قواعد ولوائح VoIP: هل مزودك متوافق مع صناعتك؟

تخيل أنك تشاهد عرض خيال علمي في السبعينيات. ترى الأطباء يشخصون المرضى من خلال التلاعب بالروبوتات من عالم بعيد. ترى المستهلكين يتحدثون إلى وكلاء خدمة العملاء على شاشات تقدم لهم توصيات تسوق شخصية. ترى تقريرًا مقدمًا في لوحة صغيرة ، مؤمن ببصمة الإصبع. ترى سيارات طائرة تعمل بالطاقة النووية. حسنًا ، بصرف النظر عن ذلك الأخير ، نحن موجودون إلى حد كبير مع VoIP والتكنولوجيا السحابية الحديثة.

أظهرت الرسوم الكاريكاتورية والعروض مع الوحوش الكبيرة المطاطية أن هذه التقنيات تُستخدم للأبد فقط.

ولكن في العالم الحقيقي ، هناك مخاطر حقيقية وتنظيم حقيقي للتخفيف من تلك المخاطر. تمر المعلومات القيمة عبر هذه الكابلات والخوادم كل ثانية ، وبعض القطاعات لديها قواعد خاصة ، والتي تطورت بمرور الوقت للتكيف مع التكنولوجيا المتقدمة. فيما يلي قائمة ببعض المعايير التنظيمية التي تريد أن تكون على دراية بها عندما يتعلق الأمر بـ VoIP وشبكات البيانات الأخرى.

ملاحظة: نحن نغطي فقط اللوائح المتعلقة بالاتصالات الإلكترونية وتخزين المعلومات الرقمية أو الشخصية.

1. CPNI

- ما هذا؟
معلومات الشبكة المملوكة للعميل هي المعلومات التي يجمعها مقدمو خدمات الاتصالات عن المشتركين لديهم. على وجه التحديد ، يربط بين نوع الخدمة التي يستخدمها المشتركون ، والمقدار الذي يتم استخدامه ، والنوع. على سبيل المثال ، يمكن لمزود الخدمة اللاسلكية تتبع عدد المرات التي تستخدم فيها هاتفك ، وأنك تستخدمه في كل من شبكات التواصل الاجتماعي والمكالمات. من المفترض أن تظل المعلومات سرية ، ولكن فقط إذا اختار العميل ذلك. إذا لم يقم العميل بإلغاء الاشتراك ، فيمكن للمزود تمرير هذه المعلومات إلى جهات التسويق لبيع خدمات أخرى ، طالما يتم إخطار العميل. إذا تركت مقدم الخدمة الخاص بك إلى مزود آخر ، يُحظر على الشركة استخدام CPNI لمحاولة استعادتك. إذا كنت ترغب في إلغاء الاشتراك في CPNI ، فيمكنك Google "إلغاء الاشتراك في CPNI (اسم المزود الخاص بك)" واتباع الإرشادات التي تجدها.

- من يؤثر؟
يخضع أي مزود اتصالات لقيود CPNI. لكن مقدار المعلومات التي يمتلكها كل مقدم تحت تصرفه ، وبالتالي فإن خطر تمرير البيانات (سواء بشكل شرعي أو غير ذلك) يعتمد على نوع الخدمة المقدمة. أصبحت شركات الكابلات وشركات الهاتف ومقدمي الخدمات اللاسلكية قابلة للتبادل بشكل متزايد اليوم ، لأننا نجري مكالمات هاتفية من مزود الإنترنت الخاص بنا ، ونستخدم هواتفنا للوصول إلى الإنترنت. قد تكون كل هذه المعلومات متاحة لمزود خدمة الإنترنت الخاص بك. في عام 2007 ، وسعت لجنة الاتصالات الفيدرالية (FCC) بشكل صريح تطبيق قواعد CPNI الخاصة بالهيئة لقانون الاتصالات لعام 1996 على مقدمي خدمة VoIP المترابطة. ومن الغريب أن نفس المعلومات التي يمكن تمريرها إلى شركات التسويق مع الحد الأدنى من القيود تتطلب أمر وصول لوكالات إنفاذ القانون.

