Правила и положения VoIP: соответствует ли ваш провайдер вашей отрасли?

Представьте, что вы смотрите научно-фантастическое шоу 1970-х годов. Вы видите, как врачи диагностируют пациентов, манипулируя роботами из другого мира. Вы видите, как потребители разговаривают с агентами по обслуживанию клиентов на экранах, давая им личные рекомендации по покупкам. Вы видите отчет в блокноте, защищенный отпечатком пальца. Вы видите летающие автомобили с ядерными двигателями. Что ж, если не считать последнего, у нас есть VoIP и современные облачные технологии.

Мультфильмы и шоу с большими резиновыми монстрами показывали, что эти технологии используются только во благо.

Но в реальном мире существуют реальные риски и реальное регулирование для снижения этих рисков. Ценная информация проходит через эти кабели и серверы каждую секунду, а в некоторых секторах действуют особые правила, которые со временем эволюционировали, чтобы адаптироваться к передовым технологиям. Вот список некоторых регулирующих стандартов, с которыми вам следует ознакомиться, когда речь идет о вашей VoIP и других сетях передачи данных.

Примечание. Мы охватываем только правила, относящиеся к электронной связи и хранению цифровой или личной информации.

1. КПНИ

- Что это?
Собственная сетевая информация клиента — это информация, которую поставщики телекоммуникационных услуг собирают о своих абонентах. В частности, он связывает воедино тип услуги, которую используют подписчики, объем ее использования и тип. Например, поставщик услуг беспроводной связи может отслеживать, как часто вы пользуетесь своим телефоном и используете ли вы его как для общения в социальных сетях, так и для звонков. Информация должна храниться в тайне, но только в том случае, если клиент откажется. Если клиент не отказывается, поставщик может передать эту информацию маркетологам для продажи других услуг, если клиент будет уведомлен. Если вы уйдете от своего провайдера к другому, компании запрещено использовать CPNI, чтобы попытаться вас вернуть. Если вы хотите отказаться от CPNI, вы можете ввести в Google «CPNI opt out (имя вашего провайдера)» и следовать инструкциям, которые вы найдете.

- Кого это касается?
Любой поставщик телекоммуникационных услуг подлежит ограничению CPNI. Но то, сколько информации имеет в своем распоряжении каждый провайдер, и, следовательно, риск передачи данных (на законных основаниях или нет) зависит от типа предоставляемой услуги. Кабельные компании, телефонные компании и провайдеры беспроводной связи сегодня становятся все более взаимозаменяемыми, потому что мы делаем телефонные звонки от нашего интернет-провайдера и используем наши телефоны для доступа в Интернет. Вся эта информация может быть доступна вашему интернет-провайдеру. В 2007 году FCC прямо распространила применение правил Комиссии CPNI Закона о телекоммуникациях 1996 года на поставщиков взаимосвязанных услуг VoIP. Как ни странно, та же информация, которая может быть передана маркетинговым компаниям с минимальными ограничениями, требует наличия ордера на доступ правоохранительных органов.

– Каковы риски?
В 2015 году AT&T договорилась с FCC о рекордном штрафе в размере 25 миллионов долларов после того, как 280 000 имен и полных или частичных номеров SSN были доступны без разрешения. По данным FCC, сотрудники колл-центров AT&T в Мексике, Колумбии и на Филиппинах получили доступ к информации, законно разблокируя сотовые телефоны, но затем передав эту информацию третьим лицам для разблокировки украденных сотовых телефонов. На сегодняшний день это было крупнейшее урегулирование в связи с действиями по обеспечению безопасности данных. Второй по величине была Verizon Wireless, которой пришлось заплатить 7,4 миллиона долларов в 2014 году после того, как она не уведомила два миллиона своих клиентов о том, что использует их информацию для проведения тысяч маркетинговых кампаний.

