Zasady i przepisy VoIP: czy Twój dostawca jest zgodny z Twoją branżą?

Wyobraź sobie, że oglądasz program science fiction w latach 70. Widzisz lekarzy diagnozujących pacjentów, manipulując robotami z odległego świata. Widzisz konsumentów rozmawiających z agentami obsługi klienta na ekranach, przekazując im osobiste rekomendacje dotyczące zakupów. Widzisz raport złożony w małym bloku, zabezpieczony odciskiem palca. Widzisz latające samochody napędzane energią jądrową. Cóż, poza tym ostatnim, jesteśmy prawie tam z VoIP i nowoczesną technologią chmury.

Kreskówki i programy z dużymi, gumowatymi potworami pokazywały, że te technologie są używane tylko w dobrym celu.

Ale w prawdziwym świecie istnieją realne zagrożenia i realne regulacje mające na celu złagodzenie tych zagrożeń. Cenne informacje przechodzą przez te kable i serwery w każdej sekundzie, a niektóre sektory mają specjalne zasady, które ewoluowały z biegiem czasu, aby dostosować się do zaawansowanej technologii. Oto lista niektórych norm regulujących, z którymi warto się zapoznać, jeśli chodzi o VoIP i inne sieci danych.

Uwaga: Zajmujemy się tylko przepisami dotyczącymi komunikacji elektronicznej oraz przechowywania danych cyfrowych lub osobistych.

1. CPNI

- Co to jest?
Zastrzeżone informacje o sieci klienta to informacje, które dostawcy usług telekomunikacyjnych gromadzą o swoich abonentach. W szczególności łączy on rodzaj usługi, z której korzystają abonenci, ilość i rodzaj usługi. Na przykład dostawca usług bezprzewodowych może śledzić, jak często korzystasz z telefonu i czy używasz go zarówno do sieci społecznościowych, jak i do wykonywania połączeń. Informacje mają być poufne, ale tylko wtedy, gdy klient zrezygnuje. Jeśli klient nie zrezygnuje, dostawca może przekazać te informacje marketerom w celu sprzedaży innych usług, o ile klient zostanie o tym powiadomiony. Jeśli zostawisz swojego dostawcę dla innego, firma nie może korzystać z CPNI w celu odzyskania Cię. Jeśli chcesz zrezygnować z CPNI, możesz skorzystać z Google „CPNI zrezygnować (nazwa dostawcy)” i postępować zgodnie z instrukcjami, które znajdziesz.

– Kogo to dotyczy?
Każdy dostawca usług telekomunikacyjnych podlega ograniczeniom CPNI. Jednak to, ile informacji ma do dyspozycji każdy dostawca, a zatem ryzyko przekazania danych (zgodnie z prawem lub w inny sposób) zależy od rodzaju świadczonej usługi. Firmy kablowe, firmy telekomunikacyjne i dostawcy usług bezprzewodowych stają się coraz bardziej wymienni, ponieważ wykonujemy połączenia telefoniczne od naszego dostawcy Internetu i używamy naszych telefonów, aby uzyskać dostęp do Internetu. Wszystkie te informacje mogą być dostępne dla Twojego dostawcy usług internetowych. W 2007 r. FCC wyraźnie rozszerzyła stosowanie przepisów Komisji CPNI z ustawy o telekomunikacji z 1996 r. na dostawców połączonych usług VoIP. Co dziwne, te same informacje, które można przekazać firmom marketingowym przy minimalnych ograniczeniach, wymagają nakazu dostępu dla organów ścigania.

