VoIP Kuralları ve Düzenlemeleri: Sağlayıcınız Sektörünüze Uygun mu?

1970'lerde bir bilim kurgu dizisi izlediğinizi hayal edin. Uzak bir dünyadan robotları manipüle ederek hastalara teşhis koyan doktorları görüyorsunuz. Tüketicilerin ekranlarda müşteri hizmetleri temsilcileriyle konuştuklarını ve onlara kişisel alışveriş önerileri verdiğini görüyorsunuz. Küçük bir deftere dosyalanmış, parmak iziyle korunan bir rapor görüyorsunuz. Nükleerle çalışan uçan arabaları görüyorsunuz. Sonuncusu bir yana, VoIP ve modern bulut teknolojisiyle hemen hemen oradayız.

Büyük, lastik gibi canavarların olduğu karikatürler ve şovlar, bu teknolojilerin yalnızca iyilik için kullanıldığını gösteriyordu.

Ancak gerçek dünyada, bu riskleri azaltmak için gerçek riskler ve gerçek düzenlemeler vardır. Bu kablolardan ve sunuculardan her saniye değerli bilgiler geçer ve bazı sektörlerin zaman içinde gelişen teknolojiye uyum sağlamak için gelişen özel kuralları vardır. VoIP'niz ve diğer veri ağlarınız söz konusu olduğunda aşina olmak isteyeceğiniz bazı düzenleyici standartların bir listesi burada.

Not: Yalnızca elektronik iletişim ve dijital veya kişisel bilgi depolama ile ilgili düzenlemeleri ele alıyoruz.

1. CPNI

- Bu ne?
Müşteriye Özel Ağ Bilgileri , telekomünikasyon hizmet sağlayıcılarının aboneleri hakkında topladığı bilgilerdir. Spesifik olarak, abonelerin kullandığı hizmet türünü, kullanılan miktarı ve türünü birbirine bağlar. Örneğin, bir kablosuz sağlayıcı, telefonunuzu ne sıklıkta kullandığınızı ve hem sosyal ağlar hem de arama için kullandığınızı izleyebilir. Bilgilerin gizli tutulması gerekiyor, ancak yalnızca müşteri tercihten vazgeçerse. Müşteri vazgeçmezse, sağlayıcı, müşteriye bildirildiği sürece bu bilgileri diğer hizmetleri satmaları için pazarlamacılara iletebilir. Sağlayıcınızı başka bir sağlayıcı için bırakırsanız, şirketin sizi geri almaya çalışmak için CPNI'yi kullanması yasaktır. CPNI'den çıkmak istiyorsanız, Google “CPNI kapsamı dışında kalmayı (sağlayıcınızın adı)” yapabilir ve bulduğunuz talimatları uygulayabilirsiniz.

– Kimleri Etkiler?
Herhangi bir telekomünikasyon sağlayıcısı CPNI kısıtlamasına tabidir. Ancak, her sağlayıcının elinde ne kadar bilgiye sahip olduğu ve dolayısıyla verilerin (meşru veya başka bir şekilde) iletilme riski, sağlanan hizmetin türüne bağlıdır. Kablo şirketleri, telefon şirketleri ve kablosuz sağlayıcılar, İnternet sağlayıcımızdan telefon görüşmeleri yaptığımız ve İnternet'e erişmek için telefonlarımızı kullandığımız için günümüzde giderek daha fazla birbirinin yerine geçebilir hale geliyor. Tüm bu bilgiler ISS'niz için mevcut olabilir. 2007'de FCC, Komisyonun 1996 Telekomünikasyon Yasası'nın CPNI kurallarının uygulamasını, birbirine bağlı VoIP hizmeti sağlayıcılarına açıkça genişletti. Garip bir şekilde, pazarlama şirketlerine minimum kısıtlama ile iletilebilecek aynı bilgiler, kolluk kuvvetlerinin erişmesi için bir izin gerektirir.

