Reguli și reglementări VoIP: Furnizorul dvs. respectă industria dvs.?
Publicat: 2016-04-05Imaginează-ți că te uiți la o emisiune științifico-fantastică în anii 1970. Vedeți medici diagnosticând pacienții manipulând roboți dintr-o lume îndepărtată. Vedeți consumatorii vorbind cu agenții de servicii pentru clienți pe ecrane oferindu-le recomandări personale de cumpărături. Vedeți un raport depus într-un mic bloc, securizat de o amprentă. Vedeți mașini zburătoare cu propulsie nucleară. Ei bine, în afară de ultimul, suntem aproape acolo cu VoIP și tehnologia cloud modernă.
Desene animate și spectacole cu monștri mari și cauciuc au arătat că acele tehnologii sunt folosite numai pentru bine.
Dar, în lumea reală, există riscuri reale și reglementări reale pentru a atenua aceste riscuri. Informații valoroase trec prin acele cabluri și servere în fiecare secundă, iar unele sectoare au reguli speciale, care au evoluat de-a lungul timpului pentru a se adapta la tehnologia avansată. Iată o listă cu unele dintre standardele de reglementare cu care veți dori să vă familiarizați când vine vorba de VoIP și alte rețele de date.
Notă: acoperim doar reglementări referitoare la comunicațiile electronice și stocarea informațiilor digitale sau personale.
1. CPNI
- Ce este?
Informațiile de rețea proprietare ale clientului sunt informații pe care furnizorii de servicii de telecomunicații le adună despre abonații lor. Mai exact, leagă între ele tipul de serviciu pe care abonații îl folosesc, cantitatea pe care o folosește și ce tip. De exemplu, un furnizor de servicii wireless poate urmări cât de des folosiți telefonul și dacă îl utilizați atât pentru rețelele sociale, cât și pentru apeluri. Informațiile ar trebui să fie păstrate private, dar numai dacă clientul renunță. Dacă clientul nu renunță, furnizorul poate transmite acele informații agenților de marketing pentru a vinde alte servicii, atâta timp cât clientul este notificat. Dacă vă părăsiți furnizorul pentru altul, companiei îi este interzis să folosească CPNI pentru a încerca să vă recupereze. Dacă doriți să renunțați la CPNI, puteți să „renunțați CPNI (numele furnizorului dumneavoastră)” pe Google și să urmați instrucțiunile pe care le găsiți.
– Pe cine afectează?
Orice furnizor de telecomunicații este supus restricției CPNI. Însă, câte informații are la dispoziție fiecare furnizor și, prin urmare, riscul de a transmite date (fie legitim, fie în alt mod) depinde de tipul de serviciu oferit. Companiile de cablu, companiile de telefonie și furnizorii de servicii wireless devin din ce în ce mai interschimbabile astăzi, deoarece efectuăm apeluri telefonice de la furnizorul nostru de internet și ne folosim telefoanele pentru a accesa Internetul. Toate aceste informații pot fi disponibile pentru ISP-ul dumneavoastră. În 2007, FCC a extins în mod explicit aplicarea regulilor CPNI ale Comisiei din Legea telecomunicațiilor din 1996 la furnizorii de servicii VoIP interconectate. În mod ciudat, aceleași informații care pot fi transmise companiilor de marketing cu restricții minime necesită un mandat de acces pentru agențiile de aplicare a legii.
– Care sunt riscurile?
În 2015, AT&T a stabilit cu FCC o penalizare record de 25 de milioane de dolari după ce 280.000 de nume și SSN-uri complete sau parțiale au fost accesate fără autorizație. Potrivit FCC, angajații centrelor de apel AT&T din Mexic, Columbia și Filipine au obținut acces la informații în timp ce deblocau în mod legitim telefoanele mobile, dar apoi au transmis acele informații unor terțe părți pentru a debloca telefoanele mobile furate. Acesta a fost de departe cel mai mare acord pentru o acțiune de securitate a datelor. Al doilea ca mărime a fost Verizon Wireless, care a trebuit să plătească 7,4 milioane de dolari în 2014, după ce nu a notificat două milioane dintre clienții săi că le folosește informațiile pentru a desfășura mii de campanii de marketing.
2. COPPA
- Ce este?
