Règles et réglementations VoIP : votre fournisseur est-il conforme à votre secteur d'activité ?

Imaginez que vous regardiez une émission de science-fiction dans les années 1970. Vous voyez des médecins diagnostiquer des patients en manipulant des robots d'un monde à part. Vous voyez des consommateurs parler à des agents du service client sur des écrans leur donnant des recommandations d'achat personnalisées. Vous voyez un rapport déposé dans un petit bloc-notes, sécurisé par une empreinte digitale. Vous voyez des voitures volantes à propulsion nucléaire. Eh bien, à part ce dernier, nous en sommes à peu près là avec la VoIP et la technologie cloud moderne.

Les dessins animés et les spectacles avec de gros monstres caoutchouteux ont montré que ces technologies n'étaient utilisées que pour le bien.

Mais, dans le monde réel, il existe de vrais risques et une vraie réglementation pour atténuer ces risques. Des informations précieuses transitent chaque seconde par ces câbles et serveurs, et certains secteurs ont des règles spéciales, qui ont évolué au fil du temps pour s'adapter aux avancées technologiques. Voici une liste de certaines des normes de réglementation avec lesquelles vous voudrez vous familiariser en ce qui concerne votre VoIP et d'autres réseaux de données.

Remarque : Nous ne couvrons que les réglementations relatives aux communications électroniques et au stockage d'informations numériques ou personnelles.

1. CPNI

- Qu'est-ce que c'est?
Les informations sur le réseau propriétaire du client sont des informations que les fournisseurs de services de télécommunications recueillent sur leurs abonnés. Plus précisément, il relie le type de service utilisé par les abonnés, la quantité utilisée et le type. Par exemple, un fournisseur de services sans fil peut suivre la fréquence à laquelle vous utilisez votre téléphone et que vous l'utilisez à la fois pour les réseaux sociaux et les appels. Les informations sont censées rester confidentielles, mais uniquement si le client s'y oppose. Si le client ne se désiste pas, le fournisseur peut transmettre ces informations aux spécialistes du marketing pour vendre d'autres services, à condition que le client en soit informé. Si vous quittez votre fournisseur pour un autre, il est interdit à l'entreprise d'utiliser le CPNI pour tenter de vous récupérer. Si vous souhaitez vous désinscrire du CPNI, vous pouvez Google "CPNI opt out (nom de votre fournisseur)" et suivre les instructions que vous trouverez.

- Qui cela affecte-t-il ?
Tout fournisseur de télécommunications est soumis à la restriction CPNI. Mais la quantité d'informations dont chaque fournisseur dispose, et donc le risque de transmission de données (légitimement ou non) dépend du type de service fourni. Les câblodistributeurs, les compagnies de téléphone et les fournisseurs de services sans fil sont de plus en plus interchangeables aujourd'hui, car nous passons des appels téléphoniques à partir de notre fournisseur d'accès Internet et utilisons nos téléphones pour accéder à Internet. Toutes ces informations peuvent être disponibles pour votre FAI. En 2007, la FCC a explicitement étendu l'application des règles CPNI de la Commission de la Loi sur les télécommunications de 1996 aux fournisseurs de services VoIP interconnectés. Curieusement, les mêmes informations qui peuvent être transmises aux sociétés de marketing avec une restriction minimale nécessitent un mandat pour que les forces de l'ordre puissent y accéder.

– Quels sont les risques ?
En 2015, AT&T a réglé avec la FCC une pénalité record de 25 millions de dollars après que 280 000 noms et SSN complets ou partiels aient été consultés sans autorisation. Selon la FCC, les employés des centres d'appels AT&T au Mexique, en Colombie et aux Philippines ont eu accès aux informations tout en déverrouillant légitimement les téléphones portables, mais en transmettant ensuite ces informations à des tiers pour déverrouiller les téléphones portables volés. Il s'agissait de loin du règlement le plus important pour une action en matière de sécurité des données. Le deuxième plus important était Verizon Wireless, qui a dû payer 7,4 millions de dollars en 2014 après avoir omis d'informer deux millions de ses clients qu'il utilisait leurs informations pour mener des milliers de campagnes marketing.