2. КОППА

- Что это?
Закон о защите конфиденциальности детей в Интернете от 1998 г. запрещает мошеннический маркетинг для детей или сбор личной информации без раскрытия их родителям. Постановление вступило в силу в 2000 году, а в 2011 году в него были внесены поправки, требующие, чтобы собранные данные удалялись по истечении определенного периода времени, а если какая-либо информация должна быть передана третьей стороне, то опекун ребенка должен легко защитить эту информацию. Личная информация, в этом случае может быть имя ребенка, физический или IP-адрес, имя пользователя/экранное имя, номер социального страхования и фотографии. Компаниям не разрешается предлагать детям предоставлять такую ​​информацию.

- Кого это касается?
COPPA обеспечивается FTC. Правила COPPA применяются к любому оператору веб-сайта или поставщику онлайн-услуг, который собирает информацию о пользователях, о которых известно, что им не исполнилось 13 лет. Некоммерческие организации освобождаются от COPPA при определенных обстоятельствах. В 2014 году Федеральная торговая комиссия (FTC) выпустила рекомендации, согласно которым для приложений и магазинов приложений требуется «поддающееся проверке согласие родителей». Были изменены правила, касающиеся номеров кредитных карт, в которых говорилось, что совершение покупки (т. е. трата денег) не является обязательным для проверки номера кредитной карты, но что сами по себе номера кредитных карт не являются доказательством согласия родителей и должны использоваться в в сочетании с другими мерами, такими как секретные вопросы.

– Каковы риски?
Xanga, онлайн-платформа для ведения блогов и социальных сетей, выплатила самую крупную компенсацию в размере 1 миллиона долларов в 2006 году за нарушение конфиденциальности детей в Интернете без раскрытия информации. Xanga не следует путать с Zynga, компанией, стоящей за FarmVille и другими играми-кликерами для коров. Такие игры, как Candy Crush и Pet Rescue, попадают в неясную территорию, потому что они размещены на Facebook, а Facebook, по крайней мере теоретически, ограничен людьми старше 13 лет. Многие защитники конфиденциальности и группы защиты прав потребителей лоббируют более строгие правила в отношении этих игр. Программы.

Компания Topps, материнская компания Ring Pops, навлекла на себя гнев групп конфиденциальности за свою кампанию в социальных сетях «#RockThatRock», заявив, что она предназначена для детей младше 13 лет. тинейджеры. На момент написания этой статьи они еще не были оштрафованы.

3. ЗАКОН

- Что это?
Закон о переносимости и подотчетности медицинского страхования восходит к 1996 году, и Раздел II конкретно устанавливает правила для электронных транзакций в области здравоохранения. Другими словами, любая информация о вашем здоровье, которая хранится в цифровом виде, регулируется строгими правилами конфиденциальности. Точно так же, как у вас есть конфиденциальность NDA между врачом и пациентом, ваша информация также является конфиденциальной и может быть передана только с вашего разрешения или по распоряжению судьи.

- Кого это касается?
Любая застрахованная организация подпадает под действие HIPAA. Согласно Health and Human Services, это может быть поставщик медицинских услуг (врач, стоматолог, аптека), план медицинского обслуживания (страхование, HMO, Medicare, Medicaid, VA) или информационная служба здравоохранения (государственная или частная организация, которая берет информацию с отраслевого жаргона и делает ее более понятной для непрофессионала.)

– Как должны быть защищены пациенты?
Существуют административные, физические и технические средства защиты для предотвращения нарушений. Административные меры защиты — это такие вещи, как предоставление/ограничение доступа тем сотрудникам, которым нужен или не нужен доступ к информации, обеспечение регулярной смены паролей и наличие конкретных письменных правил в отношении поведения сотрудников. Физические меры безопасности означают наличие личного доступа к устройствам и местам и включают в себя такие вещи, как надежные замки и сигнализация, охранники и камеры, а также знание того, как безопасно утилизировать старые диски. Технические меры безопасности относятся к входу и выходу из рабочей станции, отслеживанию активности пользователей и безопасному шифрованию данных.

– Каковы риски?
Если информация взломана, затронутая организация должна уведомить лицо, чья информация просочилась, по электронной почте или почтовым отправлением первого класса. В случае более крупного нарушения, если какое-либо событие затрагивает более 500 человек, они должны уведомить «известные средства массовой информации» и секретаря HHS. Вы можете просмотреть список всех сообщений об утечке информации, затрагивающих более 500 человек, здесь. Вы можете подать собственную жалобу в HHS для рассмотрения, если вы или ваши знакомые подверглись вторжению в их личную жизнь по почте, факсу или электронной почте.

