Reglas y regulaciones de VoIP: ¿Cumple su proveedor con su industria?

Imagina que estás viendo un programa de ciencia ficción en la década de 1970. Ves médicos diagnosticando pacientes manipulando robots de otro mundo. Ve a los consumidores hablando con los agentes de servicio al cliente en las pantallas dándoles recomendaciones personales de compras. Ve un informe archivado en un bloc pequeño, protegido por una huella dactilar. Ves autos voladores de propulsión nuclear. Bueno, aparte de eso último, estamos prácticamente allí con VoIP y tecnología de nube moderna.

Los dibujos animados y los espectáculos con grandes monstruos gomosos mostraban que esas tecnologías solo se usaban para bien.

Pero, en el mundo real, existen riesgos reales y regulaciones reales para mitigar esos riesgos. Información valiosa pasa por esos cables y servidores cada segundo, y algunos sectores tienen reglas especiales, que han evolucionado con el tiempo para adaptarse a la tecnología avanzada. Aquí hay una lista de algunos de los estándares reguladores con los que querrá estar familiarizado cuando se trata de su VoIP y otras redes de datos.

Nota: Solo estamos cubriendo las regulaciones que se relacionan con la comunicación electrónica y el almacenamiento de información digital o personal.

1. CPNI

- ¿Qué es?
La información de red de propiedad exclusiva del cliente es información que los proveedores de servicios de telecomunicaciones recopilan sobre sus suscriptores. Específicamente, vincula el tipo de servicio que usan los suscriptores, la cantidad que se usa y de qué tipo. Por ejemplo, un proveedor inalámbrico puede rastrear la frecuencia con la que usa su teléfono y si lo usa tanto para redes sociales como para llamadas. Se supone que la información debe mantenerse privada, pero solo si el cliente opta por no participar. Si el cliente no opta por no participar, el proveedor puede pasar esa información a los comercializadores para vender otros servicios, siempre que se notifique al cliente. Si deja su proveedor por otro, la empresa tiene prohibido usar el CPNI para intentar recuperarlo. Si desea optar por no participar en la CPNI, puede buscar en Google "CPNI opt out (su nombre de proveedor)" y seguir las instrucciones que encuentre.

– ¿A quién afecta?
Cualquier proveedor de telecomunicaciones está sujeto a la restricción de CPNI. Pero, la cantidad de información que cada proveedor tiene a su disposición y, por lo tanto, el riesgo de transmitir datos (ya sea de forma legítima o no) depende del tipo de servicio prestado. Las compañías de cable, las compañías telefónicas y los proveedores inalámbricos son cada vez más intercambiables hoy en día, porque hacemos llamadas telefónicas desde nuestro proveedor de Internet y usamos nuestros teléfonos para acceder a Internet. Toda esta información puede estar disponible para su ISP. En 2007, la FCC amplió explícitamente la aplicación de las normas CPNI de la Comisión de la Ley de Telecomunicaciones de 1996 a los proveedores de servicios VoIP interconectados. Por extraño que parezca, la misma información que se puede pasar a las empresas de marketing con una restricción mínima requiere una orden para que las agencias de aplicación de la ley accedan.

– ¿Cuáles son los riesgos?
En 2015, AT&T llegó a un acuerdo con la FCC por una multa récord de $25 millones de dólares después de que se accediera sin autorización a 280,000 nombres y SSN completos o parciales. Según la FCC, los empleados de los centros de llamadas de AT&T en México, Colombia y Filipinas obtuvieron acceso a la información mientras desbloqueaban teléfonos celulares legítimamente, pero luego pasaban esa información a terceros para desbloquear teléfonos celulares robados. Este fue el acuerdo más grande por una acción de seguridad de datos con diferencia. El segundo más grande fue para Verizon Wireless, que tuvo que pagar $7.4 millones en 2014 después de que no notificó a dos millones de sus clientes que estaba usando su información para realizar miles de campañas de marketing.