- ما هي المخاطر؟
في عام 2015 ، استقرت AT&T مع لجنة الاتصالات الفيدرالية (FCC) مقابل غرامة قياسية قدرها 25 مليون دولار بعد 280.000 اسم وتم الوصول إلى SSN الكامل أو الجزئي دون إذن. وفقًا للجنة الاتصالات الفيدرالية FCC ، تمكن الموظفون في مراكز اتصال AT&T في المكسيك وكولومبيا والفلبين من الوصول إلى المعلومات أثناء فتح الهواتف المحمولة بشكل شرعي ، ولكن بعد ذلك قاموا بتمرير هذه المعلومات إلى طرف ثالث لإلغاء تأمين الهواتف المحمولة المسروقة. كانت هذه أكبر تسوية لإجراء أمان البيانات حتى الآن. ثاني أكبر شركة كانت لشركة Verizon Wireless ، التي اضطرت لدفع 7.4 مليون دولار في عام 2014 بعد أن فشلت في إخطار مليوني عميل بأنها كانت تستخدم معلوماتهم لإجراء آلاف الحملات التسويقية.

2. COPPA

- ما هذا؟
يحظر قانون حماية خصوصية الأطفال على الإنترنت لعام 1998 التسويق المخادع للأطفال ، أو جمع المعلومات الشخصية دون الكشف عنها لوالديهم. دخل الحكم حيز التنفيذ في عام 2000 ، وتم تعديله في عام 2011 ليطالب بمسح البيانات التي تم جمعها بعد فترة زمنية ، وأنه في حالة إرسال أي معلومات إلى طرف ثالث ، يجب أن يكون من السهل على ولي أمر الطفل حماية تلك المعلومات. يمكن أن تكون المعلومات الشخصية ، في هذه الحالة ، اسم الطفل والعنوان الفعلي أو عنوان IP واسم المستخدم / اسم الشاشة ورقم الضمان الاجتماعي والصور. لا يجوز للشركات مطالبة الأطفال بإرسال تلك المعلومات.

- من يؤثر؟
يتم فرض قانون حماية خصوصية الأطفال على الإنترنت (COPPA) من قبل لجنة التجارة الفيدرالية (FTC). تنطبق قواعد قانون حماية خصوصية الأطفال على الإنترنت (COPPA) على أي مشغل موقع ويب أو مزود خدمة عبر الإنترنت يقوم بجمع معلومات حول المستخدمين المعروف أنهم تحت سن 13 عامًا. في عام 2014 ، أصدرت لجنة التجارة الفيدرالية (FTC) إرشادات تنص على أن التطبيقات ومتاجر التطبيقات تتطلب "موافقة أبوية يمكن التحقق منها". تم تعديل القواعد المتعلقة بأرقام بطاقات الائتمان ، حيث نصت على أن إجراء عملية شراء (أي إنفاق الأموال) لم يكن ضروريًا للتحقق من صحة رقم بطاقة الائتمان ، ولكن أرقام بطاقة الائتمان وحدها لم تكن دليلًا على موافقة الوالدين ، وكان لابد من استخدامها في بالتزامن مع إجراءات أخرى ، مثل الأسئلة السرية.

- ما هي المخاطر؟
Xanga ، منصة التدوين على الإنترنت والشبكات الاجتماعية ، دفعت أكبر تسوية ، مليون دولار ، في عام 2006 لانتهاكها خصوصية الأطفال على الإنترنت دون إفشاء. لا ينبغي الخلط بين Xanga و Zynga ، الشركة التي تقف وراء FarmVille وغيرها من ألعاب نقر الأبقار. تقع ألعاب مثل Candy Crush و Pet Rescue في منطقة غير واضحة ، لأن Facebook يستضيفها ، وفيسبوك ، من الناحية النظرية على الأقل ، يقتصر على البشر الذين تزيد أعمارهم عن 13 عامًا. تطبيقات.

أثارت شركة Topps ، الشركة الأم لـ Ring Pops ، غضب مجموعات الخصوصية بسبب حملتها على وسائل التواصل الاجتماعي "#RockThatRock" ، قائلة إنه تم تسويقها للأطفال دون سن 13 عامًا ، واشتكى الكثيرون أيضًا من أن العديد من الصور تم نشرها جنسيًا قبل مراهقون. حتى كتابة هذه السطور ، لم يتم تغريمهم بعد.

3. HIPAA

- ما هذا؟
يعود قانون قابلية نقل التأمين الصحي والمساءلة إلى عام 1996 ، ويحدد الباب الثاني على وجه التحديد قواعد معاملات الرعاية الصحية الإلكترونية. بمعنى آخر ، تخضع أي معلومات عن صحتك يتم تخزينها رقميًا لقواعد الخصوصية الصارمة. تمامًا كما تتمتع بسرية اتفاقية عدم الإفشاء بين الطبيب والمريض ، فإن معلوماتك أيضًا سرية ، ولا يمكن مشاركتها إلا بإذن منك أو بأمر من القاضي.