Нарушение HIPAA может привести к крупным штрафам или уголовному наказанию. В 2014 году HHS ударила по пресвитерианской больнице Нью-Йорка и Медицинскому центру Колумбийского университета после того, как данные о 6800 пациентах стали доступны для общедоступных поисковых систем; на две больницы был наложен общий штраф в размере 4,8 миллиона долларов.

4. СОКС

- Что это?
Закон Сарбейнса-Оксли 2002 года был принят после краха 2002 года, чтобы предотвратить гнусную финансовую деятельность. Любая компания, торгуемая на фондовой бирже, подлежит SOX. Раздел 404 SOX требует, чтобы компании публиковали информацию о своей структуре внутреннего контроля и о том, насколько точны их финансовые отчеты.

Цитируя сам законопроект, SEC требует от компаний своевременно предотвращать или обнаруживать «обнаружение несанкционированного приобретения, использования или распоряжения активами эмитента, которые могут оказать существенное влияние на финансовую отчетность».

- Кого это касается?
Любая компания, торгуемая на фондовой бирже, подлежит SOX. Раздел 404 SOX требует, чтобы компании публиковали информацию о своей структуре внутреннего контроля и о том, насколько точны их финансовые отчеты.

Сарбейнс-Оксли не делает различий между материальными и нематериальными активами. Это означает, что компании должны оценивать свои будущие бизнес-планы, необъявленные продукты, которые все еще находятся на стадии тестирования, и все, что может считаться коммерческой тайной. Компании также должны защищать себя от бывших сотрудников, уносящих с собой коммерческую тайну, и даже от передачи коммерческой тайны бывшими сотрудниками конкурентов.

– Каковы риски?
Любая компания, на которую распространяется SOX, также должна проверять свою информацию доверенной третьей стороной. Это конфиденциальная информация, которая передается и хранится, и аудиторы и компании должны проявлять максимальную осторожность, чтобы убедиться, что их информация в безопасности. Посмотрите не дальше того, что было во вчерашних заголовках, чтобы узнать об утечке документов компании, что вызвало немало затруднений, потерю доверия инвесторов, потерю бизнеса, а иногда и штрафы или уголовные наказания. Лучше всего требовать подписания соглашения о неразглашении, проводить опросы для сбора информации о человеке, обладающем информацией, и определять вероятность попадания данных в чужие руки, а также вести строгий учет того, кто имеет законный доступ к информации, а кто нет.

5. Закон о защите потребителей телефонов / Национальный реестр запрета звонков

- Что это?
Закон о защите прав потребителей телефонов 1991 г. ограничил использование автоматических звонков, автоматических дозвонщиков и других способов связи. Федеральная комиссия по связи оставила на усмотрение отдельных компаний создание собственных списков «Не звонить», так что это был большой провал. Только в 2003 году Федеральная торговая комиссия официально учредила Национальный реестр запрета звонков в рамках Закона о реализации отказа от звонков от 2003 года. Многие контакт-центры VoIP используют аббревиатуру TCPA, говоря об их соответствии требованиям Национальный реестр запрета звонков.

На кого это влияет? По данным FTC, если компания установила отношения с клиентом, она может продолжать звонить им до 18 месяцев. Если потребитель звонит в компанию, скажем, чтобы запросить информацию о продукте или услуге, у компании есть три месяца, чтобы ответить ему. В обоих случаях, которые я только что упомянул, если клиент просит не принимать звонки, компания должна прекратить звонить или подвергнуться штрафу.

Следующие типы звонков исключаются из реестра «Не звонить», за исключением конкретной жалобы:

• Звонки от некоммерческой организации B. Не все некоммерческие организации освобождаются автоматически.
• Определенные виды информационных сообщений, но не рекламные сообщения (например, отмена рейса освобождается от налога, продажа билетов на самолет — нет).
• Призывы голосовать за политического кандидата.
• Просьбы о благотворительных пожертвованиях.
• Звонки в бизнес, даже холодные звонки для стимулирования продаж.
• Звонки от коллекторов, но у коллекторов есть свои законы относительно того, кому и когда они могут звонить.

