Aturan dan Regulasi VoIP: Apakah Penyedia Anda Sesuai dengan Industri Anda?

Bayangkan Anda sedang menonton acara fiksi ilmiah di tahun 1970-an. Anda melihat dokter mendiagnosis pasien dengan memanipulasi robot dari dunia yang jauh. Anda melihat konsumen berbicara dengan agen layanan pelanggan di layar yang memberi mereka rekomendasi belanja pribadi. Anda melihat laporan yang diajukan di pad kecil, diamankan dengan sidik jari. Anda melihat mobil terbang bertenaga nuklir. Nah, selain dari yang terakhir itu, kita sudah cukup dekat dengan VoIP dan teknologi cloud modern.

Kartun dan pertunjukan dengan monster besar dan kenyal menunjukkan bahwa teknologi itu hanya digunakan untuk kebaikan.

Namun, di dunia nyata, ada risiko nyata dan regulasi nyata untuk memitigasi risiko tersebut. Informasi berharga melewati kabel dan server tersebut setiap detik, dan beberapa sektor memiliki aturan khusus, yang telah berkembang dari waktu ke waktu untuk beradaptasi dengan teknologi canggih. Berikut adalah daftar beberapa standar pengaturan yang ingin Anda ketahui terkait VoIP Anda, dan jaringan data lainnya.

Catatan: Kami hanya mencakup peraturan yang berkaitan dengan komunikasi elektronik, dan penyimpanan informasi digital atau pribadi.

1. CPNI

- Apa itu?
Informasi Jaringan Kepemilikan Pelanggan adalah informasi yang dikumpulkan oleh penyedia layanan telekomunikasi tentang pelanggan mereka. Secara khusus, ini menghubungkan bersama jenis layanan yang digunakan pelanggan, jumlah yang digunakan, dan jenis apa. Misalnya, penyedia nirkabel dapat melacak seberapa sering Anda menggunakan telepon, dan bahwa Anda menggunakannya untuk jaringan sosial dan panggilan. Informasi tersebut seharusnya dirahasiakan, tetapi hanya jika pelanggan memilih keluar. Jika pelanggan tidak memilih keluar, penyedia dapat menyampaikan informasi tersebut kepada pemasar untuk menjual layanan lain, selama pelanggan diberi tahu. Jika Anda meninggalkan penyedia Anda untuk yang lain, perusahaan dilarang menggunakan CPNI untuk mencoba mendapatkan Anda kembali. Jika Anda ingin menyisih dari CPNI, Anda dapat mencari Google "CPNI opt out (nama penyedia Anda)" dan ikuti petunjuk yang Anda temukan.

- Siapa yang Mempengaruhi?
Setiap penyelenggara telekomunikasi tunduk pada pembatasan CPNI. Namun, seberapa banyak informasi yang dimiliki setiap penyedia, dan oleh karena itu risiko meneruskan data (baik secara sah atau tidak) bergantung pada jenis layanan yang disediakan. Perusahaan kabel, perusahaan telepon, dan penyedia nirkabel menjadi semakin dapat dipertukarkan hari ini, karena kita membuat panggilan telepon dari penyedia Internet kita, dan menggunakan telepon kita untuk mengakses Internet. Semua informasi ini mungkin tersedia untuk ISP Anda. Pada tahun 2007, FCC secara eksplisit memperluas penerapan aturan CPNI Komisi dari Undang-Undang Telekomunikasi tahun 1996 kepada penyedia layanan VoIP yang saling terhubung. Anehnya, informasi yang sama yang dapat diteruskan ke perusahaan pemasaran dengan pembatasan minimal memerlukan surat perintah untuk diakses oleh lembaga penegak hukum.