- من يؤثر؟
يخضع أي كيان مغطى لقانون HIPAA. وفقًا للخدمات الصحية والإنسانية ، يمكن أن يكون هذا مقدم رعاية صحية (طبيب ، طبيب أسنان ، صيدلية) ، خطة صحية (تأمين ، HMO ، Medicare ، Medicaid ، The VA) ، أو غرفة مقاصة للرعاية الصحية (كيان عام أو خاص يأخذ المعلومات باستخدام المصطلحات الصناعية ويجعلها أكثر قابلية للقراءة من قبل شخص عادي.)

- كيف يجب حماية المرضى؟
هناك ضمانات إدارية ومادية وتقنية لمنع الانتهاكات. الضمانات الإدارية هي أشياء مثل منح / تقييد الوصول إلى الموظفين الذين يحتاجون / لا يحتاجون إلى الوصول إلى المعلومات ، والتأكد من تغيير كلمات المرور بانتظام ، ووجود سياسات مكتوبة محددة فيما يتعلق بسلوك الموظف. تشير الضمانات المادية إلى الوصول الشخصي إلى الأجهزة والمواقع ، وتشمل أشياء مثل الأقفال وأجهزة الإنذار الآمنة ، وحراس الأمن والكاميرات ، ومعرفة كيفية التخلص من محركات الأقراص القديمة بأمان. تشير الضمانات الفنية إلى تسجيل الدخول والخروج من محطة العمل وتتبع نشاط المستخدم وتشفير البيانات الآمن.

- ما هي المخاطر؟
في حالة انتهاك المعلومات ، يجب على الكيان المتأثر إخطار الشخص الذي تم تسريب معلوماته عبر البريد الإلكتروني أو بريد الدرجة الأولى. في حالة حدوث خرق أكبر ، إذا كان أي حدث يؤثر على أكثر من 500 فرد ، يتعين عليهم إخطار "وسائل الإعلام البارزة" وسكرتير HHS. يمكنك عرض قائمة بجميع انتهاكات المعلومات المبلغ عنها والتي تؤثر على أكثر من 500 شخص هنا. يمكنك تقديم شكواك الخاصة إلى HHS لمراجعتها إذا تم انتهاك خصوصيتك أنت أو أي شخص تعرفه عن طريق البريد أو الفاكس أو البريد الإلكتروني.

يمكن أن يؤدي انتهاك HIPAA إلى غرامات باهظة أو عقوبة جنائية. في عام 2014 ، أسقط HHS المطرقة على مستشفى نيويورك المشيخي والمركز الطبي بجامعة كولومبيا بعد أن كانت البيانات الخاصة بـ 6800 مريض متاحة لمحركات البحث العامة ؛ وضُرب المستشفيان بغرامة إجمالية قدرها 4.8 مليون دولار.

4. SOX

- ما هذا؟
تم وضع قانون Sarbanes-Oxley لعام 2002 في أعقاب انهيار عام 2002 ، من أجل منع الأنشطة المالية الشائنة. تخضع أي شركة يتم تداولها بشكل عام في البورصة لـ SOX. يتطلب القسم 404 من SOX من الشركات نشر المعلومات المتعلقة بهيكل الرقابة الداخلية ومدى دقة سجلاتهم المالية.

للإشارة إلى مشروع القانون نفسه ، تطلب لجنة الأوراق المالية والبورصات من الشركات أن تمنع أو تكتشف في الوقت المناسب ، "الكشف عن الاستحواذ غير المصرح به أو استخدام أو التخلص من أصول المُصدر التي يمكن أن يكون لها تأثير جوهري على البيان المالي".

- من يؤثر؟
تخضع أي شركة يتم تداولها بشكل عام في البورصة لـ SOX. يتطلب القسم 404 من SOX من الشركات نشر المعلومات المتعلقة بهيكل الرقابة الداخلية ومدى دقة سجلاتهم المالية.

لا يميز Sarbanes-Oxley بين الأصول الملموسة وغير الملموسة. وهذا يعني أنه يجب على الشركات أن تضع قيمة لخطط أعمالها المستقبلية ، والمنتجات غير المعلنة التي لا تزال في مرحلة الاختبار ، وأي شيء يمكن اعتباره سرًا تجاريًا. تحتاج الشركات أيضًا إلى حماية نفسها من الموظفين السابقين الذين يأخذون معهم أسرارًا تجارية ، وحتى من الحصول على أسرار تجارية من قبل موظفين سابقين في المنافسين.