2. COPA

- ¿Qué es?
La Ley de protección de la privacidad en línea de los niños de 1998 prohíbe la comercialización engañosa dirigida a los niños o la recopilación de información personal sin revelarla a sus padres. El fallo entró en vigor en 2000 y se modificó en 2011 para exigir que los datos recopilados se borren después de un período de tiempo, y que si se va a pasar alguna información a un tercero, debe ser fácil para el tutor del niño recuperarla. proteger esa información. La información personal, en este caso puede ser el nombre del niño, la dirección física o IP, un nombre de usuario/nombre de pantalla, número de seguro social y fotos. Las empresas no pueden incitar a los niños a enviar esa información.

– ¿A quién afecta?
La COPPA es aplicada por la FTC. Las reglas de COPPA se aplican a cualquier operador de sitio web o proveedor de servicios en línea que recopile información sobre usuarios que se sabe que tienen menos de 13 años. Las organizaciones sin fines de lucro están exentas de COPPA en ciertas circunstancias. En 2014, la FTC emitió pautas de que las aplicaciones y las tiendas de aplicaciones requieren un "consentimiento paterno verificable". Se modificaron las reglas con respecto a los números de tarjetas de crédito, estableciendo que no era necesario realizar una compra (es decir, gastar dinero) para validar un número de tarjeta de crédito, pero que los números de tarjeta de crédito por sí solos no eran prueba del consentimiento de los padres y debían usarse en junto con otras medidas, como las preguntas secretas.

– ¿Cuáles son los Riesgos?
Xanga, una plataforma de redes sociales y blogs en línea, pagó el acuerdo más grande, $ 1 millón, en 2006 por violar la privacidad en línea de los niños sin divulgación. Xanga no debe confundirse con Zynga, la compañía detrás de FarmVille y otros juegos de clicker de vacas. Juegos como Candy Crush y Pet Rescue caen en un territorio poco claro, porque están alojados en Facebook, y Facebook está, al menos en teoría, limitado a humanos mayores de 13 años. Muchos defensores de la privacidad y grupos de protección del consumidor presionan para que se establezcan reglas más estrictas con respecto aplicaciones

The Topps Company, empresa matriz de Ring Pops, se ha ganado la ira de los grupos de privacidad por su campaña en las redes sociales "#RockThatRock", diciendo que se comercializó para niños menores de 13 años, y muchos también se han quejado de que muchas de las imágenes publicadas eran sexuales. adolescentes. Al momento de escribir este artículo, aún no han sido multados.

3. HIPAA

- ¿Qué es?
La Ley de Portabilidad y Responsabilidad de los Seguros Médicos se remonta a 1996 y el Título II establece específicamente las reglas para las transacciones electrónicas de atención médica. En otras palabras, cualquier información sobre su salud que se almacene digitalmente está sujeta a estrictas reglas de privacidad. Así como usted tiene la confidencialidad NDA médico-paciente, su información también es confidencial y solo se puede compartir con su permiso o con las órdenes de un juez.

– ¿A quién afecta?
Cualquier entidad cubierta está sujeta a HIPAA. Según Health and Human Services, puede ser un proveedor de atención médica (médico, dentista, farmacia), un plan de salud (seguro, HMO, Medicare, Medicaid, The VA) o una cámara de compensación de atención médica (una entidad pública o privada que toma la información con la jerga de la industria y la hace más legible para un laico).

– ¿Cómo se debe proteger a los pacientes?
Existen salvaguardas administrativas, físicas y técnicas para evitar infracciones. Las salvaguardas administrativas son cosas como dar/restringir el acceso al personal que necesita/no necesita acceso a la información, asegurarse de que las contraseñas se cambien regularmente y tener políticas escritas específicas con respecto a la conducta de los empleados. Las medidas de seguridad físicas se refieren a tener acceso en persona a dispositivos y ubicaciones, e incluyen cosas como cerraduras y alarmas seguras, guardias de seguridad y cámaras, y saber cómo desechar unidades viejas de manera segura. Las salvaguardas técnicas se refieren al inicio y cierre de sesión de una estación de trabajo, el seguimiento de la actividad del usuario y el cifrado seguro de datos.

– ¿Cuáles son los Riesgos?
Si se viola la información, la entidad afectada debe notificar a la persona cuya información se filtró por correo electrónico o correo de primera clase. En el caso de una violación más grande, si algún evento afecta a más de 500 personas, se les exige que notifiquen a los "medios de comunicación destacados" y al Secretario del HHS. Puede ver una lista de todas las violaciones de información reportadas que afectan a más de 500 personas aquí. Puede presentar su propia queja para que el HHS la revise si usted o alguien que conoce ha invadido su privacidad por correo, fax o correo electrónico.