– Apa Resikonya?
Pada tahun 2015, AT&T menyelesaikan dengan FCC untuk rekor denda $25 juta dolar setelah 280.000 nama dan SSN penuh atau sebagian diakses tanpa otorisasi. Menurut FCC, karyawan di pusat panggilan AT&T di Meksiko, Kolombia, dan Filipina memperoleh akses ke informasi saat membuka kunci ponsel secara sah, tetapi kemudian meneruskan informasi itu ke pihak ketiga untuk membuka kunci ponsel curian. Ini adalah penyelesaian terbesar untuk tindakan keamanan data sejauh ini. Yang terbesar kedua adalah Verizon Wireless, yang harus membayar $7,4 juta pada tahun 2014 setelah gagal memberi tahu dua juta pelanggannya bahwa mereka menggunakan informasi mereka untuk melakukan ribuan kampanye pemasaran.

2. COPPA

- Apa itu?
Undang-Undang Perlindungan Privasi Daring Anak tahun 1998 melarang pemasaran yang menipu kepada anak-anak, atau mengumpulkan informasi pribadi tanpa mengungkapkannya kepada orang tua mereka. Keputusan tersebut mulai berlaku pada tahun 2000, dan diubah pada tahun 2011 untuk mewajibkan agar data yang dikumpulkan dihapus setelah jangka waktu tertentu, dan bahwa jika ada informasi yang akan diberikan kepada pihak ketiga, maka harus mudah bagi wali anak untuk melindungi informasi itu. Informasi pribadi, dalam hal ini dapat berupa nama anak, alamat fisik atau IP, nama pengguna/nama layar, nomor jaminan sosial, dan foto. Perusahaan tidak diperbolehkan untuk meminta anak-anak untuk mengirimkan informasi tersebut.

- Siapa yang Mempengaruhi?
COPPA ditegakkan oleh FTC. Aturan COPPA berlaku untuk setiap operator situs web atau penyedia layanan online yang mengumpulkan informasi tentang pengguna yang diketahui berusia di bawah 13 tahun. Organisasi nirlaba dikecualikan dari COPPA dalam keadaan tertentu. Pada tahun 2014, FTC mengeluarkan pedoman bahwa aplikasi dan toko aplikasi memerlukan "persetujuan orang tua yang dapat diverifikasi." Aturan mengenai nomor kartu kredit diubah, menyatakan bahwa melakukan pembelian (yaitu, membelanjakan uang) tidak diperlukan untuk memvalidasi nomor kartu kredit, tetapi nomor kartu kredit saja bukan bukti persetujuan orang tua, dan harus digunakan dalam hubungannya dengan tindakan lain, seperti pertanyaan rahasia.

– Apa Resikonya?
Xanga, platform blog dan jejaring sosial online, membayar penyelesaian terbesar, $1 juta, pada tahun 2006 karena melanggar privasi online anak-anak tanpa pengungkapan. Xanga tidak sama dengan Zynga, perusahaan di balik FarmVille dan permainan clicker sapi lainnya. Game seperti Candy Crush dan Pet Rescue jatuh ke wilayah yang tidak jelas, karena di-host oleh Facebook, dan Facebook, secara teori setidaknya, terbatas pada manusia di atas usia 13 tahun. Banyak pendukung privasi dan kelompok perlindungan konsumen melobi aturan yang lebih ketat mengenai hal ini. aplikasi.

The Topps Company, perusahaan induk Ring Pops, telah mendapatkan kemarahan dari kelompok privasi untuk kampanye media sosial "#RockThatRock", mengatakan bahwa itu dipasarkan untuk anak-anak di bawah 13 tahun, dan banyak juga yang mengeluh bahwa banyak dari gambar yang diposting pra-seksual. remaja. Sampai tulisan ini dibuat, mereka belum didenda.

3. HIPAA

- Apa itu?
Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan dimulai pada tahun 1996, dan Judul II secara khusus menetapkan aturan untuk transaksi perawatan kesehatan elektronik. Dengan kata lain, setiap informasi tentang kesehatan Anda yang disimpan secara digital tunduk pada aturan privasi yang ketat. Sama seperti Anda memiliki kerahasiaan NDA dokter-pasien, informasi Anda juga bersifat rahasia, dan hanya dapat dibagikan dengan izin Anda atau dengan perintah hakim.