– Riskler Nelerdir?
2015 yılında AT&T, 280.000 isim ve tam veya kısmi SSN'lere izinsiz olarak erişildikten sonra FCC ile 25 milyon dolarlık rekor bir ceza ödedi. FCC'ye göre, Meksika, Kolombiya ve Filipinler'deki AT&T çağrı merkezlerindeki çalışanlar, yasal olarak cep telefonlarının kilidini açarken bilgilere erişim sağladı, ancak daha sonra çalınan cep telefonlarının kilidini açmak için bu bilgileri üçüncü taraflara iletti. Bu, bir veri güvenliği eylemi için bugüne kadarki en büyük anlaşmaydı. İkinci en büyüğü, iki milyon müşterisine bilgilerini binlerce pazarlama kampanyası yürütmek için kullandığını bildirmedikten sonra 2014 yılında 7,4 milyon dolar ödemek zorunda kalan Verizon Wireless'a oldu.

2. COPPA

- Bu ne?
1998 tarihli Çocukların Çevrimiçi Gizliliğini Koruma Yasası, çocuklara aldatıcı pazarlama yapılmasını veya ebeveynlerine ifşa edilmeden kişisel bilgilerin toplanmasını yasaklar. Karar 2000 yılında yürürlüğe girdi ve 2011 yılında, toplanan verilerin belirli bir süre sonra silinmesini ve herhangi bir bilginin üçüncü bir tarafa iletilmesi durumunda, çocuğun velisinin bunu kolayca yapabilmesini zorunlu kılacak şekilde değiştirildi. bu bilgileri koruyun. Kişisel bilgiler, bu durumda çocuğun adı, fiziksel veya IP adresi, kullanıcı adı/ekran adı, sosyal güvenlik numarası ve fotoğraflar olabilir. Şirketlerin çocuklardan bu bilgileri göndermelerini istemesine izin verilmez.

– Kimleri Etkiler?
COPPA, FTC tarafından uygulanır. COPPA kuralları, 13 yaşın altında olduğu bilinen kullanıcılar hakkında bilgi toplayan herhangi bir web sitesi operatörü veya çevrimiçi hizmet sağlayıcısı için geçerlidir. Kar amacı gütmeyen kuruluşlar, belirli durumlarda COPPA'dan muaftır. 2014 yılında FTC, uygulamaların ve uygulama mağazalarının "doğrulanabilir ebeveyn izni" gerektirdiğini belirten yönergeler yayınladı. Kredi kartı numaralarıyla ilgili kurallar, bir kredi kartı numarasını doğrulamak için bir satın alma işleminin (yani para harcamanın) gerekli olmadığı, ancak kredi kartı numaralarının tek başına ebeveyn izninin kanıtı olmadığı ve bu bilgilerin başka bir yerde kullanılması gerektiği şeklinde değiştirildi. gizli sorular gibi diğer önlemlerle birlikte.

– Riskler nelerdir?
Çevrimiçi bir blog ve sosyal ağ platformu olan Xanga, çocukların çevrimiçi gizliliğini ifşa etmeden ihlal ettiği için 2006 yılında en büyük uzlaşmayı 1 milyon dolarla ödedi. Xanga, FarmVille ve diğer inek-tıklama oyunlarının arkasındaki şirket olan Zynga ile karıştırılmamalıdır. Candy Crush ve Pet Rescue gibi oyunlar, Facebook tarafından barındırıldığı ve Facebook'un teorik olarak 13 yaşın üzerindeki insanlarla sınırlı olduğu için belirsiz alanlara giriyor. Birçok gizlilik savunucusu ve tüketici koruma grubu, bunlarla ilgili daha katı kurallar için lobi yapıyor. uygulamalar.

Ring Pops'un ana şirketi olan Topps Şirketi, "#RockThatRock" sosyal medya kampanyasıyla, 13 yaşın altındaki çocuklara pazarlandığını söyleyerek gizlilik gruplarının gazabını kazandı ve birçoğu, fotoğrafların çoğunun önceden cinselleştirilmiş olarak yayınlandığından şikayet etti. gençler. Bu yazı itibariyle, henüz para cezasına çarptırılmadılar.

3. HIPAA

- Bu ne?
Sağlık Sigortası Taşınabilirlik ve Hesap Verebilirlik Yasası , 1996 yılına dayanmaktadır ve Başlık II, özellikle elektronik sağlık işlemleri için kuralları belirlemektedir. Başka bir deyişle, dijital ortamda saklanan sağlığınızla ilgili her türlü bilgi, sıkı gizlilik kurallarına tabidir. Tıpkı doktor-hasta NDA gizliliğiniz olduğu gibi, bilgileriniz de gizlidir ve ancak izniniz veya hakim kararı ile paylaşılabilir.

