Regole e regolamenti VoIP: il tuo provider è conforme al tuo settore?
Pubblicato: 2016-04-05Immagina di guardare uno spettacolo di fantascienza negli anni '70. Vedi medici che diagnosticano i pazienti manipolando i robot da un mondo lontano. Vedi i consumatori che parlano con gli agenti del servizio clienti sugli schermi che danno loro consigli di acquisto personali. Vedi un rapporto archiviato in un piccolo blocco, protetto da un'impronta digitale. Vedi macchine volanti a propulsione nucleare. Bene, a parte quest'ultimo, siamo praticamente lì con il VoIP e la moderna tecnologia cloud.
Cartoni animati e spettacoli con grandi mostri gommosi mostravano che quelle tecnologie venivano utilizzate solo per il bene.
Ma, nel mondo reale, ci sono rischi reali e una regolamentazione reale per mitigare tali rischi. Informazioni preziose passano attraverso quei cavi e server ogni secondo e alcuni settori hanno regole speciali, che si sono evolute nel tempo per adattarsi alla tecnologia avanzata. Ecco un elenco di alcuni degli standard di regolamentazione con cui vorrai avere familiarità quando si tratta del tuo VoIP e di altre reti di dati.
Nota: trattiamo solo le normative relative alla comunicazione elettronica e all'archiviazione di informazioni digitali o personali.
1. CPNI
- Che cos'è?
Le informazioni di rete proprietarie del cliente sono informazioni che i fornitori di servizi di telecomunicazione raccolgono sui loro abbonati. In particolare, collega tra loro il tipo di servizio utilizzato dagli abbonati, l'importo che viene utilizzato e quale tipo. Ad esempio, un provider wireless può tenere traccia della frequenza con cui utilizzi il telefono e che lo utilizzi sia per i social network che per le chiamate. Le informazioni dovrebbero essere mantenute private, ma solo se il cliente rinuncia. Se il cliente non rinuncia, il fornitore può trasmettere tali informazioni ai marketer per vendere altri servizi, a condizione che il cliente venga informato. Se lasci il tuo provider per un altro, alla società è vietato utilizzare il CPNI per cercare di riaverti. Se desideri disattivare il CPNI, puoi utilizzare Google "CPNI opt out (nome del tuo provider)" e seguire le istruzioni che trovi.
– Chi colpisce?
Qualsiasi provider di telecomunicazioni è soggetto alla restrizione CPNI. Ma quante informazioni ha a sua disposizione ciascun fornitore, e quindi il rischio di trasmettere dati (legittimamente o meno) dipende dal tipo di servizio fornito. Le compagnie via cavo, le compagnie telefoniche e i provider wireless stanno diventando sempre più intercambiabili oggi, perché effettuiamo telefonate dal nostro provider Internet e utilizziamo i nostri telefoni per accedere a Internet. Tutte queste informazioni potrebbero essere disponibili per il tuo ISP. Nel 2007, la FCC ha esteso esplicitamente l'applicazione delle regole CPNI della Commissione del Telecommunications Act del 1996 ai fornitori di servizi VoIP interconnessi. Stranamente, le stesse informazioni che possono essere trasmesse alle società di marketing con restrizioni minime richiedono un mandato per l'accesso alle forze dell'ordine.
– Quali sono i rischi?
Nel 2015, AT&T si è accordata con la FCC per una sanzione record di $ 25 milioni di dollari dopo che 280.000 nomi e SSN totali o parziali sono stati consultati senza autorizzazione. Secondo la FCC, i dipendenti dei call center AT&T in Messico, Colombia e Filippine hanno ottenuto l'accesso alle informazioni sbloccando legittimamente i telefoni cellulari, ma poi trasmettendo tali informazioni a terzi per sbloccare i telefoni cellulari rubati. Questo è stato di gran lunga il più grande accordo per un'azione di sicurezza dei dati. Il secondo più grande è stato quello di Verizon Wireless, che ha dovuto pagare 7,4 milioni di dollari nel 2014 dopo non aver notificato a due milioni di clienti che stava utilizzando le loro informazioni per condurre migliaia di campagne di marketing.
2. COPPA
- Che cos'è?