2. COPPA

- Qu'est-ce que c'est?
La loi de 1998 sur la protection de la vie privée en ligne des enfants interdit le marketing trompeur auprès des enfants ou la collecte d'informations personnelles sans les divulguer à leurs parents. La décision est entrée en vigueur en 2000 et a été modifiée en 2011 pour exiger que les données collectées soient effacées après un certain temps et que si des informations doivent être transmises à un tiers, il doit être facile pour le tuteur de l'enfant de protéger ces informations. Les informations personnelles, dans ce cas, peuvent être le nom de l'enfant, l'adresse physique ou IP, un nom d'utilisateur/nom d'utilisateur, un numéro de sécurité sociale et des photos. Les entreprises ne sont pas autorisées à inciter les enfants à soumettre ces informations.

- Qui cela affecte-t-il ?
La COPPA est appliquée par la FTC. Les règles de la COPPA s'appliquent à tout opérateur de site Web ou fournisseur de services en ligne qui collecte des informations sur les utilisateurs connus pour être âgés de moins de 13 ans. Les organisations à but non lucratif sont exemptées de la COPPA dans certaines circonstances. En 2014, la FTC a publié des directives selon lesquelles les applications et les magasins d'applications exigent un « consentement parental vérifiable ». Les règles concernant les numéros de carte de crédit ont été modifiées, stipulant que faire un achat (c.-à-d. dépenser de l'argent) n'était pas nécessaire pour valider un numéro de carte de crédit, mais que les numéros de carte de crédit seuls ne constituaient pas une preuve de consentement parental et devaient être utilisés dans en conjonction avec d'autres mesures, comme les questions secrètes.

– Quels sont les risques ?
Xanga, une plate-forme de blogs et de réseaux sociaux en ligne, a payé le plus gros règlement, 1 million de dollars, en 2006 pour violation de la vie privée en ligne des enfants sans divulgation. Xanga ne doit pas être confondu avec Zynga, la société derrière FarmVille et d'autres jeux de cow-clicker. Des jeux comme Candy Crush et Pet Rescue tombent dans un territoire flou, car ils sont hébergés par Facebook, et Facebook est, en théorie du moins, limité aux humains de plus de 13 ans. De nombreux défenseurs de la vie privée et des groupes de protection des consommateurs font pression pour des règles plus strictes concernant ces applications.

La société Topps, société mère de Ring Pops, a suscité les foudres des groupes de protection de la vie privée pour sa campagne de médias sociaux "#RockThatRock", affirmant qu'elle était commercialisée auprès des enfants de moins de 13 ans, et beaucoup se sont également plaints du fait que de nombreuses photos publiées étaient sexualisées avant. les adolescents. Au moment d'écrire ces lignes, ils n'ont pas encore été condamnés à une amende.

3. HIPAA

- Qu'est-ce que c'est?
La loi sur la portabilité et la responsabilité de l'assurance maladie remonte à 1996, et le titre II définit spécifiquement les règles relatives aux transactions électroniques de soins de santé. En d'autres termes, toute information sur votre santé qui est stockée numériquement est soumise à des règles de confidentialité strictes. Tout comme vous avez la confidentialité NDA médecin-patient, vos informations sont également confidentielles et ne peuvent être partagées qu'avec votre permission ou sur ordre d'un juge.

- Qui cela affecte-t-il ?
Toute entité couverte est soumise à HIPAA. Selon Health and Human Services, il peut s'agir d'un fournisseur de soins de santé (médecin, dentiste, pharmacie), d'un plan de santé (assurance, HMO, Medicare, Medicaid, The VA) ou d'un centre d'échange de soins de santé (une entité publique ou privée qui prend des informations avec le jargon de l'industrie et les rend plus lisibles par un profane.)

– Comment les patients doivent-ils être protégés ?
Il existe des garanties administratives, physiques et techniques pour prévenir les violations. Les protections administratives sont des choses comme donner/restreindre l'accès au personnel qui a besoin/n'a pas besoin d'accéder à l'information, s'assurer que les mots de passe sont changés régulièrement et avoir des politiques écrites spécifiques concernant la conduite des employés. Les protections physiques font référence à l'accès en personne aux appareils et aux emplacements, et comprennent des éléments tels que des serrures et des alarmes sécurisées, des agents de sécurité et des caméras, et savoir comment se débarrasser en toute sécurité des anciens disques. Les garanties techniques font référence à la connexion et à la déconnexion d'un poste de travail, au suivi de l'activité des utilisateurs et au cryptage sécurisé des données.

– Quels sont les risques ?
Si des informations sont divulguées, l'entité concernée doit en informer la personne dont les informations ont été divulguées par e-mail ou par courrier de première classe. Dans le cas d'une violation plus importante, si un événement affecte plus de 500 personnes, ils sont tenus d'en informer les « médias importants » et le secrétaire du HHS. Vous pouvez consulter une liste de toutes les violations d'informations signalées affectant plus de 500 personnes ici. Vous pouvez déposer votre propre plainte pour que le HHS l'examine si vous ou quelqu'un que vous connaissez avez vu sa vie privée envahie par courrier, fax ou e-mail.

