Držte se zabezpečení: Ujistěte se, že vaši poskytovatelé služeb implementují přiměřená bezpečnostní opatření


Důvěřuj ale prověřuj. To je dobrá rada v mnoha kontextech, včetně vašeho přístupu k firmám, které si najímáte na zpracování citlivých údajů, které vlastníte. I když se porušení nakonec vysledovalo zpět k chování poskytovatele služeb, z pohledu zákazníka nebo zaměstnance, jehož osobní údaje byly zahrnuty, přestane to platit u vás. Proto Start with Security varuje společnosti, aby zajistily, že jejich poskytovatelé služeb zavedou přiměřená bezpečnostní opatření.

Před zapojením poskytovatelů služeb si ujasněte, co očekáváte z hlediska zabezpečení. Přesvědčte se, že mají technické dovednosti, aby svou práci zvládli. Zabudujte postupy, abyste mohli sledovat, co za vás dělají. A ujistěte se, že dodržují své sliby.

Zde je několik příkladů, které vycházejí z akcí FTC pro vymáhání práva, vyšetřování a otázek, které dostáváme od společností, a které ilustrují kroky, které můžete podniknout, abyste své poskytovatele služeb povzbudili, aby začali s bezpečností – a drželi se toho.

Udělejte si náležitou péči.

Nekoupili byste si ojeté auto před kontrolou pod kapotou a nekoupili byste si dům pouze na základě slibu prodejce, že je ve špičkovém stavu. Zabezpečení dat není jiné. Informace jsou často jedním z nejdůležitějších aktiv firmy. Než je dáte pod kontrolu někoho jiného, ​​ujistěte se, že víte, jak budou tyto informace použity a zabezpečeny.

Příklad: Společnost hledá dodavatele, který by se postaral o její zpracování dat. Získává nabídky od dvou dodavatelů – jednoho s uznávaným jménem v oboru a nového, který si účtuje výrazně méně. Namísto toho, aby se společnost jednoduše rozhodla pro zavedenou značku nebo nízkou nabídku, místo toho položí oběma dodavatelům podrobné otázky – mimo jiné – jak zabezpečí data společnosti, kdo bude mít k datům přístup a jak bude školit své zaměstnanci udržovat data v bezpečí. Společnost by měla zadat zakázku pouze v případě, že je spokojena s odpověďmi, které obdržela. I poté by společnost měla do smlouvy zahrnout konkrétní ustanovení vyžadující přiměřené zabezpečení.

Dejte to písemně.

Zabezpečení dat je příliš důležité na to, abychom je odsouvali do vágní dohody typu „Jen s tím zatřesme“. Obě strany mají prospěch, když se očekávání, výkonnostní standardy a metody monitorování zredukují na sepsání ve smlouvě.

Příklad: Společnost si najme poskytovatele služeb, aby zákazníkům zasílal měsíční výpisy vyúčtování. Společnost poskytuje poskytovateli služeb přístup k informacím o účtu – včetně preferovaných platebních metod zákazníků – a poskytovatel služeb vytváří tabulku s daty. Smlouva mezi společností a poskytovatelem služeb neobsahuje žádný požadavek na zachování přiměřené bezpečnosti. Poskytovatel služeb nemá firewally, nešifruje data v klidu nebo při přenosu a neimplementuje systémové protokoly ani systém detekce narušení. Tím, že společnost nepožadovala ve smlouvě přiměřené zabezpečení a nespecifikovala bezpečnostní opatření, která musí poskytovatel služeb zavést, propásla příležitost chránit důvěrné informace svých zákazníků.

Příklad: Národní personální agentura rekrutuje zaměstnance z celé země, aby pracovali z domova a prováděli zadávání dat. Společnost najímá regionální HR kontraktory, aby novým zaměstnancům pomohli vyplnit jejich počáteční personální papíry. Personální dodavatelé chodí k novým zaměstnancům domů, aby jim vyplnili příslušné formuláře, které obsahují citlivé osobní údaje, včetně čísel sociálního zabezpečení. Personalisté vyfotografují formuláře a poté pomocí osobních počítačů nových zaměstnanců nahrají informace a odešlou je e-mailem zpět do personální agentury. Lepší praxí by bylo, kdyby personální agentura ve své smlouvě určila bezpečnější způsob předávání informací a v případě zaslání citlivých údajů v rozporu s tímto ustanovením okamžitě kontaktovala dodavatele lidských zdrojů.

Ověřte shodu.

Započítáte své změny, potvrdíte své hotelové rezervace a zkontrolujete výpis z kreditní karty. Dvojitá kontrola prostě dává smysl. Proto pečlivé společnosti ověřují, zda poskytovatelé služeb dodržují smluvní ustanovení týkající se bezpečnosti.

Příklad: Maloobchodník, který prodává vybavení pro kempování, si najme společnost, aby vyvinula aplikaci s informacemi o turistických stezkách. Prodejce má v úmyslu uvést aplikaci na trh s tvrzením, že nebude shromažďovat údaje o geografické poloze, pokud se k tomu uživatel nepotvrdí a prodejce v tomto smyslu nezahrne do smlouvy s vývojářem aplikace doložku. Před vydáním aplikace ji prodejce otestuje a určí, že aplikace shromažďuje geolokační informace od všech uživatelů a přenáší je do reklamní sítě. Tím, že ve smlouvě uvede svá očekávání a otestuje, zda je vývojář dodržel, může prodejce problém opravit ještě před vydáním aplikace.

Zpráva pro společnosti zaměřené na bezpečnost je zabudovat svá očekávání do smluv s poskytovateli služeb, kteří budou mít přístup k citlivým informacím. Kromě toho se ujistěte, že máte způsob, jak sledovat, co vaším jménem dělají.

Další v řadě: Zaveďte postupy, které udrží vaše zabezpečení aktuální a řeší zranitelná místa, která mohou nastat.

Leave a Comment

Your email address will not be published.