Il Children's Online Privacy Protection Act del 1998 vieta il marketing ingannevole ai bambini o la raccolta di informazioni personali senza divulgazione ai genitori. La sentenza è entrata in vigore nel 2000 ed è stata modificata nel 2011 per richiedere che i dati raccolti siano cancellati dopo un periodo di tempo e che, se qualsiasi informazione deve essere trasmessa a terzi, deve essere facile per il tutore del bambino proteggere tali informazioni. Le informazioni personali, in questo caso, possono essere il nome del bambino, l'indirizzo fisico o IP, un nome utente/nome utente, il numero di previdenza sociale e le foto. Le aziende non sono autorizzate a chiedere ai bambini di fornire tali informazioni.
– Chi colpisce?
La COPPA è applicata dalla FTC. Le regole della COPPA si applicano a qualsiasi operatore di siti Web o fornitore di servizi online che raccolga informazioni su utenti noti per essere di età inferiore ai 13 anni. Le organizzazioni no profit sono esenti dalla COPPA in determinate circostanze. Nel 2014, la FTC ha emesso linee guida secondo cui le app e gli app store richiedono "consenso verificabile dei genitori". Le regole relative ai numeri di carta di credito sono state modificate, affermando che effettuare un acquisto (cioè spendere denaro) non era necessario per convalidare un numero di carta di credito, ma che i numeri di carta di credito da soli non erano una prova del consenso dei genitori e dovevano essere utilizzati in in combinazione con altre misure, come le domande segrete.
– Quali sono i rischi?
Xanga, una piattaforma di blogging e social networking online, ha pagato il più grande accordo, $ 1 milione, nel 2006 per aver violato la privacy online dei bambini senza divulgazione. Xanga non deve essere confuso con Zynga, l'azienda dietro FarmVille e altri giochi cow-clicker. Giochi come Candy Crush e Pet Rescue cadono in un territorio poco chiaro, perché sono ospitati da Facebook e Facebook, almeno in teoria, è limitato agli esseri umani di età superiore ai 13 anni. Molti sostenitori della privacy e gruppi di protezione dei consumatori fanno pressioni per regole più severe in merito a questi app.
La Topps Company, società madre di Ring Pops, si è guadagnata l'ira dei gruppi di privacy per la sua campagna sui social media "#RockThatRock", dicendo che è stata commercializzata per bambini sotto i 13 anni, e molti si sono anche lamentati del fatto che molte delle immagini pubblicate prima erano sessualizzate adolescenti. Al momento della stesura di questo articolo, non sono stati ancora multati.
3. HIPAA
- Che cos'è?
L' Health Insurance Portability and Accountability Act risale al 1996 e il titolo II stabilisce specificamente le regole per la transazione elettronica dell'assistenza sanitaria. In altre parole, qualsiasi informazione sulla tua salute archiviata digitalmente è soggetta a rigide regole sulla privacy. Proprio come hai la riservatezza dell'NDA medico-paziente, anche le tue informazioni sono riservate e possono essere condivise solo con il tuo permesso o con gli ordini di un giudice.
– Chi colpisce?
Qualsiasi entità coperta è soggetta all'HIPAA. Secondo Health and Human Services, questo può essere un fornitore di assistenza sanitaria (medico, dentista, farmacia), un piano sanitario (assicurazione, HMO, Medicare, Medicaid, The VA) o un centro di smistamento sanitario (un ente pubblico o privato che prende le informazioni con il gergo del settore e le rende più leggibili da un profano.)
– Come devono essere protetti i pazienti?
Esistono salvaguardie amministrative, fisiche e tecniche per prevenire le violazioni. Le salvaguardie amministrative sono cose come dare/limitare l'accesso al personale che ha bisogno/non ha bisogno di accedere alle informazioni, assicurarsi che le password vengano cambiate regolarmente e avere politiche scritte specifiche sulla condotta dei dipendenti. Le salvaguardie fisiche si riferiscono all'accesso di persona a dispositivi e luoghi e includono elementi come serrature e allarmi sicuri, guardie di sicurezza e telecamere e sapere come smaltire in sicurezza le vecchie unità. Le garanzie tecniche si riferiscono all'accesso e alla disconnessione da una workstation, al monitoraggio delle attività degli utenti e alla crittografia sicura dei dati.
– Quali sono i rischi?