– Каковы риски?
Максимальный штраф за звонок кому-либо из DNCR составляет 16 000 долларов. Внести свой телефон в реестр так же просто, как посетить веб-сайт donotcall.gov или позвонить по номеру 1-888-382-1222 с телефона, который вы хотите включить в список. Хотя вы, возможно, читали какое-то электронное письмо или сообщение в социальных сетях об обратном, как только номер находится в списке, он остается в списке навсегда, если только он не будет активно удален. Все сотовые телефоны находятся в списке по умолчанию. На момент написания этой статьи не существовало такого понятия, как реестр «Не отправлять текстовые сообщения», а так называемые «мусорные факсы» регулируются собственными правилами.

6. Закон о конфиденциальности и безопасности персональных данных

- Что это?
В ответ на растущую озабоченность по поводу кражи личных данных и рост мировых технологических возможностей для хранения, передачи и обработки информации, Закон о конфиденциальности и безопасности личных данных 2009 г. ужесточил наказания за некоторые виды кражи личных данных и взлома компьютеров.

- Кого это касается?
Налагает требования к программе конфиденциальности и безопасности персональных данных для коммерческих организаций, которые хранят конфиденциальную информацию, позволяющую установить личность, в электронной или цифровой форме в отношении 10 000 или более жителей США. У многих провайдеров VoIP более 100 000 клиентов. Есть большая вероятность, что выбранный вами провайдер VoIP для бизнеса имеет это требование. Правила также применяются к межгосударственным брокерам данных с информацией о более чем 5000 человек, но провайдеры VoIP не считаются брокерами данных.

– Каковы риски?
Самому исполнителю преступления, умышленно получившему доступ к компьютеру без разрешения, может быть предъявлено обвинение в вымогательстве. Но что касается компании, ставшей жертвой этой атаки, намеренное сокрытие нарушения безопасности «конфиденциальной информации, позволяющей установить личность», может привести к штрафу и/или пяти годам тюремного заключения. Это включает имя жертвы, номер социального страхования, домашний адрес, данные отпечатков пальцев / биометрические данные, дату рождения и номера банковских счетов.

Любая компания, которая подверглась взлому, должна уведомить затронутых лиц по почте, телефону или электронной почте, а сообщение должно содержать информацию о компании и о том, как связаться с агентствами кредитной информации (т. е. получить помощь в исправлении их кредита). Он также должен сообщить о нарушении в агентства по информированию потребителей. О нарушении также необходимо сообщить в крупные средства массовой информации, если более 5000 затронутых лиц находятся в одном штате.

Компания также должна связаться с секретной службой в течение четырнадцати дней, если произойдет одно или несколько из следующих событий: база данных содержит информацию более чем об одном миллионе лиц; нарушение затрагивает более 10 000 человек; база данных является базой данных федерального правительства; нарушение затрагивает лиц, которые, как известно, являются государственными служащими или подрядчиками, участвующими в национальной безопасности или правоохранительных органах. Затем эта информация будет передана секретной службой в ФБР, почтовое отделение США и генеральным прокурорам каждого пострадавшего штата.

В заключении:

Каждые два дня генерируется больше информации, чем вся письменная история до 2003 года. Большая часть этой информации была бы невозможна должным образом задокументирована до последнего десятилетия или около того, а до недавнего времени ее было нецелесообразно хранить и невозможно перемещать. . Такие меры безопасности, как эти законы, существуют для того, чтобы мы могли предоставить эту информацию только этичным людям, которые могут поступать правильно для своих пациентов, клиентов или любых других отношений. Мы постоянно слышим о взломах баз данных, и теперь вы лучше понимаете, что будет с компанией, которая позволила себя взломать, и что они должны были сделать, чтобы предотвратить это. Будьте спокойны, зная, что вы, потребитель, в большей безопасности благодаря этим правилам.