– Jakie są zagrożenia?
W 2015 roku AT&T uregulowało z FCC rekordową karę w wysokości 25 milionów dolarów po tym, jak uzyskano dostęp do 280 000 nazwisk i pełnych lub częściowych numerów SSN bez autoryzacji. Według FCC pracownicy centrów telefonicznych AT&T w Meksyku, Kolumbii i na Filipinach uzyskali dostęp do informacji, jednocześnie legalnie odblokowując telefony komórkowe, ale następnie przekazując te informacje stronom trzecim w celu odblokowania skradzionych telefonów komórkowych. Było to jak dotąd największe rozliczenie za działania związane z bezpieczeństwem danych. Drugim co do wielkości był Verizon Wireless, który musiał zapłacić 7,4 miliona dolarów w 2014 roku po tym, jak nie powiadomił dwóch milionów swoich klientów, że wykorzystuje ich informacje do prowadzenia tysięcy kampanii marketingowych.

2. COPPA

- Co to jest?
Ustawa o ochronie prywatności dzieci w Internecie z 1998 r. zabrania oszukańczego marketingu wobec dzieci lub zbierania danych osobowych bez ujawniania ich rodzicom. Orzeczenie weszło w życie w 2000 r. i zostało zmienione w 2011 r., wprowadzając wymóg, aby zebrane dane były usuwane po pewnym czasie, a jeśli jakakolwiek informacja ma zostać przekazana osobie trzeciej, opiekun dziecka musi mieć łatwy dostęp do chronić te informacje. Dane osobowe, w tym przypadku mogą obejmować imię i nazwisko dziecka, adres fizyczny lub adres IP, nazwę użytkownika/nazwę ekranową, numer ubezpieczenia społecznego i zdjęcia. Firmom nie wolno nakłaniać dzieci do przesyłania takich informacji.

– Kogo to dotyczy?
COPPA jest egzekwowana przez FTC. Zasady COPPA mają zastosowanie do każdego operatora strony internetowej lub dostawcy usług internetowych, który gromadzi informacje o użytkownikach, o których wiadomo, że są w wieku poniżej 13 lat. Organizacje non-profit są zwolnione z COPPA w pewnych okolicznościach. W 2014 roku FTC wydała wytyczne, zgodnie z którymi aplikacje i sklepy z aplikacjami wymagają „weryfikowalnej zgody rodziców”. Zmodyfikowano zasady dotyczące numerów kart kredytowych, stwierdzając, że dokonanie zakupu (tj. wydawanie pieniędzy) nie jest konieczne do zweryfikowania numeru karty kredytowej, ale same numery kart kredytowych nie są dowodem zgody rodziców i muszą być używane w w połączeniu z innymi środkami, takimi jak tajne pytania.

– Jakie są zagrożenia?
Xanga, internetowa platforma blogowa i społecznościowa, zapłaciła w 2006 roku największą ugodę, milion dolarów, za naruszenie prywatności dzieci w Internecie bez ujawnienia. Xanga nie należy mylić z Zynga, firmą stojącą za FarmVille i innymi grami typu cow-clicker. Gry takie jak Candy Crush i Pet Rescue wpadają na niejasne terytorium, ponieważ są hostowane przez Facebooka, a Facebook jest przynajmniej teoretycznie ograniczony do osób w wieku powyżej 13 lat. Wielu zwolenników prywatności i grup ochrony konsumentów lobbuje za bardziej rygorystycznymi przepisami dotyczącymi tych gier. aplikacje.

The Topps Company, firma macierzysta Ring Pops, zdobyła gniew grup zajmujących się prywatnością za swoją kampanię w mediach społecznościowych „#RockThatRock”, twierdząc, że była skierowana do dzieci poniżej 13 roku życia, a wiele osób skarżyło się również, że wiele zdjęć zamieszczonych przed wiek dojrzewania. W chwili pisania tego tekstu nie zostali jeszcze ukarani grzywną.

3. HIPAA

- Co to jest?
Ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych pochodzi z 1996 r., a Tytuł II szczegółowo określa zasady transakcji elektronicznej opieki zdrowotnej. Innymi słowy, wszelkie informacje o Twoim zdrowiu, które są przechowywane w formie cyfrowej, podlegają surowym zasadom ochrony prywatności. Tak jak masz poufność NDA od lekarza do pacjenta, twoje informacje są również poufne i mogą być udostępniane tylko za twoją zgodą lub na podstawie nakazu sędziego.