Se le informazioni vengono violate, l'entità interessata deve informare la persona le cui informazioni sono trapelate tramite e-mail o posta prioritaria. Nel caso di una violazione più ampia, se un evento colpisce più di 500 persone, sono tenuti a informare i "mezzi di comunicazione di spicco" e il Segretario di HHS. È possibile visualizzare un elenco di tutte le violazioni segnalate di informazioni che interessano oltre 500 persone qui. Puoi presentare il tuo reclamo affinché HHS esamini se tu o qualcuno che conosci avete avuto la loro privacy invasa da posta, fax o e-mail.
La violazione dell'HIPAA può comportare pesanti multe o sanzioni penali. Nel 2014, l'HHS ha lasciato cadere il martello sul New York-Presbyterian Hospital e sul Columbia University Medical Center dopo che i dati su 6.800 pazienti erano disponibili per i motori di ricerca pubblici; i due ospedali sono stati colpiti con una multa combinata di $ 4,8 milioni.
4. SOX
- Che cos'è?
Il Sarbanes-Oxley Act del 2002 è stato creato sulla scia del Crash del 2002, al fine di prevenire attività finanziarie nefaste. Qualsiasi società quotata in borsa su una borsa valori è soggetta a SOX. La sezione 404 di SOX richiede alle società di pubblicare informazioni sulla loro struttura di controllo interno e sull'accuratezza dei loro registri finanziari.
Per citare il disegno di legge stesso, la SEC richiede alle società di prevenire o rilevare tempestivamente il "rilevamento di acquisizione, uso o alienazione non autorizzati delle attività dell'emittente che potrebbero avere un effetto materiale sul bilancio".
– Chi colpisce?
Qualsiasi società quotata in borsa su una borsa valori è soggetta a SOX. La sezione 404 di SOX richiede alle società di pubblicare informazioni sulla loro struttura di controllo interno e sull'accuratezza dei loro registri finanziari.
Sarbanes-Oxley non fa distinzione tra beni materiali e immateriali. Ciò significa che le aziende devono dare un valore ai loro piani aziendali futuri, ai prodotti non annunciati che sono ancora in fase di test e a tutto ciò che può essere considerato un segreto commerciale. Le aziende devono anche proteggersi dagli ex dipendenti che portano con sé segreti commerciali e persino dall'essere divulgati da ex dipendenti di concorrenti.
– Quali sono i rischi?
Qualsiasi azienda soggetta a SOX deve anche far controllare le proprie informazioni da una terza parte di fiducia. Si tratta di informazioni sensibili che vengono trasmesse e archiviate e i revisori dei conti e le società devono prestare la massima attenzione per assicurarsi che le loro informazioni siano al sicuro. Non guardare oltre ciò che era nei titoli di ieri per sapere che i documenti di un'azienda sono trapelati e causano non poco imbarazzo, perdita di fiducia da parte degli investitori, perdita di affari e talvolta multe o sanzioni penali. È buona norma richiedere la firma di un NDA, condurre interviste che raccolgano informazioni sulla persona con informazioni e determinare la probabilità che i dati cadano nelle mani sbagliate e mantenere registri rigorosi di chi ha accesso legale alle informazioni e chi no.
5. Legge sulla protezione dei consumatori telefonici/Registro nazionale per non chiamare
- Che cos'è?
Il Telephone Consumer Protection Act del 1991 ha limitato l'uso di chiamate automatiche, dialer automatici e altri metodi di comunicazione. La Federal Communications Commission ha lasciato alle singole società il compito di stabilire i propri elenchi di non chiamare, e quindi è stato un grande fallimento. Non è stato fino al 2003 che il National Do Not Call Registry è stato formalmente istituito dalla Federal Trade Commission come parte del Do-Not-Call Implementation Act del 2003. Molti contact center VoIP usano l'abbreviazione TCPA quando parlano della loro conformità con il Registro nazionale da non chiamare.
Chi colpisce? Secondo la FTC, se un'azienda ha una relazione consolidata con un cliente, può continuare a chiamarlo per un massimo di 18 mesi. Se un consumatore chiama l'azienda, ad esempio, per chiedere informazioni sul prodotto o servizio, l'azienda ha tre mesi per rispondergli. In entrambi i casi appena citati, se il cliente chiede di non ricevere chiamate, l'azienda deve smettere di chiamare, o subire sanzioni.
Sono esenti, salvo specifico reclamo, dal Registro Do Not Call le seguenti tipologie di chiamate:
- Chiamate da un'organizzazione B senza scopo di lucro. Non tutte le organizzazioni no profit sono automaticamente esenti.
