始于欧洲的通用数据保护条例 (GDpR) 的监管浪潮已经横扫了整个池塘。加利福尼亚州的立法机关最近推动了对大型科技公司使用客户数据的更严格的规定,现在马萨诸塞州的立法者正在考虑一项新的提案,该提案将使公民对不当收集或使用个人数据的企业具有更大的影响力。
该提议似乎与马萨诸塞州政客们努力培养的技术友好氛围背道而驰,因为他们试图吸引更多的初创企业进入该地区,并将其转变为创新中心。但这表明人们对技术隐私和企业责任的期望日益转变。
此时,企业应该充分意识到管理和存储客户数据所固有的风险。大量高度公开的违规行为向世界展示了数据管理不善的可怕后果。这些攻击影响了几乎每个行业的主要公司,影响了数百万消费者,并使公司损失了数十亿美元,只会引发进一步的网络犯罪活动。
血液测试小组Quest Diagnostics和LabCorp是这些袭击的两个最新受害者。一名黑客突破了两家公司都使用的第三方供应商美国医疗收集局的安全系统,近2000万名患者的敏感个人数据因此被泄露。
了解自己拥有的数据和可靠的管理政策的公司不应该担心收紧法规。因为大多数现代初创公司都是在云中诞生的,所以在新法规出台时,合规性应该相对简单。这些公司可能已经利用了安全的内容管理系统,如果没有,可以很容易地采用。
但是,如果公司数据分布在多个存储系统中,例如本地硬件,软件和基于云的系统,则合规性可能更具挑战性。随着数据存储位置的增加,更需要监督以确保所述数据保持安全。
虽然分散的客户数据本身不会引起警觉,但没有清晰的管理系统和不进行定期数据审计的企业会发现自己违反了即将在不久的将来生效的新法规的条款。这是任何公司都希望避免的情况。
根据疏忽的严重程度和由此产生的法律后果的成本,违反消费者隐私法的后果最终可能会破坏自己,特别是因为大多数初创公司的预算极其有限。
考虑到这一点,您可以采取以下四个步骤来领先于法规并最大程度地减少法规对您的业务的影响:
因未能遵守GDpR而对Google处以5680万美元的罚款。尽管这家科技巨头深知法律的含义,但未能调整其运营,并通过滥用在线客户和用户数据违反了数据隐私法。对谷歌来说,等待改变被证明是代价高昂的; 想象一下,这对一家管理费用高的初创公司来说可能是多么有害。
您需要始终牢牢掌握数据的存放位置以及哪些员工对此负责。您的数据资产可能包括客户关系管理软件、销售点购买信息、电子邮件营销工具、公司服务器和其他平台。无论如何,您必须有特定于平台的保护措施来保护它。
当万豪国际未能执行其日常网络安全审计时,由于缺乏尽职调查,5亿客户记录被发布。花时间进行彻底的数据审核是了解您的保护措施所在以及需要改进的地方的关键。
最大限度地减少您存储的数据也最大限度地减少了网络犯罪分子可以攻击和利用的潜在领域。删除旧数据可以使您的员工更好地了解他们最需要的信息,并且应该定期使用。
当出租车公司Taxa 4x35没有按照GDpR的要求删除所有乘车记录时,它将面临180,000美元的罚款。它保留了使用其服务的人的电话号码,只是删除了他们的名字。坚持数据最小化规定至关重要,因为这个例子太清楚了。
臭名昭著的2017 Equifax泄漏是Apache Struts软件漏洞的结果,Apache Struts软件是该公司争议解决门户的一部分。在员工安装补丁失败后,黑客能够侵入公司的系统,损害1.43亿客户。
技术增长正在改变世界,法规正在努力跟上。正因为如此,很可能会有越来越多的地方。加州的法规目前仍然是美国最严格的法规,但在不久的将来,它们可能会成为许多地方的监管基准。
消费者需要放心并保护自己信任的数据实体。公司将有责任提供这些东西,如果不这样做,将被证明是昂贵的。随着技术力量的增长,监管机构将不得不尽可能地保持这种力量的利用和安全。