• 主页
  • 文章
  • 软件
  • VoIP 规则和法规:您的提供商是否符合您的行业要求?

VoIP 规则和法规:您的提供商是否符合您的行业要求?

已发表: 2016-04-05

想象一下,您正在观看 1970 年代的科幻节目。 您会看到医生通过操纵来自世界之外的机器人来诊断患者。 您会看到消费者在屏幕上与客户服务代理交谈,为他们提供个人购物建议。 您会在一个小本子中看到一份报告,并由指纹保护。 你会看到核动力飞行汽车。 好吧,除了最后一个,我们几乎都在使用 VoIP 和现代云技术。

带有橡胶般的大怪物的卡通和节目表明,这些技术只是被用于好的方面。

但是,在现实世界中,存在真正的风险和真正的监管来减轻这些风险。 有价值的信息每秒都会通过这些电缆和服务器,有些行业有特殊的规则,这些规则随着时间的推移而发展,以适应先进的技术。 以下是您在 VoIP 和其他数据网络方面需要熟悉的一些监管标准的列表。

注意:我们仅涵盖与电子通信以及数字或个人信息存储有关的法规。

1. CPNI

- 它是什么?
客户专有网络信息是电信服务提供商收集的有关其订户的信息。 具体来说,它将订户使用的服务类型、使用量和类型联系在一起。 例如,无线提供商可以跟踪您使用手机的频率,以及您将其用于社交网络和通话。 这些信息应该保密,但前提是客户选择退出。 如果客户不选择退出,只要通知客户,提供商就可以将该信息传递给营销人员以销售其他服务。 如果您离开您的供应商去另一家,该公司被禁止使用 CPNI 试图让您回来。 如果您希望退出 CPNI,您可以谷歌“CPNI 退出(您的提供商名称)”并按照您找到的说明进行操作。

– 它影响谁?
任何电信提供商都受 CPNI 限制。 但是,每个提供商拥有多少信息,因此传递数据的风险(合法或其他)取决于所提供的服务类型。 今天,有线电视公司、电话公司和无线供应商的互换性越来越强,因为我们从互联网供应商那里拨打电话,并使用我们的手机访问互联网。 您的 ISP 可能会获得所有这些信息。 2007 年,FCC 明确将 1996 年电信法的委员会 CPNI 规则的适用范围扩大到互连 VoIP 服务提供商。 奇怪的是,可以以最小限制传递给营销公司的相同信息需要执法机构获得授权才能访问。

– 有什么风险?
2015 年,在 280,000 个姓名和全部或部分 SSN 未经授权被访问后,AT&T 与 FCC 达成了创纪录的 2500 万美元罚款和解。 根据 FCC 的说法,墨西哥、哥伦比亚和菲律宾的 AT&T 呼叫中心的员工在合法解锁手机的同时获得了这些信息,但随后将该信息传递给第三方以解锁被盗手机。 这是迄今为止最大的数据安全行动解决方案。 第二大是 Verizon Wireless,该公司在 2014 年不得不支付 740 万美元,因为它未能通知 200 万客户它正在使用他们的信息进行数千次营销活动。

2. COPPA

- 它是什么?
1998 年的《儿童在线隐私保护法》禁止对儿童进行欺骗性营销,或在未向其父母披露的情况下收集个人信息。 该裁决于 2000 年生效,并于 2011 年修订,要求收集的数据在一段时间后被删除,如果任何信息要传递给第三方,孩子的监护人必须易于保护该信息。 在这种情况下,个人信息可以是孩子的姓名、物理地址或 IP 地址、用户名/屏幕名称、社会安全号码和照片。 公司不得提示儿童提交该信息。

– 它影响谁?
COPPA 由 FTC 执行。 COPPA 规则适用于收集已知未满 13 岁用户信息的任何网站运营商或在线服务提供商。在某些情况下,非营利组织不受 COPPA 约束。 2014 年,FTC 发布了应用程序和应用程序商店需要“可验证的父母同意”的指南。 修改了有关信用卡号码的规则,指出购买(即花钱)并不是验证信用卡号码所必需的,但信用卡号码本身并不是父母同意的证明,必须用于结合其他措施,例如秘密问题。