Legea privind protecția confidențialității online pentru copii din 1998 interzice marketingul înșelător către copii sau colectarea de informații personale fără a le dezvălui părinților lor. Hotărârea a intrat în vigoare în 2000 și a fost modificată în 2011 pentru a cere ca datele colectate să fie șterse după o perioadă de timp și că, dacă orice informație urmează să fie transmisă unei terțe părți, tutorele copilului trebuie să fie ușor protejați acele informații. Informațiile personale, în acest caz pot fi numele copilului, adresa fizică sau IP, un nume de utilizator/nume de ecran, numărul de securitate socială și fotografii. Companiile nu au voie să solicite copiilor să trimită aceste informații.
– Pe cine afectează?
COPPA este aplicat de FTC. Regulile COPPA se aplică oricărui operator de site-uri web sau furnizor de servicii online care colectează informații despre utilizatori despre care se știe că au sub 13 ani. Organizațiile non-profit sunt scutite de COPPA în anumite circumstanțe. În 2014, FTC a emis linii directoare conform cărora aplicațiile și magazinele de aplicații necesită „consimțământ verificabil al părinților”. Au fost modificate regulile privind numerele cardului de credit, precizând că efectuarea unei achiziții (adică cheltuirea banilor) nu era necesară pentru validarea unui număr de card de credit, ci că numai numerele cardului de credit nu constituiau dovada consimțământului părinților și trebuiau utilizate în împreună cu alte măsuri, cum ar fi întrebări secrete.
– Care sunt riscurile?
Xanga, o platformă online de blogging și rețele sociale, a plătit cea mai mare decontare, 1 milion de dolari, în 2006 pentru încălcarea confidențialității online a copiilor fără dezvăluire. Xanga nu trebuie confundat cu Zynga, compania din spatele FarmVille și a altor jocuri de tip cow-clicker. Jocuri precum Candy Crush și Pet Rescue cad pe un teritoriu neclar, deoarece sunt găzduite de Facebook, iar Facebook este, cel puțin teoretic, limitat la oameni cu vârsta de peste 13 ani. Mulți susținători ai confidențialității și grupuri de protecție a consumatorilor fac lobby pentru reguli mai stricte cu privire la acestea. aplicații.
Compania Topps, compania-mamă a Ring Pops, a suscitat furia grupurilor de confidențialitate pentru campania sa pe rețelele sociale „#RockThatRock”, spunând că a fost comercializată copiilor sub 13 ani și mulți s-au plâns, de asemenea, că multe dintre fotografiile postate sexualizate pre- adolescenți. În momentul în care am scris acest articol, ei nu au fost încă amendați.
3. HIPAA
- Ce este?
Actul privind portabilitatea și responsabilitatea asigurărilor de sănătate datează din 1996, iar Titlul II stabilește în mod specific regulile pentru tranzacțiile electronice de asistență medicală. Cu alte cuvinte, orice informație despre sănătatea dumneavoastră care este stocată digital este supusă unor reguli stricte de confidențialitate. Așa cum aveți confidențialitate NDA medic-pacient, informațiile dvs. sunt, de asemenea, confidențiale și pot fi partajate numai cu permisiunea dvs. sau cu ordinul unui judecător.
– Pe cine afectează?
Orice entitate acoperită este supusă HIPAA. Potrivit Health and Human Services, acesta poate fi un furnizor de asistență medicală (medic, dentist, farmacie), un plan de sănătate (asigurare, HMO, Medicare, Medicaid, The VA) sau o casă de compensare a asistenței medicale (o entitate publică sau privată care preia informațiile cu jargonul industriei și le face mai lizibile de către un neprofesionist.)
– Cum trebuie protejați pacienții?
Există garanții administrative, fizice și tehnice pentru a preveni încălcările. Măsurile de protecție administrative sunt lucruri precum acordarea/restricționarea accesului persoanelor care au nevoie/nu au nevoie de acces la informații, asigurarea faptului că parolele sunt schimbate în mod regulat și stabilirea unor politici scrise specifice privind comportamentul angajaților. Măsurile de protecție fizică se referă la accesul personal la dispozitive și locații și includ lucruri precum încuietori și alarme securizate, agenți de securitate și camere și știi cum să arunci în siguranță unitățile vechi. Măsurile de protecție tehnice se referă la conectarea și deconectarea de la o stație de lucru, urmărirea activității utilizatorului și criptarea securizată a datelor.
– Care sunt riscurile?
Dacă informațiile sunt încălcate, entitatea afectată trebuie să notifice persoana ale cărei informații au fost scurse prin e-mail sau e-mail de primă clasă. În cazul unei încălcări mai mari, dacă vreun eveniment afectează mai mult de 500 de persoane, aceștia sunt obligați să notifice „presiunile importante” și secretarul HHS. Puteți vizualiza o listă cu toate încălcările raportate ale informațiilor care afectează peste 500 de persoane aici. Vă puteți depune propria plângere pentru ca HHS să verifice dacă dvs. sau cineva pe care îl cunoașteți a fost invadată de confidențialitatea lor prin poștă, fax sau e-mail.