- ما هي المخاطر؟
أي شركة خاضعة لـ SOX يجب أيضًا أن يتم تدقيق معلوماتها من قبل طرف ثالث موثوق به. هذه معلومات حساسة يتم نقلها وتخزينها ، ويجب على المدققين والشركات توخي أقصى درجات الحذر للتأكد من أن معلوماتهم آمنة. لا تنظر أبعد مما كان في عناوين الأخبار بالأمس لتسمع عن تسريب وثائق الشركة ، والتسبب في قدر كبير من الإحراج ، وفقدان الثقة من قبل المستثمرين ، وفقدان الأعمال ، وأحيانًا الغرامات أو العقوبات الجنائية. من أفضل الممارسات طلب التوقيع على اتفاقية عدم الإفشاء ، لإجراء مقابلات تجمع معلومات حول الشخص الذي لديه معلومات وتحديد احتمال وقوع البيانات في الأيدي الخطأ ، والاحتفاظ بسجلات صارمة لمن لديه حق الوصول القانوني إلى المعلومات ومن لا يملك.

5. قانون حماية المستهلك عبر الهاتف / السجل الوطني لعدم الاتصال

- ما هذا؟
حد قانون حماية المستهلك عبر الهاتف لعام 1991 من استخدام المكالمات الآلية والمتصلين الآليين وطرق الاتصال الأخرى. تركت لجنة الاتصالات الفيدرالية الأمر للشركات الفردية لإنشاء قوائم "عدم الاتصال" الخاصة بها ، وبالتالي كان ذلك بمثابة فشل كبير. لم يتم حتى عام 2003 إنشاء سجل عدم الاتصال الوطني رسميًا من قبل لجنة التجارة الفيدرالية كجزء من قانون تنفيذ عدم الاتصال لعام 2003. تستخدم العديد من مراكز اتصال VoIP الاختصار TCPA عند الحديث عن امتثالها لـ National Do Not Call Registry.

من يؤثر؟ وفقًا للجنة التجارة الفيدرالية (FTC) ، إذا كان للأعمال التجارية علاقة ثابتة مع أحد العملاء ، فيمكنها الاستمرار في الاتصال بهم لمدة تصل إلى 18 شهرًا. إذا اتصل أحد المستهلكين بالشركة ، على سبيل المثال ، لطلب معلومات حول المنتج أو الخدمة ، فإن لدى الشركة ثلاثة أشهر للرد عليه. في كلتا الحالتين اللتين ذكرتهما للتو ، إذا طلب العميل عدم تلقي مكالمات ، فيجب على الشركة التوقف عن الاتصال ، أو التعرض للغرامات.

الأنواع التالية من المكالمات معفاة ، باستثناء شكوى معينة ، من سجل عدم الاتصال:

• مكالمات من منظمة غير هادفة للربح "ب". ليست كل المنظمات غير الهادفة للربح معفاة تلقائيًا.
• أنواع معينة من الرسائل الإعلامية ، ولكن ليست الرسائل الترويجية (على سبيل المثال ، يُعفى إلغاء الرحلة ، ولا يُعفى بيع تذاكر الطائرة).
• يدعو للتصويت لمرشح سياسي.
• استجداء التبرعات الخيرية.
• مكالمات إلى شركة ، حتى مكالمات باردة للحصول على مبيعات.
• المكالمات من محصلي الديون ، لكن جامعي الديون لديهم قوانينهم الخاصة فيما يتعلق بمن ومتى يمكنهم الاتصال.

- ما هي المخاطر؟
الحد الأقصى لغرامة الاتصال بشخص ما على DNCR هو 16000 دولار. يعد وضع هاتفك في السجل أمرًا سهلاً مثل زيارة موقع الويب donotcall.gov ، أو الاتصال بالرقم 1-888-382-1222 من الهاتف الذي تريده في القائمة. على الرغم من أنك قد قرأت بعض رسائل البريد الإلكتروني أو منشورات وسائل التواصل الاجتماعي على العكس من ذلك ، فبمجرد إدراج رقم في القائمة ، فإنه يظل في القائمة إلى الأبد ما لم تتم إزالته بشكل نشط. جميع الهواتف المحمولة مدرجة في القائمة بشكل افتراضي. حتى كتابة هذه السطور ، لا يوجد شيء مثل سجل "عدم إرسال الرسائل النصية" ، وما يسمى ب "الفاكسات غير المرغوب فيها" تخضع للوائحها الخاصة.