La violación de HIPAA puede dar lugar a fuertes multas o sanciones penales. En 2014, el HHS dejó caer el martillo sobre el Hospital Presbiteriano de Nueva York y el Centro Médico de la Universidad de Columbia después de que los datos de 6800 pacientes estuvieran disponibles para los motores de búsqueda públicos; los dos hospitales recibieron una multa combinada de $ 4,8 millones.

4. Medias

- ¿Qué es?
La Ley Sarbanes-Oxley de 2002 se creó a raíz del Crash de 2002, con el fin de evitar actividades financieras nefastas. Cualquier empresa que cotiza en una bolsa de valores está sujeta a SOX. La sección 404 de SOX requiere que las empresas publiquen información sobre su estructura de control interno y qué tan precisos son sus registros financieros.

Para citar el proyecto de ley en sí, la SEC requiere que las empresas prevengan o detecten de manera oportuna, la "detección de adquisición, uso o disposición no autorizados de los activos del emisor que podrían tener un efecto material en el estado financiero".

– ¿A quién afecta?
Cualquier empresa que cotiza en una bolsa de valores está sujeta a SOX. La sección 404 de SOX requiere que las empresas publiquen información sobre su estructura de control interno y qué tan precisos son sus registros financieros.

Sarbanes-Oxley no hace distinción entre activos tangibles e intangibles. Eso significa que las empresas deben poner valor a sus planes de negocios futuros, productos no anunciados que todavía están en la fase de prueba y cualquier cosa que pueda considerarse un secreto comercial. Las empresas también deben protegerse contra los ex empleados que se lleven secretos comerciales con ellos, e incluso contra los secretos comerciales de los ex empleados de los competidores.

– ¿Cuáles son los riesgos?
Cualquier empresa que esté sujeta a SOX también debe tener su información auditada por un tercero de confianza. Esta es información sensible que se transmite y almacena, y los auditores y las empresas deben tener el máximo cuidado para asegurarse de que su información esté segura. No mire más allá de lo que apareció en los titulares de ayer para enterarse de que los documentos de una empresa se filtraron y causaron una gran vergüenza, pérdida de confianza por parte de los inversores, pérdida de negocios y, a veces, multas o sanciones penales. Es una buena práctica exigir la firma de un NDA, realizar entrevistas que recopilen información sobre la persona con información y determinar la probabilidad de que los datos caigan en manos equivocadas, y mantener registros estrictos de quién tiene acceso legal a la información y quién no.

5. Ley de Protección al Consumidor Telefónico / Registro Nacional No Llame

- ¿Qué es?
La Ley de Protección al Consumidor de Teléfonos de 1991 limitó el uso de llamadas automáticas, marcadores automáticos y otros métodos de comunicación. La Comisión Federal de Comunicaciones dejó que las empresas individuales establecieran sus propias listas de No llamar, por lo que fue un gran fracaso. No fue sino hasta 2003 que la Comisión Federal de Comercio estableció formalmente el Registro Nacional No Llame como parte de la Ley de Implementación de No Llame de 2003. Muchos centros de contacto de VoIP usan la abreviatura TCPA cuando hablan de su cumplimiento con la Registro Nacional No Llame.

¿A quién afecta? Según la FTC, si una empresa tiene una relación establecida con un cliente, puede continuar llamándolo hasta por 18 meses. Si un consumidor llama a la empresa, por ejemplo, para solicitar información sobre el producto o servicio, la empresa tiene tres meses para comunicarse con él. En los dos casos que acabo de mencionar, si el cliente solicita no recibir llamadas, la empresa debe dejar de llamar o estar sujeta a multas.