La violation de la loi HIPAA peut entraîner de lourdes amendes ou des sanctions pénales. En 2014, le HHS a lancé le marteau sur le New York-Presbyterian Hospital et le Columbia University Medical Center après que les données sur 6 800 patients aient été mises à la disposition des moteurs de recherche publics ; les deux hôpitaux ont été frappés d'une amende combinée de 4,8 millions de dollars.

4. SOx

- Qu'est-ce que c'est?
La loi Sarbanes-Oxley de 2002 a été créée à la suite du krach de 2002, afin de prévenir les activités financières néfastes. Toute société cotée en bourse est soumise à SOX. La section 404 de SOX oblige les entreprises à publier des informations concernant leur structure de contrôle interne et la précision de leurs dossiers financiers.

Pour citer le projet de loi lui-même, la SEC exige des entreprises qu'elles préviennent ou détectent en temps opportun la « détection d'acquisition, d'utilisation ou de cession non autorisée des actifs de l'émetteur qui pourrait avoir un effet important sur les états financiers ».

- Qui cela affecte-t-il ?
Toute société cotée en bourse est soumise à SOX. La section 404 de SOX oblige les entreprises à publier des informations concernant leur structure de contrôle interne et la précision de leurs dossiers financiers.

Sarbanes-Oxley ne fait pas de distinction entre actifs corporels et incorporels. Cela signifie que les entreprises doivent accorder une valeur à leurs futurs plans d'affaires, aux produits non annoncés qui sont encore en phase de test et à tout ce qui peut être considéré comme un secret commercial. Les entreprises doivent également se protéger contre le fait que d'anciens employés emportent des secrets commerciaux avec eux, et même contre la transmission de secrets commerciaux par d'anciens employés de concurrents.

– Quels sont les risques ?
Toute entreprise soumise à SOX doit également faire auditer ses informations par un tiers de confiance. Il s'agit d'informations sensibles qui sont transmises et stockées, et les auditeurs et les entreprises doivent prendre le plus grand soin pour s'assurer que leurs informations sont en sécurité. Ne cherchez pas plus loin que ce qui figurait dans les gros titres d'hier pour entendre parler de la fuite de documents d'une entreprise et de la gêne, de la perte de confiance des investisseurs, de la perte d'activité et parfois d'amendes ou de sanctions pénales. Il est recommandé d'exiger la signature d'une NDA, de mener des entretiens qui collectent des informations sur la personne détenant des informations et de déterminer la probabilité que les données tombent entre de mauvaises mains, et de conserver des enregistrements stricts indiquant qui a un accès légal aux informations et qui ne l'a pas.

5. Loi sur la protection des consommateurs par téléphone / Registre national des numéros de télécommunication exclus

- Qu'est-ce que c'est?
La loi de 1991 sur la protection des consommateurs par téléphone a limité l'utilisation des appels automatisés, des composeurs automatiques et d'autres méthodes de communication. La Federal Communications Commission a laissé le soin aux entreprises individuelles d'établir leurs propres listes de numéros de téléphone exclus, et ce fut donc un gros échec. Ce n'est qu'en 2003 que le National Do Not Call Registry a été officiellement créé par la Federal Trade Commission dans le cadre de la loi de 2003 sur la mise en œuvre des appels interdits. De nombreux centres de contact VoIP utilisent l'abréviation TCPA lorsqu'ils parlent de leur conformité à la Registre national des numéros de télécommunication exclus.

Qui cela affecte-t-il ? Selon la FTC, si une entreprise a une relation établie avec un client, elle peut continuer à l'appeler jusqu'à 18 mois. Si un consommateur appelle l'entreprise, par exemple, pour demander des informations sur le produit ou le service, l'entreprise a trois mois pour lui répondre. Dans les deux cas que je viens d'évoquer, si le client demande à ne pas recevoir d'appels, l'entreprise doit cesser d'appeler, sous peine d'amendes.

Les types d'appels suivants sont exemptés, sauf plainte spécifique, du registre des numéros de télécommunication exclus :

• Appels d'une organisation B à but non lucratif. Tous les organismes sans but lucratif ne sont pas automatiquement exonérés.
• Certains types de messages informatifs, mais pas de messages promotionnels (par exemple, une annulation de vol est exonérée, une vente de billets d'avion ne l'est pas).
• Appels à voter pour un candidat politique.
• Sollicitations pour don de bienfaisance.
• Appels à une entreprise, même appels à froid pour susciter des ventes.
• Appels des agents de recouvrement, mais les agents de recouvrement ont leurs propres lois concernant qui et quand ils peuvent appeler.