- Alcuni tipi di messaggi informativi, ma non promozionali (ad es. la cancellazione di un volo è esente, la vendita di biglietti aerei no).
- Inviti a votare per un candidato politico.
- Richieste di donazioni di beneficenza.
- Chiamate a un'azienda, anche chiamate a freddo per stimolare le vendite.
- Chiamate da esattori, ma gli esattori hanno le loro leggi su chi e quando possono chiamare.
– Quali sono i rischi?
La multa massima per chiamare qualcuno sul DNCR è di $ 16.000. Inserire il telefono nel registro è facile come visitare il sito Web donotcall.gov o chiamare il numero 1-888-382-1222 dal telefono che si desidera nell'elenco. Anche se potresti aver letto alcune e-mail o post sui social media in senso contrario, una volta che un numero è nell'elenco, rimane nell'elenco per sempre a meno che non venga rimosso attivamente. Tutti i telefoni cellulari sono nell'elenco per impostazione predefinita. Al momento della stesura di questo articolo, non esiste un registro "Non inviare messaggi di testo" e i cosiddetti "fax spazzatura" sono soggetti alle proprie normative.
6. Legge sulla privacy e sulla sicurezza dei dati personali
- Che cos'è?
In risposta alla crescente preoccupazione del furto di identità e alla crescita della capacità tecnologica mondiale di archiviare, comunicare e calcolare le informazioni, il Personal Data Privacy and Security Act del 2009 ha aumentato le sanzioni per alcuni tipi di furto di identità e pirateria informatica.
– Chi colpisce?
Impone requisiti per un programma di privacy e sicurezza dei dati personali alle entità aziendali che conservano informazioni personali sensibili in forma elettronica o digitale su 10.000 o più persone statunitensi. Molti provider VoIP hanno oltre 100.000 clienti. Ci sono buone probabilità che il tuo provider VoIP aziendale di scelta abbia questo requisito. Le regole si applicano anche ai data broker interstatali con informazioni su più di 5.000 persone, ma i provider VoIP non sono considerati data broker.
– Quali sono i rischi?
L'autore del reato stesso, che accede intenzionalmente a un computer senza autorizzazione, può essere accusato di racket. Ma, come per l'azienda vittima di questo attacco, nascondere intenzionalmente una violazione della sicurezza di "informazioni personali sensibili" può portare a una multa e/o cinque anni di carcere. Questo copre il nome della vittima, numero di previdenza sociale, indirizzo di casa, impronte digitali/dati biometrici, data di nascita e numeri di conto bancario.
Qualsiasi azienda che subisce una violazione deve informare le persone interessate per posta, telefono o e-mail e il messaggio deve includere informazioni sull'azienda e su come mettersi in contatto con le agenzie di segnalazione del credito (ad esempio, per ottenere aiuto per riparare il proprio credito). Deve inoltre segnalare la violazione alle agenzie di segnalazione dei consumatori. La violazione deve essere segnalata anche ai principali media se più di 5.000 persone colpite si trovano in uno stato.
La società deve inoltre contattare i Servizi Segreti entro quattordici giorni se si verifica una o più delle seguenti condizioni: Il database contiene informazioni su più di un milione di persone; la violazione riguarda più di 10.000 persone; il database è un database del governo federale; la violazione riguarda individui noti per essere dipendenti o appaltatori governativi coinvolti nella sicurezza nazionale o nelle forze dell'ordine. Tali informazioni verranno quindi trasmesse dai servizi segreti all'FBI, all'ufficio postale degli Stati Uniti e ai procuratori generali di ciascuno stato colpito.
Insomma:
Ogni due giorni vengono generate più informazioni di tutta la storia scritta fino al 2003. Gran parte di queste sono informazioni che sarebbe stato impossibile documentare correttamente fino all'ultimo decennio circa e, anche più recentemente, impraticabili da archiviare e non fattibili da spostare . Esistono garanzie come queste leggi in modo che possiamo limitare tali informazioni a persone etiche, che possono fare la cosa giusta per i loro pazienti, clienti o qualunque sia la relazione. Sentiamo sempre parlare di violazioni dei database e ora hai un'idea migliore di cosa accadrà all'azienda che si è lasciata hackerare e cosa avrebbe dovuto fare per prevenirlo. Stai tranquillo sapendo che tu, il consumatore, sei più sicuro grazie a queste regole.