– Kimleri Etkiler?
Kapsanan herhangi bir kuruluş HIPAA'ya tabidir. Sağlık ve İnsan Hizmetlerine göre, bu bir sağlık hizmeti sağlayıcısı (Doktor, diş hekimi, eczane), bir sağlık planı (sigorta, HMO, Medicare, Medicaid, The VA) veya bir sağlık hizmeti takas odası (kamu veya özel bir kuruluş) olabilir. endüstri jargonuyla bilgi alır ve sıradan bir kişi tarafından daha okunabilir hale getirir.)

– Hastalar nasıl korunmalıdır?
İhlalleri önlemek için idari, fiziksel ve teknik önlemler vardır. İdari önlemler, bilgiye ihtiyacı olan/olmayan personele erişim izni vermek/kısıtlamak, parolaların düzenli olarak değiştirilmesini sağlamak ve çalışan davranışlarına ilişkin belirli yazılı politikalara sahip olmak gibi şeylerdir. Fiziksel güvenlik önlemleri, cihazlara ve konumlara şahsen erişime sahip olmayı ifade eder ve güvenli kilitler ve alarmlar, güvenlik görevlileri ve kameralar gibi şeyleri ve eski sürücülerin güvenli bir şekilde nasıl atılacağını bilmeyi içerir. Teknik güvenlik önlemleri, bir iş istasyonunda oturum açma ve oturumu kapatma, kullanıcı etkinliğini izleme ve güvenli veri şifreleme anlamına gelir.

– Riskler nelerdir?
Bilginin ihlali durumunda, etkilenen kuruluş, bilgileri e-posta veya birinci sınıf posta yoluyla sızdırılan kişiyi bilgilendirmelidir. Daha büyük bir ihlal durumunda, herhangi bir olay 500'den fazla kişiyi etkiliyorsa, "önde gelen medya kuruluşlarını" ve HHS Sekreteri'ni bilgilendirmeleri gerekmektedir. 500'den fazla kişiyi etkileyen, rapor edilen tüm bilgi ihlallerinin bir listesini burada görüntüleyebilirsiniz. Sizin veya tanıdığınız birinin posta, faks veya e-posta yoluyla gizliliğini ihlal edip etmediğini incelemesi için HHS'ye kendi şikayetinizi sunabilirsiniz.

HIPAA'yı ihlal etmek ağır para cezalarına veya cezai yaptırımlara yol açabilir. 2014 yılında, HHS, 6.800 hastayla ilgili verilerin herkese açık arama motorlarına sunulmasının ardından New York-Presbyterian Hastanesi ve Columbia Üniversitesi Tıp Merkezi'ni hedef aldı; iki hastane toplam 4,8 milyon dolar para cezasına çarptırıldı.

4. SOX

- Bu ne?
2002'deki Sarbanes-Oxley Yasası , 2002'deki Çöküş'ün ardından, hain finansal faaliyetleri önlemek için oluşturuldu. Borsada işlem gören herhangi bir şirket SOX'a tabidir. SOX'un 404. Bölümü, şirketlerin iç kontrol yapıları ve mali kayıtlarının ne kadar doğru olduğu ile ilgili bilgileri yayınlamalarını gerektirir.

Tasarıyı alıntılamak için SEC, şirketlerin “finansal tablo üzerinde önemli bir etkisi olabilecek, ihraççının varlıklarının yetkisiz edinilmesi, kullanılması veya elden çıkarılmasının tespit edilmesi”ni önlemelerini veya zamanında tespit etmelerini şart koşuyor.

– Kimleri Etkiler?
Borsada işlem gören herhangi bir şirket SOX'a tabidir. SOX'un 404. Bölümü, şirketlerin iç kontrol yapıları ve mali kayıtlarının ne kadar doğru olduğu ile ilgili bilgileri yayınlamalarını gerektirir.