– 有什么风险?
在线博客和社交网络平台 Xanga 在 2006 年支付了最大的一笔和解金,金额为 100 万美元,原因是未经披露就侵犯了儿童的在线隐私。 Xanga 不要与 Zynga 混淆,Zynga 是 FarmVille 和其他牛点击游戏背后的公司。 像 Candy Crush 和 Pet Rescue 这样的游戏属于不清楚的领域,因为它们是由 Facebook 托管的,而 Facebook 至少在理论上仅限于 13 岁以上的人。许多隐私权倡导者和消费者保护组织游说对这些游戏制定更严格的规则应用。

Ring Pops 的母公司 Topps 公司因其“#RockThatRock”社交媒体活动赢得了隐私团体的愤怒,称该活动面向 13 岁以下的儿童,许多人还抱怨说,许多发布的图片都带有色情色彩。青少年。 截至撰写本文时,他们尚未被罚款。

3. HIPAA

- 它是什么?
健康保险流通和责任法案可以追溯到 1996 年,Title II 专门制定了电子医疗保健交易的规则。 换句话说,任何以数字方式存储的关于您的健康的信息都受到严格的隐私规则的约束。 正如您对医患 NDA 保密一样,您的信息也是保密的,并且只能在您的许可或法官的命令下共享。

– 它影响谁?
任何涵盖的实体均受 HIPAA 约束。 根据 Health and Human Services 的说法,这可以是医疗保健提供者(医生、牙医、药房)、健康计划(保险、HMO、Medicare、Medicaid、The VA)或医疗保健信息交换所(公共或私人实体,使用行业术语获取信息,使其更易于外行阅读。)

– 必须如何保护患者?
有管理、物理和技术保障措施来防止违规。 行政保障措施包括授予/限制需要/不需要访问信息的员工的访问权限、确保定期更改密码以及制定有关员工行为的具体书面政策。 物理安全措施是指亲自访问设备和位置,包括安全锁和警报、保安人员和摄像头,以及知道如何安全处理旧驱动器。 技术保障是指登录和退出工作站、跟踪用户活动和安全数据加密。

– 有什么风险?
如果信息被泄露,受影响的实体必须通过电子邮件或头等邮件通知信息泄露的人。 在更大的违规情况下,如果任何事件影响超过 500 人,他们必须通知“知名媒体机构”和 HHS 秘书。 您可以在此处查看影响超过 500 人的所有报告的信息泄露列表。 如果您或您认识的人的隐私受到邮件、传真或电子邮件的侵犯,您可以自行向 HHS 提出投诉。

违反 HIPAA 可能会导致巨额罚款或刑事处罚。 2014 年,在公共搜索引擎提供了 6,800 名患者的数据后,HHS 对纽约长老会医院和哥伦比亚大学医学中心进行了抨击; 这两家医院被罚款480万美元。

4. 索克斯

- 它是什么?
2002 年的《萨班斯-奥克斯利法案》是在 2002 年金融危机之后制定的,目的是防止邪恶的金融活动。 任何在证券交易所公开交易的公司都受 SOX 约束。 SOX 第 404 条要求公司公布有关其内部控制结构及其财务记录准确程度的信息。

为了引用该法案本身,美国证券交易委员会要求公司及时防止或发现“发现可能对财务报表产生重大影响的发行人资产的未经授权的收购、使用或处置”。

– 它影响谁?
任何在证券交易所公开交易的公司都受 SOX 约束。 SOX 第 404 条要求公司公布有关其内部控制结构及其财务记录准确程度的信息。

Sarbanes-Oxley 没有区分有形资产和无形资产。 这意味着公司必须重视他们未来的商业计划、仍处于测试阶段的未发布产品以及任何可以被视为商业机密的东西。 公司还需要保护自己免受前雇员与他们一起窃取商业机密,甚至不被竞争对手的前雇员提供商业机密。

– 有什么风险?
任何受 SOX 约束的公司还必须让受信任的第三方对其信息进行审计。 这是正在传输和存储的敏感信息,审计人员和公司必须非常小心,以确保他们的信息安全。 只要看看昨天的头条新闻,就可以听到有关公司文件被泄露的消息,并造成不小的尴尬、投资者失去信心、业务损失,有时还会受到罚款或刑事处罚。 最好的做法是要求签署 NDA,进行采访以收集有关拥有信息的人的信息并确定数据落入坏人之手的可能性,并严格记录谁可以合法访问信息,谁不能。