Los siguientes tipos de llamadas están exentos, salvo una queja específica, del Registro No Llame:

• Llamadas de una organización B sin fines de lucro. No todas las organizaciones sin fines de lucro están automáticamente exentas.
• Ciertos tipos de mensajes informativos, pero no mensajes promocionales (por ejemplo, la cancelación de un vuelo está exenta, la venta de boletos de avión no lo está).
• Llamadas a votar por un candidato político.
• Solicitudes de donaciones benéficas.
• Llamadas a una empresa, incluso llamadas en frío para obtener ventas.
• Llamadas de cobradores de deudas, pero los cobradores de deudas tienen sus propias leyes con respecto a quién y cuándo pueden llamar.

– ¿Cuáles son los riesgos?
La multa máxima por llamar a alguien en el DNCR es de $16,000. Poner su teléfono en el registro es tan fácil como visitar el sitio web donotcall.gov o llamar al 1-888-382-1222 desde el teléfono que desea en la lista. Aunque es posible que haya leído algún correo electrónico o publicación en las redes sociales que indique lo contrario, una vez que un número está en la lista, permanece en la lista para siempre a menos que se elimine activamente. Todos los teléfonos móviles están en la lista de forma predeterminada. Al momento de escribir este artículo, no existe un registro de "No enviar mensajes de texto", y los llamados "fax basura" están sujetos a sus propias regulaciones.

6. Ley de Privacidad y Seguridad de Datos Personales

- ¿Qué es?
En respuesta a la creciente preocupación por el robo de identidad y el crecimiento de la capacidad tecnológica mundial para almacenar, comunicar y procesar información, la Ley de Seguridad y Privacidad de Datos Personales de 2009 aumentó las sanciones para algunos tipos de robo de identidad y piratería informática.

– ¿A quién afecta?
Impone requisitos para un programa de privacidad y seguridad de datos personales en entidades comerciales que mantienen información confidencial de identificación personal en forma electrónica o digital en 10,000 o más personas de EE. UU. Muchos proveedores de VoIP tienen más de 100.000 clientes. Es muy probable que el proveedor de VoIP de su empresa tenga este requisito. Las reglas también se aplican a los intermediarios de datos interestatales con información sobre más de 5000 personas, pero los proveedores de VoIP no se consideran intermediarios de datos.

– ¿Cuáles son los riesgos?
El autor del delito en sí, que es acceder intencionalmente a una computadora sin autorización, puede ser acusado de extorsión. Pero, en cuanto a la empresa que es víctima de este ataque, ocultar intencionalmente una violación de seguridad de “información confidencial de identificación personal” puede dar lugar a una multa y/o cinco años de prisión. Esto cubre el nombre de la víctima, número de seguro social, domicilio, datos biométricos/huellas dactilares, fecha de nacimiento y números de cuenta bancaria.

Cualquier empresa que sea violada debe notificar a las personas afectadas por correo, teléfono o correo electrónico, y el mensaje debe incluir información sobre la empresa y cómo ponerse en contacto con las agencias de informes crediticios (es decir, para obtener ayuda para arreglar su crédito). También debe informar el incumplimiento a las agencias de informes del consumidor. La violación también debe informarse a los principales medios de comunicación si hay más de 5000 personas afectadas en un estado.

La empresa también debe comunicarse con el Servicio Secreto dentro de los catorce días si ocurre uno o más de los siguientes: La base de datos contiene información sobre más de un millón de personas; el incumplimiento afecta a más de 10.000 personas; la base de datos es una base de datos del gobierno federal; la infracción afecta a personas que se sabe que son empleados del gobierno o contratistas involucrados en la seguridad nacional o la aplicación de la ley. Esa información luego pasará del Servicio Secreto al FBI, la Oficina de Correos de los Estados Unidos y los fiscales generales de cada estado afectado.

En conclusión:

Cada dos días, se genera más información que toda la historia escrita hasta 2003. Gran parte de esta es información que hubiera sido imposible documentar adecuadamente hasta la última década más o menos, e incluso más recientemente, poco práctica de almacenar e inviable de mover. . Salvaguardias como estas leyes existen para que podamos restringir esa información a personas éticas, que pueden hacer lo correcto para sus pacientes, clientes o cualquier relación. Siempre escuchamos que se violan las bases de datos, y ahora tiene una mejor idea de lo que le sucederá a la empresa que permitió que la piratearan y qué debería haber hecho para evitarlo. Descanse tranquilo sabiendo que usted, el consumidor, está más seguro gracias a estas reglas.