– Quels sont les risques ?
L'amende maximale pour avoir appelé quelqu'un sur le DNCR est de 16 000 $. Mettre votre téléphone sur le registre est aussi simple que de visiter le site Web donotcall.gov ou d'appeler le 1-888-382-1222 à partir du téléphone que vous voulez sur la liste. Bien que vous ayez peut-être lu des e-mails ou des publications sur les réseaux sociaux indiquant le contraire, une fois qu'un numéro est sur la liste, il y reste pour toujours à moins qu'il ne soit activement supprimé. Tous les téléphones cellulaires sont sur la liste par défaut. Au moment d'écrire ces lignes, il n'existe pas de registre "Ne pas envoyer de SMS", et les soi-disant "télécopies indésirables" sont soumises à leurs propres réglementations.

6. Loi sur la protection et la sécurité des données personnelles

- Qu'est-ce que c'est?
En réponse à la préoccupation croissante du vol d'identité et à la croissance de la capacité technologique mondiale à stocker, communiquer et calculer des informations, la loi de 2009 sur la confidentialité et la sécurité des données personnelles a augmenté les sanctions pour certains types de vol d'identité et de piratage informatique.

- Qui cela affecte-t-il ?
Impose des exigences pour un programme de confidentialité et de sécurité des données personnelles aux entités commerciales qui conservent des informations sensibles personnellement identifiables sous forme électronique ou numérique sur 10 000 personnes américaines ou plus. De nombreux fournisseurs VoIP ont plus de 100 000 clients. Il y a de fortes chances que le fournisseur VoIP de votre entreprise réponde à cette exigence. Les règles s'appliquent également aux courtiers de données interétatiques disposant d'informations sur plus de 5 000 personnes, mais les fournisseurs de VoIP ne sont pas considérés comme des courtiers de données.

– Quels sont les risques ?
L'auteur du crime lui-même, qui accède intentionnellement à un ordinateur sans autorisation, peut être accusé de racket. Mais, comme pour l'entreprise victime de cette attaque, dissimuler intentionnellement une faille de sécurité des « informations personnelles identifiables sensibles » peut entraîner une amende et/ou cinq ans de prison. Cela couvre le nom de la victime, son numéro de sécurité sociale, son adresse personnelle, ses empreintes digitales/données biométriques, sa date de naissance et ses numéros de compte bancaire.

Toute entreprise victime d'une violation doit en informer les personnes concernées par courrier, téléphone ou e-mail, et le message doit inclure des informations sur l'entreprise et comment entrer en contact avec les agences d'évaluation du crédit (c'est-à-dire pour obtenir de l'aide pour réparer leur crédit). Il doit également signaler la violation aux agences de renseignements sur les consommateurs. La violation doit également être signalée aux principaux médias si plus de 5 000 personnes concernées se trouvent dans un même État.

L'entreprise doit également contacter les services secrets dans les quatorze jours si un ou plusieurs des événements suivants se produisent : La base de données contient des informations sur plus d'un million d'individus ; la violation touche plus de 10 000 personnes ; la base de données est une base de données du gouvernement fédéral ; la violation affecte des personnes connues pour être des employés du gouvernement ou des sous-traitants impliqués dans la sécurité nationale ou l'application de la loi. Ces informations seront ensuite transmises des services secrets au FBI, à la poste américaine et aux procureurs généraux de chaque État concerné.

En conclusion:

Tous les deux jours, plus d'informations sont générées que toute l'histoire écrite jusqu'en 2003. Une grande partie de ces informations auraient été impossibles à documenter correctement jusqu'à la dernière décennie, et jusqu'à encore plus récemment, impossibles à stocker et impossibles à déplacer. . Des garanties comme ces lois existent afin que nous puissions restreindre ces informations aux personnes éthiques, qui peuvent faire ce qu'il faut pour leurs patients, clients ou quelle que soit la relation. Nous entendons toujours parler de piratage de bases de données, et vous avez maintenant une meilleure idée de ce qui arrivera à l'entreprise qui s'est laissée pirater et de ce qu'elle aurait dû faire pour l'empêcher. Ayez l'esprit tranquille en sachant que vous, le consommateur, êtes plus en sécurité grâce à ces règles.