– Kogo to dotyczy?
Każdy podmiot objęty ubezpieczeniem podlega przepisom HIPAA. Według Health and Human Services może to być świadczeniodawca opieki zdrowotnej (lekarz, dentysta, apteka), plan zdrowotny (ubezpieczenie, HMO, Medicare, Medicaid, The VA) lub ośrodek informacyjny opieki zdrowotnej (podmiot publiczny lub prywatny, który przyjmuje informacje w branżowym żargonie i sprawia, że ​​są bardziej czytelne dla laika.)

– Jak należy chronić pacjentów?
Istnieją zabezpieczenia administracyjne, fizyczne i techniczne zapobiegające naruszeniom. Zabezpieczenia administracyjne to takie rzeczy, jak udzielanie/ograniczanie dostępu tym pracownikom, którzy potrzebują/nie potrzebują dostępu do informacji, upewnianie się, że hasła są regularnie zmieniane oraz posiadanie określonych pisemnych zasad dotyczących postępowania pracowników. Fizyczne zabezpieczenia odnoszą się do osobistego dostępu do urządzeń i lokalizacji i obejmują takie rzeczy, jak bezpieczne zamki i alarmy, ochroniarze i kamery oraz wiedza, jak bezpiecznie pozbyć się starych dysków. Zabezpieczenia techniczne odnoszą się do logowania i wylogowywania się ze stacji roboczej, śledzenia aktywności użytkownika i bezpiecznego szyfrowania danych.

– Jakie są zagrożenia?
W przypadku naruszenia informacji podmiot, którego dane dotyczą, musi powiadomić osobę, której dane wyciekły, za pośrednictwem poczty elektronicznej lub poczty pierwszej klasy. W przypadku większego naruszenia, jeśli jakiekolwiek zdarzenie dotyczy więcej niż 500 osób, są one zobowiązane do powiadomienia „wybitnych mediów” i Sekretarza HHS. Listę wszystkich zgłoszonych naruszeń informacji dotyczących ponad 500 osób możesz zobaczyć tutaj. Możesz złożyć własną skargę do HHS do rozpatrzenia, jeśli Twoja prywatność została naruszona przez Ciebie lub kogoś, kogo znasz, pocztą, faksem lub pocztą elektroniczną.

Naruszenie HIPAA może prowadzić do wysokich grzywien lub kar kryminalnych. W 2014 r. HHS zrzucił młot na New York-Presbyterian Hospital i Columbia University Medical Center po tym, jak dane dotyczące 6800 pacjentów zostały udostępnione w publicznych wyszukiwarkach; oba szpitale zostały ukarane łączną grzywną w wysokości 4,8 miliona dolarów.

4. SOX

- Co to jest?
Ustawa Sarbanes-Oxley z 2002 r. została stworzona w następstwie krachu 2002 r., aby zapobiec nikczemnej działalności finansowej. Każda firma, która jest notowana na giełdzie, podlega SOX. Sekcja 404 SOX wymaga od firm publikowania informacji dotyczących ich wewnętrznej struktury kontroli i dokładności ich dokumentacji finansowej.

Cytując sam projekt ustawy, SEC wymaga, aby firmy zapobiegały lub wykrywały w odpowiednim czasie „wykrycie nieuprawnionego nabycia, wykorzystania lub zbycia aktywów emitenta, które mogłoby mieć istotny wpływ na sprawozdanie finansowe”.

– Kogo to dotyczy?
Każda firma, która jest notowana na giełdzie, podlega SOX. Sekcja 404 SOX wymaga od firm publikowania informacji dotyczących ich wewnętrznej struktury kontroli i dokładności ich dokumentacji finansowej.

Sarbanes-Oxley nie rozróżnia aktywów materialnych i niematerialnych. Oznacza to, że firmy muszą docenić swoje przyszłe plany biznesowe, niezapowiedziane produkty, które wciąż znajdują się w fazie testów, oraz wszystko, co można uznać za tajemnicę handlową. Firmy muszą również chronić się przed zabraniem ze sobą przez byłych pracowników tajemnic handlowych, a nawet przed przekazaniem ich przez byłych pracowników konkurencji.