5. 电话消费者保护法/全国请勿来电登记处

- 它是什么?
1991 年的电话消费者保护法限制了自动电话、自动拨号器和其他通信方式的使用。 联邦通信委员会让个别公司建立自己的“请勿呼叫”列表,因此这是一个很大的失败。 直到 2003 年,联邦贸易委员会才正式建立了国家不来电登记处,作为 2003 年“不来电实施法案”的一部分。许多 VoIP 联络中心在谈到遵守全国请勿来电登记处。

它影响谁? 根据 FTC 的规定,如果企业与客户建立了关系,它可以继续打电话给他们长达 18 个月。 例如,如果消费者致电公司询问有关产品或服务的信息,公司有三个月的时间回复他。 在我刚才提到的两种情况下,如果客户要求不接听电话,公司必须停止拨打电话,否则将被罚款。

除非有特定投诉,否则以下类型的电话可免于“请勿致电”登记处:

  • 来自非营利 B 组织的电话。 并非所有非营利组织都自动豁免。
  • 某些类型的信息信息,但不是促销信息(例如,航班取消除外,机票销售除外)。
  • 呼吁为政治候选人投票。
  • 慈善捐款的征集活动。
  • 打电话给企业,甚至是打来电话以吸引销售。
  • 收债员的电话,但收债员确实有自己的法律,关于他们可以打电话给谁和什么时候打电话。

– 有什么风险?
在 DNCR 上打电话给某人的最高罚款为 16,000 美元。 将您的手机加入注册表就像访问网站 donotcall.gov 一样简单,或者使用您想要在列表中的手机拨打 1-888-382-1222。 尽管您可能已经阅读了一些相反的电子邮件或社交媒体帖子,但一旦某个号码出现在列表中,它就会永远保留在列表中,除非它被主动删除。 默认情况下,所有手机都在列表中。 在撰写本文时,还没有“请勿发短信”之类的注册表,所谓的“垃圾传真”受其自身规定的约束。

6. 个人数据隐私和安全法

- 它是什么?
为应对对身份盗用的日益关注以及世界上存储、通信和计算信息的技术能力的增长,2009 年的《个人数据隐私和安全法》增加了对某些类型的身份盗用和计算机黑客行为的处罚。

– 它影响谁?
对以电子或数字形式维护 10,000 或更多美国人的敏感个人身份信息的商业实体实施个人数据隐私和安全计划的要求。 许多 VoIP 提供商拥有超过 100,000 名客户。 您选择的企业 VoIP 提供商很有可能有此要求。 这些规则也适用于拥有超过 5,000 人信息的州际数据经纪人,但 VoIP 提供商不被视为数据经纪人。

– 有什么风险?
犯罪者本身未经授权故意访问计算机,可能会被控敲诈勒索。 但是,对于成为此次攻击受害者的公司,故意隐瞒“敏感个人身份信息”的安全漏洞可能会导致罚款和/或五年监禁。 这包括受害者的姓名、社会安全号码、家庭住址、指纹/生物特征数据、出生日期和银行帐号。

任何被破坏的公司都必须通过邮件、电话或电子邮件通知受影响的个人,并且该消息必须包含有关公司的信息以及如何与信用报告机构取得联系(即,获得修复信用的帮助)。 它还必须向消费者报告机构报告违规行为。 如果一个州有超过 5,000 名受影响的个人,还必须向主要媒体报告违规行为。

如果发生以下一种或多种情况,公司还必须在十四天内联系特勤局: 数据库包含超过一百万个人的信息; 违规影响超过 10,000 人; 该数据库是联邦政府数据库; 该违规行为影响到已知为参与国家安全或执法的政府雇员或承包商的个人。 然后,这些信息将从特勤局传递给联邦调查局、美国邮局和每个受影响州的总检察长。

综上所述:

每两天产生的信息比截至 2003 年的所有书面历史都要多。其中大部分是在过去十年左右之前无法正确记录的信息,直到最近,存储不切实际且无法移动. 存在像这些法律这样的保障措施,以便我们可以将这些信息限制在有道德的人身上,他们可以为他们的病人、客户或任何关系做正确的事情。 我们总是听说数据库被入侵,现在您对允许自己被黑客入侵的公司会发生什么以及他们应该采取哪些措施来防止它有了更好的了解。 由于这些规则,知道您作为消费者更安全,请放心。