Încălcarea HIPAA poate duce la amenzi grele sau pedepse penale. În 2014, HHS a aruncat ciocanul asupra New York-Presbyterian Hospital și Columbia University Medical Center, după ce datele despre 6.800 de pacienți au fost disponibile pentru motoarele de căutare publice; cele două spitale au fost lovite de o amendă combinată de 4,8 milioane de dolari.
4. SOX
- Ce este?
Legea Sarbanes-Oxley din 2002 a fost creată în urma accidentului din 2002, pentru a preveni activitatea financiară nefastă. Orice companie care este tranzacționată public pe o bursă de valori este supusă SOX. Secțiunea 404 din SOX cere companiilor să publice informații cu privire la structura lor de control intern și cât de exacte sunt înregistrările lor financiare.
Pentru a cita proiectul de lege în sine, SEC cere companiilor să prevină sau să detecteze în timp util „detectarea achiziției, utilizării sau dispoziției neautorizate a activelor emitentului care ar putea avea un efect semnificativ asupra situației financiare”.
– Pe cine afectează?
Orice companie care este tranzacționată public pe o bursă de valori este supusă SOX. Secțiunea 404 din SOX cere companiilor să publice informații cu privire la structura lor de control intern și cât de exacte sunt înregistrările lor financiare.
Sarbanes-Oxley nu face o distincție între activele corporale și necorporale. Asta înseamnă că companiile trebuie să pună preț pe planurile lor de afaceri viitoare, pe produsele neanunțate care sunt încă în faza de testare și pe orice poate fi considerat un secret comercial. Companiile trebuie, de asemenea, să se protejeze împotriva foștilor angajați care iau secrete comerciale cu ei și chiar împotriva acordării de secrete comerciale de către foștii angajați ai concurenților.
– Care sunt riscurile?
Orice companie care face obiectul SOX trebuie, de asemenea, să aibă informațiile auditate de o terță parte de încredere. Acestea sunt informații sensibile care sunt transmise și stocate, iar auditorii și companiile trebuie să aibă cea mai mare grijă pentru a se asigura că informațiile lor sunt în siguranță. Nu căutați mai departe decât orice a fost în titlurile de ieri pentru a afla despre scurgerile de documente ale unei companii și care au cauzat o jenă nu mică, pierderea încrederii investitorilor, pierderea afacerii și, uneori, amenzi sau sancțiuni penale. Este cea mai bună practică de a solicita semnarea unui NDA, de a desfășura interviuri care colectează informații despre persoana care deține informații și de a determina probabilitatea ca datele să cadă în mâini greșite și de a menține înregistrări stricte despre cine are acces legal la informații și cine nu.
5. Telephone Consumer Protection Act / National Do Not Call Registry
- Ce este?
Legea privind protecția consumatorilor telefonici din 1991 a limitat utilizarea apelurilor automate, a apelurilor automate și a altor metode de comunicare. Comisia Federală de Comunicații a lăsat la latitudinea companiilor individuale să-și stabilească propriile liste de interzicere a apelurilor, așa că a fost un mare eșec. Abia în 2003, National Do Not Call Registry a fost înființat oficial de către Comisia Federală pentru Comerț, ca parte a Legii de implementare a Do-Not-Call din 2003. Multe centre de contact VoIP folosesc abrevierea TCPA atunci când vorbesc despre conformitatea lor cu Registrul național de interzicere a apelurilor.
Pe cine afectează? Potrivit FTC, dacă o afacere are o relație stabilită cu un client, poate continua să-i sune până la 18 luni. Dacă un consumator sună compania, să zicem, pentru a cere informații despre produs sau serviciu, compania are trei luni să-i răspundă. În ambele cazuri pe care tocmai le-am menționat, dacă clientul cere să nu primească apeluri, compania trebuie să nu mai apeleze sau să fie supusă amenzilor.
Următoarele tipuri de apeluri sunt scutite, cu excepția unei plângeri specifice, de la Registrul Nu apelați:
- Apeluri de la o organizație B non-profit. Nu toate organizațiile non-profit sunt scutite automat.
- Anumite tipuri de mesaje informative, dar nu și mesaje promoționale (de exemplu, o anulare a unui zbor este scutită, o vânzare a biletelor de avion nu).
- Apeluri la vot pentru un candidat politic.