– Jakie są zagrożenia?
Każda firma podlegająca SOX musi również poddać swoje informacje audytowi zaufanej stronie trzeciej. Są to poufne informacje, które są przesyłane i przechowywane, a audytorzy i firmy muszą dołożyć wszelkich starań, aby upewnić się, że ich informacje są bezpieczne. Nie szukaj dalej niż to, co było we wczorajszych nagłówkach, aby dowiedzieć się, że dokumenty firmy wyciekają i powodują niemałe zakłopotanie, utratę zaufania inwestorów, utratę interesów, a czasami grzywny lub kary. Najlepszą praktyką jest wymaganie podpisania umowy NDA, przeprowadzanie wywiadów, które zbierają informacje o osobie posiadającej informacje i określają prawdopodobieństwo, że dane dostaną się w niepowołane ręce, a także utrzymywanie ścisłej ewidencji, kto ma legalny dostęp do informacji, a kto nie.

5. Telefoniczna ustawa o ochronie konsumentów / Krajowy rejestr połączeń telefonicznych

- Co to jest?
Ustawa o ochronie konsumentów telefonicznych z 1991 r. ograniczyła korzystanie z automatycznych połączeń telefonicznych, automatycznych dialerów i innych metod komunikacji. Federalna Komisja Łączności pozostawiła poszczególnym firmom tworzenie własnych list „Nie dzwoń”, więc była to wielka porażka. Dopiero w 2003 r. Krajowy Rejestr Do Not Call został formalnie utworzony przez Federalną Komisję Handlu jako część Ustawy o wdrożeniu Do-Not-Call z 2003 r. Wiele centrów kontaktowych VoIP używa skrótu TCPA, gdy mówi o ich zgodności z Krajowy Rejestr Nie Dzwonić.

Kogo to dotyczy? Według FTC, jeśli firma ma ugruntowaną relację z klientem, może dzwonić do niego przez okres do 18 miesięcy. Jeśli konsument dzwoni do firmy, powiedzmy, prosząc o informacje o produkcie lub usłudze, firma ma trzy miesiące na oddzwonienie. W obu przypadkach, o których właśnie wspomniałem, jeśli klient prosi o nieodbieranie połączeń, firma musi przestać dzwonić lub zostać ukarana grzywną.

Następujące rodzaje połączeń są zwolnione, z wyjątkiem konkretnej skargi, z rejestru Do Not Call:

• Połączenia od organizacji non-profit typu B. Nie wszystkie organizacje non-profit są automatycznie zwolnione.
• Niektóre rodzaje komunikatów informacyjnych, ale nie promocyjnych (np. odwołanie lotu jest zwolnione, sprzedaż biletów lotniczych nie).
• Wezwania do głosowania na kandydata politycznego.
• Ubieganie się o darowizny na cele charytatywne.
• Telefony do firmy, nawet zimne telefony w celu uzyskania sprzedaży.
• Telefony od windykatorów, ale windykatorzy mają swoje własne prawa dotyczące tego, do kogo i kiedy mogą dzwonić.

– Jakie są zagrożenia?
Maksymalna grzywna za zadzwonienie do kogoś z DNCR wynosi 16 000 $. Umieszczenie telefonu w rejestrze jest tak proste, jak odwiedzenie strony internetowej donotcall.gov lub zadzwonienie pod numer 1-888-382-1222 z telefonu, który chcesz umieścić na liście. Chociaż być może przeczytałeś niektóre e-maile lub posty w mediach społecznościowych, ale gdy numer znajdzie się na liście, pozostaje na liście na zawsze, chyba że zostanie aktywnie usunięty. Wszystkie telefony komórkowe są domyślnie na liście. W chwili pisania tego tekstu nie ma czegoś takiego jak rejestr „Nie wysyłaj tekstów”, a tak zwane „śmieciowe faksy” podlegają własnym regulacjom.