Sarbanes-Oxley, maddi ve maddi olmayan duran varlıklar arasında bir ayrım yapmaz. Bu, şirketlerin gelecekteki iş planlarına, henüz test aşamasında olan duyurulmamış ürünlere ve ticari sır olarak kabul edilebilecek her şeye değer vermeleri gerektiği anlamına gelir. Şirketler ayrıca, ticari sırları kendileriyle birlikte alan eski çalışanlarına ve hatta rakiplerinin eski çalışanları tarafından ticari sırların verilmesine karşı kendilerini korumalıdır.

– Riskler Nelerdir?
SOX'a tabi herhangi bir şirket, bilgilerini güvenilir bir üçüncü tarafça da denetletmelidir. Bu, iletilen ve saklanan hassas bilgilerdir ve denetçiler ve şirketler, bilgilerinin güvenli olduğundan emin olmak için azami özen göstermelidir. Bir şirketin belgelerinin sızdırıldığını ve az da olsa mahcubiyete, yatırımcıların güvenini kaybetmesine, iş kaybına ve bazen para cezalarına veya cezai yaptırımlara neden olduğunu duymak için dünkü manşetlerde çıkanlardan daha uzağa bakmayın. Bir Gizlilik Sözleşmesi imzalanmasını zorunlu kılmak, bilgileri olan kişi hakkında bilgi toplayan ve verilerin yanlış ellere geçme olasılığını belirleyen görüşmeler yapmak ve kimlerin bilgiye yasal erişimi olup olmadığına dair katı kayıtlar tutmak en iyi uygulamadır.

5. Telefon Tüketiciyi Koruma Yasası / Ulusal Çağrı Yapma Kayıt Defteri

- Bu ne?
1991 tarihli Telefon Tüketici Koruma Yasası , otomatik aramaların, otomatik çeviricilerin ve diğer iletişim yöntemlerinin kullanımını sınırladı. Federal İletişim Komisyonu, kendi Do Not Call listelerini oluşturmayı bireysel şirketlere bıraktı ve bu nedenle bu büyük bir başarısızlıktı. 2003 yılına kadar Ulusal Arama Yapmayın Sicili, Federal Ticaret Komisyonu tarafından 2003 tarihli Arama Yapma Uygulama Yasası'nın bir parçası olarak resmi olarak kurulmamıştı. Birçok VoIP iletişim merkezi, uyumluluklarından bahsederken TCPA kısaltmasını kullanır. Ulusal Do Not Call Registry.

Kimleri Etkiler? FTC'ye göre, bir işletmenin bir müşteriyle yerleşik bir ilişkisi varsa, onları 18 aya kadar aramaya devam edebilir. Bir tüketici, örneğin ürün veya hizmet hakkında bilgi almak için şirketi ararsa, şirketin kendisine geri dönmesi için üç ayı vardır. Bahsettiğim her iki durumda da, müşteri aramaları almamak isterse, şirket aramayı bırakmalı veya para cezasına çarptırılmalıdır.

Aşağıdaki arama türleri, belirli bir şikayet dışında, Arama Kayıt Defterinden muaftır:

• Kar amacı gütmeyen bir B kuruluşundan gelen aramalar. Tüm kar amacı gütmeyen kuruluşlar otomatik olarak muaf değildir.
• Belirli türdeki bilgilendirme mesajları, ancak promosyon mesajları değil (örneğin, bir uçuş iptali muaftır, uçak bileti satışı hariçtir).
• Siyasi bir adaya oy verme çağrısı.
• Hayırsever bağış için talepler.
• Bir işletmeye yapılan aramalar, hatta satışları sağlamak için soğuk aramalar.
• Borç tahsildarlarından gelen aramalar, ancak borç tahsildarlarının kimi ve ne zaman arayabileceklerine ilişkin kendi yasaları vardır.

– Riskler Nelerdir?
DNCR'den birini aramanın maksimum cezası 16.000$'dır. Telefonunuzu kayıt defterine eklemek, donotcall.gov web sitesini ziyaret etmek veya listede istediğiniz telefondan 1-888-382-1222'yi aramak kadar kolaydır. Aksine bazı e-postaları veya sosyal medya gönderilerini okumuş olsanız da, bir numara listede olduğunda, aktif olarak kaldırılmadığı sürece sonsuza kadar listede kalır. Tüm cep telefonları varsayılan olarak listededir. Bu yazı itibariyle, “Mesaj Yazma” kaydı diye bir şey yoktur ve sözde “önemsiz fakslar” kendi düzenlemelerine tabidir.