- Siapa yang Mempengaruhi?
Setiap entitas yang tercakup tunduk pada HIPAA. Menurut Layanan Kesehatan dan Kemanusiaan, ini dapat berupa penyedia layanan kesehatan (Dokter, dokter gigi, apotek), rencana kesehatan (asuransi, HMO, Medicare, Medicaid, The VA), atau clearinghouse perawatan kesehatan (badan publik atau swasta yang mengambil informasi dengan jargon industri dan membuatnya lebih mudah dibaca oleh orang awam.)

– Bagaimana pasien harus dilindungi?
Ada pengamanan administratif, fisik, dan teknis untuk mencegah pelanggaran. Pengamanan administratif adalah hal-hal seperti memberikan/membatasi akses kepada staf yang membutuhkan/tidak memerlukan akses ke informasi, memastikan kata sandi diubah secara teratur, dan memiliki kebijakan tertulis khusus mengenai perilaku karyawan. Perlindungan fisik mengacu pada memiliki akses langsung ke perangkat dan lokasi, dan mencakup hal-hal seperti kunci dan alarm yang aman, penjaga keamanan dan kamera, dan mengetahui cara membuang drive lama dengan aman. Pengamanan teknis mengacu pada masuk dan keluar dari stasiun kerja, melacak aktivitas pengguna, dan enkripsi data yang aman.

– Apa Resikonya?
Jika informasi dilanggar, entitas yang terpengaruh harus memberi tahu orang yang informasinya bocor melalui email atau surat kelas satu. Dalam kasus pelanggaran yang lebih besar, jika ada peristiwa yang mempengaruhi lebih dari 500 individu, mereka diharuskan untuk memberi tahu "outlet media terkemuka" dan Sekretaris HHS. Anda dapat melihat daftar semua pelanggaran informasi yang dilaporkan yang mempengaruhi lebih dari 500 orang di sini. Anda dapat mengajukan keluhan Anda sendiri untuk ditinjau oleh HHS jika privasi Anda atau seseorang yang Anda kenal telah diserang melalui surat, faks, atau email.

Melanggar HIPAA dapat menyebabkan denda berat atau hukuman pidana. Pada tahun 2014, HHS menjatuhkan palu di Rumah Sakit Presbyterian New York dan Pusat Medis Universitas Columbia setelah data pada 6.800 pasien tersedia untuk mesin pencari publik; kedua rumah sakit itu terkena denda gabungan sebesar $4,8 juta.

4. SOX

- Apa itu?
Sarbanes-Oxley Act of 2002 dibuat setelah Kecelakaan 2002, untuk mencegah aktivitas keuangan yang jahat. Setiap perusahaan yang diperdagangkan secara publik di bursa saham tunduk pada SOX. Bagian 404 dari SOX mengharuskan perusahaan untuk mempublikasikan informasi mengenai struktur pengendalian internal mereka dan seberapa akurat catatan keuangan mereka.

Mengutip RUU itu sendiri, SEC mengharuskan perusahaan untuk mencegah atau mendeteksi secara tepat waktu, "deteksi akuisisi yang tidak sah, penggunaan atau disposisi aset penerbit yang dapat berdampak material pada laporan keuangan."

- Siapa yang Mempengaruhi?
Setiap perusahaan yang diperdagangkan secara publik di bursa saham tunduk pada SOX. Bagian 404 dari SOX mengharuskan perusahaan untuk mempublikasikan informasi mengenai struktur pengendalian internal mereka dan seberapa akurat catatan keuangan mereka.

Sarbanes-Oxley tidak membedakan antara aset berwujud dan tidak berwujud. Itu berarti bahwa perusahaan harus memberi nilai pada rencana bisnis masa depan mereka, produk yang belum diumumkan yang masih dalam tahap pengujian, dan apa pun yang dapat dianggap sebagai rahasia dagang. Perusahaan juga perlu melindungi diri dari mantan karyawan yang membawa rahasia dagang, dan bahkan dari pemberian rahasia dagang oleh mantan karyawan pesaing.