6. Ustawa o prywatności i bezpieczeństwie danych osobowych

- Co to jest?
W odpowiedzi na rosnące obawy związane z kradzieżą tożsamości i wzrostem światowych możliwości technologicznych w zakresie przechowywania, komunikowania się i przetwarzania informacji, ustawa o prywatności i bezpieczeństwie danych osobowych z 2009 r. zaostrzyła kary za niektóre rodzaje kradzieży tożsamości i włamań do komputerów.

– Kogo to dotyczy?
Nakłada wymagania dotyczące programu ochrony prywatności i bezpieczeństwa danych osobowych na podmioty gospodarcze, które przechowują wrażliwe informacje umożliwiające identyfikację osób w formie elektronicznej lub cyfrowej dotyczące 10 000 lub więcej osób w USA. Wielu dostawców VoIP ma ponad 100 000 klientów. Istnieje duża szansa, że ​​wybrany przez Ciebie dostawca usług VoIP spełnia to wymaganie. Zasady dotyczą również międzystanowych brokerów danych z informacjami o ponad 5000 osób, ale dostawcy VoIP nie są uważani za brokerów danych.

– Jakie są zagrożenia?
Sam sprawca przestępstwa, który celowo uzyskuje dostęp do komputera bez upoważnienia, może zostać oskarżony o ściąganie haraczy. Jednak w przypadku firmy, która padła ofiarą tego ataku, celowe ukrywanie naruszenia bezpieczeństwa „poufnych informacji umożliwiających identyfikację osoby” może skutkować karą grzywny i/lub pięciu lat więzienia. Obejmuje to imię i nazwisko ofiary, numer ubezpieczenia społecznego, adres domowy, odciski palców/dane biometryczne, datę urodzenia i numery kont bankowych.

Każda firma, która została naruszona, musi powiadomić osoby, których to dotyczy, pocztą, telefonem lub e-mailem, a wiadomość musi zawierać informacje o firmie i sposobie skontaktowania się z agencjami informacji kredytowej (tj. w celu uzyskania pomocy w ustaleniu kredytu). Musi również zgłosić naruszenie do agencji raportowania konsumenckiego. Naruszenie należy również zgłosić głównym mediom, jeśli w jednym stanie znajduje się ponad 5000 dotkniętych nim osób.

Firma musi również skontaktować się z Secret Service w ciągu czternastu dni, jeśli wystąpi jedna lub więcej z następujących sytuacji: Baza danych zawiera informacje o ponad milionie osób; naruszenie dotyczy ponad 10 000 osób; baza danych jest bazą danych rządu federalnego; naruszenie dotyczy osób, o których wiadomo, że są pracownikami rządowymi lub wykonawcami zaangażowanymi w bezpieczeństwo narodowe lub egzekwowanie prawa. Informacje te zostaną następnie przekazane z Secret Service do FBI, Urzędu Pocztowego Stanów Zjednoczonych i prokuratorów generalnych każdego dotkniętego stanu.

Podsumowując:

Co dwa dni generowanych jest więcej informacji niż cała spisana historia do 2003 roku. Wiele z nich to informacje, których prawidłowe udokumentowanie do ostatniej dekady byłoby niemożliwe, a do niedawna niepraktyczne do przechowywania i niemożliwe do przeniesienia . Zabezpieczenia takie jak te prawa istnieją po to, abyśmy mogli ograniczyć te informacje do etycznych ludzi, którzy mogą postępować właściwie dla swoich pacjentów, klientów lub jakiejkolwiek relacji. Zawsze słyszymy o włamaniu do baz danych, a teraz masz lepsze pojęcie o tym, co stanie się z firmą, która pozwoliła się włamać, i co powinna była zrobić, aby temu zapobiec. Śpij spokojnie, wiedząc, że Ty, konsument, jesteś bezpieczniejszy dzięki tym zasadom.