6. Kişisel Verilerin Gizliliği ve Güvenliği Yasası

- Bu ne?
Kimlik hırsızlığı konusundaki artan endişeye ve dünyanın bilgi depolama, iletme ve hesaplamaya yönelik teknolojik kapasitesinin büyümesine yanıt olarak, 2009 tarihli Kişisel Veri Gizliliği ve Güvenliği Yasası, bazı kimlik hırsızlığı ve bilgisayar korsanlığı türlerine yönelik cezaları artırdı.

– Kimleri Etkiler?
10.000 veya daha fazla ABD'li kişiye elektronik veya dijital biçimde hassas kişisel tanımlayıcı bilgileri saklayan ticari kuruluşlara bir kişisel veri gizliliği ve güvenlik programı gereksinimleri uygular. Birçok VoIP sağlayıcısının 100.000'den fazla müşterisi vardır. İşletmenizin tercih ettiği VoIP sağlayıcısının bu gereksinime sahip olma ihtimali yüksektir. Kurallar, 5.000'den fazla kişi hakkında bilgi sahibi olan eyaletler arası veri komisyoncuları için de geçerlidir, ancak VoIP sağlayıcıları veri komisyoncusu olarak kabul edilmez.

– Riskler Nelerdir?
Yetkisiz olarak bir bilgisayara kasıtlı olarak giren suçun faili haraç almakla suçlanabilir. Ancak, bu saldırının kurbanı olan şirkete gelince, “kişisel olarak tanımlanabilir hassas bilgilerin” güvenlik ihlalini kasıtlı olarak gizlemek para cezasına ve/veya beş yıl hapis cezasına yol açabilir. Bu, mağdurun adını, sosyal güvenlik numarasını, ev adresini, parmak izi/biyometrik verilerini, doğum tarihini ve banka hesap numaralarını kapsar.

İhlal edilen herhangi bir şirket, etkilenen bireyleri posta, telefon veya e-posta yoluyla bilgilendirmeli ve mesaj, şirket ve kredi raporlama kurumlarıyla (yani, kredilerini düzeltme konusunda yardım almak için) nasıl iletişime geçileceği hakkında bilgi içermelidir. Ayrıca ihlali tüketici raporlama kurumlarına bildirmelidir. Bir eyalette 5.000'den fazla etkilenen kişi varsa, ihlal büyük medya kuruluşlarına da bildirilmelidir.

Şirket ayrıca aşağıdakilerden biri veya daha fazlasının meydana gelmesi durumunda Gizli Servis ile on dört gün içinde iletişime geçmelidir: Veritabanı bir milyondan fazla kişi hakkında bilgi içerir; ihlal 10.000'den fazla kişiyi etkiliyor; veritabanı bir federal hükümet veritabanıdır; ihlal, devlet çalışanları veya ulusal güvenlik veya kolluk kuvvetleriyle ilgili yükleniciler olarak bilinen kişileri etkiler. Bu bilgi daha sonra Gizli Servis'ten FBI'ya, Amerika Birleşik Devletleri Posta Ofisine ve etkilenen her eyaletin başsavcılarına iletilecektir.

Sonuç olarak:

Her iki günde bir, 2003'e kadar olan tüm yazılı tarihten daha fazla bilgi üretilir. Bunların çoğu, son on yıla kadar düzgün bir şekilde belgelenmesi imkansız olan ve daha yakın zamana kadar, saklanması pratik olmayan ve taşınması mümkün olmayan bilgilerdir. . Bu yasalar gibi güvenceler var, böylece bu bilgiyi hastaları, müşterileri veya ilişki ne olursa olsun doğru olanı yapabilen etik kişilerle sınırlandırabiliriz. Her zaman veritabanlarının ihlal edildiğini duyuyoruz ve şimdi, kendisinin saldırıya uğramasına izin veren şirkete ne olacağı ve bunu önlemek için ne yapmaları gerektiği hakkında daha iyi bir fikriniz var. Siz tüketicinin bu kurallar sayesinde daha güvende olduğunuzu bilerek içiniz rahat olsun.