6. قانون خصوصية وأمن البيانات الشخصية

- ما هذا؟
استجابة للقلق المتزايد من سرقة الهوية ونمو القدرة التكنولوجية في العالم على تخزين المعلومات وإيصالها وحسابها ، زاد قانون خصوصية وأمن البيانات الشخصية لعام 2009 العقوبات على بعض أنواع سرقة الهوية واختراق الكمبيوتر.

- من يؤثر؟
يفرض متطلبات برنامج خصوصية وأمن البيانات الشخصية على كيانات الأعمال التي تحتفظ بمعلومات حساسة لتحديد الهوية في شكل إلكتروني أو رقمي على 10000 شخص أمريكي أو أكثر. لدى العديد من مزودي خدمة VoIP أكثر من 100000 عميل. هناك فرصة جيدة لمزود VoIP الذي تختاره لعملك أن يكون لديه هذا المطلب. تنطبق القواعد أيضًا على وسطاء البيانات بين الولايات الذين لديهم معلومات عن أكثر من 5000 شخص ، لكن موفري VoIP لا يعتبرون وسطاء بيانات.

- ما هي المخاطر؟
قد يتم توجيه تهمة الابتزاز لمرتكب الجريمة نفسها ، والذي يقوم عن عمد بالوصول إلى جهاز كمبيوتر دون إذن. ولكن ، بالنسبة للشركة التي كانت ضحية لهذا الهجوم ، فإن الإخفاء المتعمد لخرق أمني لـ "معلومات حساسة لتحديد الهوية الشخصية" يمكن أن يؤدي إلى غرامة و / أو السجن لمدة خمس سنوات. يغطي هذا اسم الضحية ورقم الضمان الاجتماعي وعنوان المنزل وبيانات بصمات الأصابع / القياسات الحيوية وتاريخ الميلاد وأرقام الحسابات المصرفية.

يجب على أي شركة تم اختراقها إخطار الأفراد المتضررين عن طريق البريد أو الهاتف أو البريد الإلكتروني ، ويجب أن تتضمن الرسالة معلومات عن الشركة وكيفية الاتصال بوكالات تقارير الائتمان (على سبيل المثال ، للحصول على مساعدة في إصلاح ائتمانهم). يجب أيضًا الإبلاغ عن الانتهاك لوكالات الإبلاغ عن المستهلكين. يجب أيضًا الإبلاغ عن الانتهاك لوسائل الإعلام الرئيسية إذا كان هناك أكثر من 5000 شخص متضرر في دولة واحدة.

يجب على الشركة أيضًا الاتصال بالخدمة السرية في غضون أربعة عشر يومًا في حالة حدوث واحد أو أكثر مما يلي: تحتوي قاعدة البيانات على معلومات عن أكثر من مليون فرد ؛ يؤثر الخرق على أكثر من 10000 فرد ؛ قاعدة البيانات هي قاعدة بيانات حكومية اتحادية ؛ يؤثر الانتهاك على الأفراد المعروفين بأنهم موظفين حكوميين أو مقاولين متورطين في الأمن القومي أو إنفاذ القانون. سيتم بعد ذلك تمرير هذه المعلومات من الخدمة السرية إلى مكتب التحقيقات الفيدرالي ومكتب بريد الولايات المتحدة والمدعين العامين لكل ولاية متأثرة.

ختاما:

كل يومين ، يتم إنشاء معلومات أكثر من كل التاريخ المكتوب حتى عام 2003. الكثير من هذه المعلومات كان من المستحيل توثيقها بشكل صحيح حتى العقد الماضي أو نحو ذلك ، وحتى وقت قريب ، من غير العملي تخزينها ومن غير الممكن نقلها . توجد ضمانات مثل هذه القوانين حتى نتمكن من قصر هذه المعلومات على الأشخاص الأخلاقيين ، الذين يمكنهم فعل الشيء الصحيح لمرضاهم أو عملائهم أو أيًا كانت العلاقة. نسمع دائمًا عن اختراق قواعد البيانات ، والآن لديك فكرة أفضل عما سيحدث للشركة التي سمحت لنفسها بالاختراق ، وما كان يجب عليهم فعله لمنع ذلك. كن مطمئنًا لأنك تعرف أنك ، المستهلك ، أكثر أمانًا بسبب هذه القواعد.