– Apa Resikonya?
Setiap perusahaan yang tunduk pada SOX juga harus memiliki informasi yang diaudit oleh pihak ketiga yang tepercaya. Ini adalah informasi sensitif yang sedang dikirim dan disimpan, dan auditor serta perusahaan harus sangat berhati-hati untuk memastikan keamanan informasi mereka. Lihat tidak lebih jauh dari apa pun yang ada di berita utama kemarin untuk mendengar tentang dokumen perusahaan yang bocor, dan menyebabkan tidak sedikit rasa malu, kehilangan kepercayaan oleh investor, kehilangan bisnis, dan terkadang denda atau hukuman pidana. Ini adalah praktik terbaik untuk mewajibkan penandatanganan NDA, untuk melakukan wawancara yang mengumpulkan informasi tentang orang yang memiliki informasi dan menentukan kemungkinan data jatuh ke tangan yang salah, dan untuk memelihara catatan ketat tentang siapa yang memiliki akses hukum ke informasi dan siapa yang tidak.

5. Undang-Undang Perlindungan Konsumen Telepon / National Do Not Call Registry

- Apa itu?
Undang- Undang Perlindungan Konsumen Telepon tahun 1991 membatasi penggunaan robocall, dialer otomatis, dan metode komunikasi lainnya. Komisi Komunikasi Federal menyerahkannya kepada masing-masing perusahaan untuk membuat daftar Do Not Call mereka sendiri, dan itu adalah kegagalan besar. Baru pada tahun 2003 National Do Not Call Registry secara resmi didirikan oleh Federal Trade Commission sebagai bagian dari Undang-Undang Implementasi Do-Not-Call tahun 2003. Banyak pusat kontak VoIP menggunakan singkatan TCPA ketika berbicara tentang kepatuhan mereka terhadap Registri Jangan Panggil Nasional.

Siapa yang Mempengaruhi? Menurut FTC, jika bisnis memiliki hubungan yang mapan dengan pelanggan, ia dapat terus menghubungi mereka hingga 18 bulan. Jika seorang konsumen menelepon perusahaan, katakanlah, untuk meminta informasi tentang produk atau layanan, perusahaan memiliki waktu tiga bulan untuk menghubunginya kembali. Dalam kedua kasus yang baru saja saya sebutkan, jika pelanggan meminta untuk tidak menerima panggilan, perusahaan harus berhenti menelepon, atau dikenakan denda.

Jenis panggilan berikut dikecualikan, kecuali keluhan tertentu, dari Do Not Call Registry:

• Telepon dari organisasi B nirlaba. Tidak semua organisasi nirlaba secara otomatis dikecualikan.
• Jenis pesan informasi tertentu, tetapi bukan pesan promosi (misalnya, pembatalan penerbangan dikecualikan, penjualan tiket pesawat tidak).
• Panggilan untuk memilih kandidat politik.
• Permohonan untuk sumbangan amal.
• Panggilan ke bisnis, bahkan panggilan dingin untuk mendapatkan penjualan.
• Panggilan dari penagih utang, tetapi penagih utang memiliki undang-undang sendiri tentang siapa dan kapan mereka dapat menelepon.

– Apa Resikonya?
Denda maksimum untuk menelepon seseorang di DNSR adalah $16.000. Menempatkan telepon Anda di registri semudah mengunjungi situs web donotcall.gov, atau menelepon 1-888-382-1222 dari telepon yang Anda inginkan dalam daftar. Meskipun Anda mungkin telah membaca beberapa email atau posting media sosial yang sebaliknya, begitu sebuah nomor ada dalam daftar, nomor itu tetap ada di daftar selamanya kecuali jika dihapus secara aktif. Semua telepon seluler ada dalam daftar secara default. Pada tulisan ini, tidak ada yang namanya registri "Jangan Kirim Teks", dan apa yang disebut "faks sampah" tunduk pada peraturan mereka sendiri.

