Fique com a segurança: verifique se seus provedores de serviços implementam medidas razoáveis ​​de segurança

Confie, mas verifique. Esse é um bom conselho em muitos contextos, inclusive em sua abordagem às empresas que você contrata para processar dados confidenciais em sua posse. Mesmo que uma violação remonta à conduta de um provedor de serviços, da perspectiva de um cliente ou funcionário cujas informações pessoais foram compostas, o dinheiro para com você. É por isso que começar com as empresas de segurança para garantir que seus provedores de serviços implementem medidas razoáveis ​​de segurança.

Antes de trazer os provedores de serviços a bordo, solete o que você espera em termos de segurança. Satisfaça -se que eles têm as costeletas técnicas para fazer o trabalho. Construa em procedimentos para que você possa monitorar o que eles estão fazendo em seu nome. E verifique se eles estão cumprindo suas promessas.

Desenhada das ações, investigações e perguntas da aplicação da lei da FTC que obtemos das empresas, aqui estão alguns exemplos que ilustram as etapas que você pode tomar para incentivar seus provedores de serviços a começar com a segurança – e cumpri -la.

Faça sua devida diligência.

Você não compraria um carro usado antes de verificar sob o capô e não compraria uma casa com base apenas na promessa do vendedor de que ela está em condições de primeira linha. A segurança dos dados não é diferente. As informações geralmente são um dos ativos mais importantes que uma empresa possui. Antes de colocá -lo no controle de outra pessoa, certifique -se de saber como essas informações serão usadas e protegidas.

Exemplo: Uma empresa procura contratar um contratado para lidar com seu processamento de dados. Ele recebe lances de dois contratados – um com um nome reconhecido no campo e um recém -chegado que cobra significativamente menos. Em vez de simplesmente optar pelo nome da marca estabelecida ou pelo baixo lance, a empresa faz em que os dois contratados detalham perguntas sobre – entre outras coisas – como garantirá os dados da empresa, que terão acesso aos dados e como eles treinarão seus funcionários para manter os dados com segurança. A empresa deve conceder o contrato apenas se estiver satisfeito com as respostas que recebeu. Mesmo assim, a empresa deve incluir disposições específicas em seu contrato que exigem segurança razoável.

Coloque por escrito.

A segurança dos dados é muito importante para relegá -lo a um vago negócio “vamos apenas abalar”. Ambos os lados se beneficiam quando as expectativas, os padrões de desempenho e os métodos de monitoramento são reduzidos a escrever no contrato.

Exemplo: Uma empresa contrata um provedor de serviços para enviar declarações mensais de cobrança aos clientes. A empresa fornece ao provedor de serviços acesso às informações da conta – incluindo os métodos de pagamento preferidos dos clientes – e o provedor de serviços cria uma planilha dos dados. O contrato entre a empresa e o provedor de serviços não inclui nenhum requisito para manter a segurança razoável. O provedor de serviços não possui firewalls, não criptografa dados em repouso ou em trânsito e não implementa logs do sistema ou um sistema de detecção de intrusões. Ao não exigir segurança razoável no contrato e não especificar as medidas de segurança que o provedor de serviços deve implementar, a empresa perdeu a oportunidade de proteger as informações confidenciais de seus clientes.

Exemplo: Uma agência nacional de pessoal recruta funcionários de todo o país para trabalhar de casa para realizar a entrada de dados. A empresa contrata contratados regionais de RH para ajudar novos funcionários a preencher sua papelada de pessoal inicial. Os contratados de RH vão para as casas dos novos funcionários para que eles completem os formulários apropriados, que contêm informações pessoais sensíveis, incluindo números de previdência social. Os contratados de RH fotografam os formulários e, em seguida, usam os computadores pessoais dos novos funcionários para fazer upload e enviar por e -mail as informações de volta à agência de pessoal. A melhor prática seria que a agência de pessoal especifique em seu contrato um método mais seguro para transmitir as informações e entrar em contato imediatamente com o contratado de RH se dados sensíveis forem enviados em contravenção dessa disposição.

Verifique a conformidade.

Você conta sua alteração, confirma suas reservas de hotéis e analisa o extrato do seu cartão de crédito. A verificação dupla faz sentido. É por isso que as empresas cuidadosas verificam que os provedores de serviços estão cumprindo as disposições do contrato relacionadas à segurança.

Exemplo: Um varejista que vende equipamentos de acampamento contrata uma empresa para desenvolver um aplicativo com informações sobre trilhas para caminhadas. O varejista pretende comercializar o aplicativo com a alegação de que não coletará dados de geolocalização, a menos que o usuário opte afirmativamente e o varejista inclua uma cláusula nesse sentido em seu contrato com o desenvolvedor do aplicativo. Antes de lançar o aplicativo, o varejista o testa e determina que o aplicativo coleta informações de geolocalização de todos os usuários e o transmite para uma rede de anúncios. Ao soltar suas expectativas no contrato e nos testes para ver que o desenvolvedor as homenageou, o varejista pode obter o problema antes da divulgação do aplicativo.

A mensagem para empresas centradas em segurança é criar suas expectativas em seus contratos com prestadores de serviços que terão acesso a informações confidenciais. Além disso, verifique se você tem uma maneira de monitorar o que está fazendo em seu nome.

Próximo na série: Coloque os procedimentos para manter sua segurança atualizada e abordar vulnerabilidades que possam surgir.