dirección IP individual se pueden compartir, estos datos no pueden incluir datos como el nombre, la dirección, los números de identificación, los números de teléfono o la fecha de nacimiento de una persona. Algunas de las reglas principales del RGPD clasifican la responsabilidad de las empresas en caso de robo de datos.

Respuestas reguladas . El RGPD dicta que, cuando se les alerta, las empresas deben informar a las personas qué datos guardan sobre ellos y para quién los ponen a disposición. Deben hacerlo de forma gratuita y oportuna si así lo solicitan. Además, de acuerdo con el GDPR, el usuario debe permitir explícitamente cualquier intercambio de datos a través del cifrado (el GDPR incluso considera información de identificación personal de las cookies) y en los formularios de consentimiento, las personas deben marcar casillas de forma independiente con respecto a la recopilación de sus datos. Dejar esas casillas marcadas previamente es ilegal.

Seguridad del acceso a los datos: regulación de la responsabilidad

Por lo tanto, el GDPR ha impuesto como una prioridad principal que las empresas cuya actividad implica el almacenamiento y procesamiento de los datos de sus empleados, proveedores y clientes tengan un sistema organizado para el manejo de estos datos GDPR, así como un procedimiento organizado y eficiente para reportar evidencia de los datos que mantienen sobre estas personas y eliminar los datos de GDPR cuando lo soliciten.

Riesgo regulado : eliminación después de acceder a datos GDPR que ya no son necesarios. Asegúrese de no tener visibilidad de datos aparentes no autorizados publicados en línea. Además, en lugar de retención, si tiene varios archivos GDPR inactivos y sus datos regulados particulares se vuelven innecesarios para su negocio debido a un cambio en su actividad, no archive esa cantidad de archivos GDPR inactivos sin saber cuál es el propósito. lo está archivando, a menos que la persona haya aceptado explícitamente su retención y que sus datos regulados se compartan con terceros. Los archivos archivados o eliminados que ya no son necesarios después de que la organización acceda a los datos de GDPR o de que terceros accedan a los datos de GDPR archivados deben eliminarse, y si, debido a la preferencia de la persona, no se archivan o eliminan, es mejor almacenarlos en un unidad externa encriptada.

Auditorías de GDPR

El GDPR alienta a las empresas a tener sus datos listos como evidencia sólida y proporcionar esa evidencia de manera oportuna en caso de que se materialice la amenaza de que la empresa obtenga una auditoría del GDPR. De lo contrario, puede haber multas reglamentarias, especialmente en el caso de una cantidad inusual de datos cargados en el sitio web. Con una cantidad inusual de datos cargados en un sitio web, la cantidad de archivos GDPR inactivos puede llamar la atención.

Acceso regulado a la eliminación de archivos de datos

Como regla general, una persona tiene derecho a solicitar que se elimine cualquiera de sus datos de Internet de acuerdo con esta ley. Depende de usted asegurarse de que su sistema de almacenamiento, así como cualquier socio con el que esté en el negocio, tengan un firewall, una clasificación priorizada y un sistema de control de seguridad sólido para evitar las amenazas tanto como sea posible. Analice las características de sus sistemas para tener pruebas sólidas. También debe tener políticas de privacidad y cookies completas, incluidos los detalles sobre cómo maneja sus datos, para lo cual los clientes deben dar su permiso.

Regulación del acceso de los empleados

Por importante que sea para usted conocer el RGPD y las leyes de protección de datos estatales, es igualmente crucial que regule el acceso de sus empleados, así como que se asegure de que los conocen y cumplen plenamente con dicho acceso regulado y regulado. procedimientos. Un buen consejo es redactar una variedad de políticas para empleados en las que se les requiera recibir capacitación para asegurarse de que siguen las clasificaciones de seguridad de datos estatales, GDPR, comerciales y de otro tipo reguladas de los territorios regulados en los que su sitio web está disponible. Si una empresa cambia el método de su clasificación y manejo de la información de las personas, el reglamento de protección de datos requiere que se comunique con cada uno de sus clientes para que autorice explícitamente este cambio.

Ley de privacidad del consumidor de California que regula el acceso

Aunque el resto del mundo sigue estas políticas, las políticas de muchas jurisdicciones, como la de California, también imponen reglas de política de coincidencia, como el derecho del cliente a conocer el sistema de clasificación de sus datos regulados y cómo se accede a ellos. Además, la política de California y la política de la UE tienen reglas coincidentes que permiten a los clientes solicitar una compensación y que las empresas tendrán que remediarlos en ciertos casos de esas políticas.

Evaluación de cumplimiento: clasificación de cumplimiento

Muchas empresas tienen riesgos y problemas de control de seguridad mucho mayores de lo que se dan cuenta y una de las mejores formas de lograr el cumplimiento de los estándares de seguridad de control de datos más altos es revisar los riesgos que implican ciertas facetas del negocio en función de su probabilidad, frecuencia y nivel de impacto ponderados. contra lo que la empresa está ganando con el manejo de esos datos y el acceso a los datos por parte de otros. Ciertamente, la multa de 20 millones de euros del RGPD en el caso de una exposición de datos innecesaria y flagrante es una regla que las pequeñas empresas deben evitar a toda costa. Por ejemplo, suponga que tiene un antiguo colega de hace 20 años con el que no ha hablado desde entonces y quiere promoverle algo completamente irrelevante para su campo de negocio sin antes solicitarle que se inscriba, esto puede implicar un riesgo mayor que el potencial. recompensa, ya que estos correos electrónicos probablemente no serán deseados.

Contacto con el cliente regulado y seguro

Después de todo, sus operaciones para acceder a su casilla de correo electrónico requieren que cumpla con la política de participación en muchos países. Aquí hay otro ejemplo: suponga que decide utilizar los datos de sus clientes habituales de acuerdo con su política de retención para venderlos por correo electrónico y ofrecerles servicios de terceros. Esto sería una gran recompensa y un bajo riesgo, ya que los datos de los clientes habituales son la forma en que las empresas obtienen la mayor parte de sus ganancias y ya son receptivas a sus ofertas. El riesgo y el valor de enviar correos electrónicos a posibles clientes potenciales en su lista de correo de personas que le han brindado voluntariamente acceso a los datos y se han suscrito a su sitio web estaría en algún punto intermedio.

Informes de cumplimiento: críticas a la política de retención de seguridad

Revisiones como estas clasificarán para usted dónde reside el mayor valor y riesgo de participar en ciertas acciones con respecto a sus datos de clientes potenciales. También hay una gran cantidad de herramientas de auditoría diseñadas para desglosar las operaciones de su empresa, auditar, informar, compilar una pista de auditoría, determinar el cumplimiento, solicitar medidas de cumplimiento adicionales y clasificar banderas dentro de su organización. Los empleados también son señalados en ciertos programas de auditor de riesgos internos que brindan alertas sobre situaciones comprometidas actuales y futuras en las que podrían no estar cumpliendo con las regulaciones. Si una empresa desea obtener la certificación de cumplimiento del auditor, puede acceder a un auditor acreditado por correo electrónico o por teléfono que puede analizar la pista de auditoría de la empresa y proporcionar un informe de cumplimiento que detalla si el cumplimiento de la organización está a la altura.

Suscríbase para recibir las novedades y conocer las tendencias del sector. Recibirá consejos sobre como afrontar las fugas de los datos y a los ciberdelincuentes.