- Solicitări pentru donații caritabile.
- Apeluri către o afacere, chiar și apeluri la rece pentru a obține vânzări.
- Apeluri de la recuperatorii de datorii, dar recuperatorii de datorii au propriile legi cu privire la cine și când pot apela.
– Care sunt riscurile?
Amenda maximă pentru a suna pe cineva pe DNCR este de 16.000 USD. Introducerea telefonului în registru este la fel de ușor ca să accesați site-ul web donotcall.gov sau să sunați la 1-888-382-1222 de la telefonul pe care îl doriți pe listă. Deși este posibil să fi citit un e-mail sau o postare de pe rețelele sociale care spune contrariul, odată ce un număr este pe listă, acesta rămâne pe listă pentru totdeauna dacă nu este eliminat în mod activ. Toate telefoanele mobile sunt în mod implicit pe listă. În momentul scrierii acestui articol, nu există un registru „Nu trimiteți text”, iar așa-numitele „faxuri nedorite” sunt supuse propriilor reglementări.
6. Legea privind confidențialitatea și securitatea datelor cu caracter personal
- Ce este?
Ca răspuns la îngrijorarea tot mai mare cu privire la furtul de identitate și la creșterea capacității tehnologice a lumii de a stoca, comunica și calcula informații, Legea privind confidențialitatea și securitatea datelor cu caracter personal din 2009 a crescut sancțiunile pentru anumite tipuri de furt de identitate și hacking computer.
– Pe cine afectează?
Impune cerințe pentru un program de confidențialitate și securitate a datelor cu caracter personal pentru entitățile comerciale care păstrează informații sensibile de identificare personală în formă electronică sau digitală asupra a 10.000 sau mai multe persoane din SUA. Mulți furnizori VoIP au peste 100.000 de clienți. Există șanse mari ca furnizorul dvs. de VoIP de afaceri ales să aibă această cerință. Regulile se aplică și brokerilor de date interstatali cu informații despre mai mult de 5.000 de persoane, dar furnizorii de VoIP nu sunt considerați brokeri de date.
– Care sunt riscurile?
Însuși autorul infracțiunii, care accesează intenționat un computer fără autorizație, poate fi acuzat de fraudă. Dar, în ceea ce privește compania care este victima acestui atac, ascunderea intenționată a unei încălcări de securitate a „informațiilor sensibile de identificare personală” poate duce la o amendă și/sau cinci ani de închisoare. Acesta acoperă numele victimei, numărul de securitate socială, adresa de domiciliu, datele de amprentă/biometrice, data nașterii și numerele de cont bancar.
Orice companie care este încălcată trebuie să notifice persoanele afectate prin poștă, telefon sau e-mail, iar mesajul trebuie să includă informații despre companie și despre cum să ia legătura cu agențiile de raportare a creditelor (adică, pentru a obține ajutor pentru a-și repara creditul). De asemenea, trebuie să raporteze încălcarea agențiilor de raportare a consumatorilor. Încălcarea trebuie, de asemenea, raportată la principalele instituții media dacă mai mult de 5.000 de persoane afectate se află într-un singur stat.
De asemenea, compania trebuie să contacteze Serviciul Secret în termen de paisprezece zile dacă se întâmplă una sau mai multe dintre următoarele: baza de date conține informații despre mai mult de un milion de persoane; încălcarea afectează mai mult de 10.000 de persoane; baza de date este o bază de date a guvernului federal; încălcarea afectează persoane despre care se știe că sunt angajați guvernamentali sau contractori implicați în securitatea națională sau în aplicarea legii. Aceste informații vor fi apoi transmise de la Serviciul Secret către FBI, Oficiul Poștal al Statelor Unite și procurorilor generali ai fiecărui stat afectat.
In concluzie:
La fiecare două zile, sunt generate mai multe informații decât toată istoria scrisă până în 2003. O mare parte din acestea sunt informații care ar fi fost imposibil de documentat în mod corespunzător până în ultimul deceniu sau cam așa, și până chiar mai recent, imposibil de stocat și imposibil de mutat. . Există garanții precum aceste legi, astfel încât să putem restricționa informațiile la oameni etici, care pot face ceea ce trebuie pentru pacienții, clienții lor sau orice ar fi relația. Întotdeauna auzim despre încălcarea bazelor de date, iar acum aveți o idee mai bună despre ce se va întâmpla cu compania care a permis să fie piratată și ce ar fi trebuit să facă pentru a preveni acest lucru. Stai linistit stiind ca tu, consumatorul, esti mai in siguranta datorita acestor reguli.