6. Undang-Undang Privasi dan Keamanan Data Pribadi

- Apa itu?
Menanggapi meningkatnya kekhawatiran akan pencurian identitas dan pertumbuhan kapasitas teknologi dunia untuk menyimpan, berkomunikasi, dan menghitung informasi, Undang-Undang Privasi dan Keamanan Data Pribadi tahun 2009 meningkatkan hukuman untuk beberapa jenis pencurian identitas dan peretasan komputer.

- Siapa yang Mempengaruhi?
Memaksakan persyaratan untuk program privasi dan keamanan data pribadi pada entitas bisnis yang memelihara informasi pengenal pribadi yang sensitif dalam bentuk elektronik atau digital pada 10.000 atau lebih orang AS. Banyak penyedia VoIP memiliki lebih dari 100.000 pelanggan. Ada kemungkinan besar penyedia layanan VoIP bisnis Anda memiliki persyaratan ini. Aturan juga berlaku untuk perantara data antarnegara bagian dengan informasi lebih dari 5.000 orang, tetapi penyedia VoIP tidak dianggap sebagai perantara data.

– Apa Resikonya?
Pelaku kejahatan itu sendiri, yang dengan sengaja mengakses komputer tanpa izin, dapat dijerat dengan pemerasan. Namun, bagi perusahaan yang menjadi korban serangan ini, dengan sengaja menyembunyikan pelanggaran keamanan “informasi pengenal pribadi yang sensitif” dapat menyebabkan denda dan/atau lima tahun penjara. Meliputi nama korban, nomor jaminan sosial, alamat rumah, data sidik jari/biometrik, tanggal lahir, dan nomor rekening bank.

Setiap perusahaan yang dilanggar harus memberi tahu individu yang terkena dampak melalui surat, telepon, atau email, dan pesan tersebut harus menyertakan informasi tentang perusahaan dan cara menghubungi agen pelaporan kredit (yaitu, untuk mendapatkan bantuan memperbaiki kredit mereka). Itu juga harus melaporkan pelanggaran ke agen pelaporan konsumen. Pelanggaran juga harus dilaporkan ke media utama jika lebih dari 5.000 orang yang terkena dampak berada di satu negara bagian.

Perusahaan juga harus menghubungi Secret Service dalam waktu empat belas hari jika satu atau lebih hal berikut terjadi: Basis data berisi informasi tentang lebih dari satu juta individu; pelanggaran tersebut mempengaruhi lebih dari 10.000 orang; database adalah database pemerintah federal; pelanggaran tersebut mempengaruhi individu yang diketahui sebagai pegawai pemerintah atau kontraktor yang terlibat dalam keamanan nasional atau penegakan hukum. Informasi itu kemudian akan diteruskan dari Secret Service ke FBI, Kantor Pos Amerika Serikat, dan jaksa agung dari setiap negara bagian yang terkena dampak.

Kesimpulannya:

Setiap dua hari, lebih banyak informasi yang dihasilkan daripada semua sejarah tertulis hingga tahun 2003. Sebagian besar informasi ini tidak mungkin didokumentasikan dengan baik hingga dekade terakhir ini, dan bahkan hingga baru-baru ini, tidak praktis untuk disimpan dan tidak layak untuk dipindahkan. . Perlindungan seperti undang-undang ini ada sehingga kami dapat membatasi informasi tersebut kepada orang yang beretika, yang dapat melakukan hal yang benar untuk pasien, klien, atau apa pun hubungannya. Kami selalu mendengar tentang database yang dilanggar, dan sekarang Anda memiliki gagasan yang lebih baik tentang apa yang akan terjadi pada perusahaan yang membiarkan dirinya diretas, dan apa yang harus mereka lakukan untuk mencegahnya. Tenang mengetahui Anda, konsumen, lebih aman karena aturan ini.