• 主頁
  • 文章
  • 軟件
  • VoIP 規則和法規:您的提供商是否符合您的行業要求?

VoIP 規則和法規:您的提供商是否符合您的行業要求?

已發表: 2016-04-05

想像一下,您正在觀看 1970 年代的科幻節目。 您會看到醫生通過操縱來自世界之外的機器人來診斷患者。 您會看到消費者在屏幕上與客戶服務代理交談,為他們提供個人購物建議。 您會在一個小本子中看到一份報告,並由指紋保護。 你會看到核動力飛行汽車。 好吧,除了最後一個,我們幾乎都在使用 VoIP 和現代云技術。

帶有橡膠般的大怪物的卡通和節目表明,這些技術只是被用於好的方面。

但是,在現實世界中,存在真正的風險和真正的監管來減輕這些風險。 有價值的信息每秒都會通過這些電纜和服務器,有些行業有特殊的規則,這些規則隨著時間的推移而發展,以適應先進的技術。 以下是您在 VoIP 和其他數據網絡方面需要熟悉的一些監管標準的列表。

注意:我們僅涵蓋與電子通信以及數字或個人信息存儲有關的法規。

1. CPNI

- 它是什麼?
客戶專有網絡信息是電信服務提供商收集的有關其訂戶的信息。 具體來說,它將訂戶使用的服務類型、使用量和類型聯繫在一起。 例如,無線提供商可以跟踪您使用手機的頻率,以及您將其用於社交網絡和通話。 這些信息應該保密,但前提是客戶選擇退出。 如果客戶不選擇退出,只要通知客戶,提供商就可以將該信息傳遞給營銷人員以銷售其他服務。 如果您離開您的供應商去另一家,該公司被禁止使用 CPNI 試圖讓您回來。 如果您希望退出 CPNI,您可以穀歌“CPNI 退出(您的提供商名稱)”並按照您找到的說明進行操作。

– 它影響誰?
任何電信提供商都受 CPNI 限制。 但是,每個提供商擁有多少信息,因此傳遞數據的風險(合法或其他)取決於所提供的服務類型。 今天,有線電視公司、電話公司和無線供應商的互換性越來越強,因為我們從互聯網供應商那裡撥打電話,並使用我們的手機訪問互聯網。 您的 ISP 可能會獲得所有這些信息。 2007 年,FCC 明確將 1996 年電信法的委員會 CPNI 規則的適用範圍擴大到互連 VoIP 服務提供商。 奇怪的是,可以以最小限制傳遞給營銷公司的相同信息需要執法機構獲得授權才能訪問。

– 有什麼風險?
2015 年,在 280,000 個姓名和全部或部分 SSN 未經授權被訪問後,AT&T 與 FCC 達成了創紀錄的 2500 萬美元罰款和解。 據美國聯邦通信委員會稱,墨西哥、哥倫比亞和菲律賓的 AT&T 呼叫中心的員工在合法解鎖手機的同時獲得了這些信息,但隨後將該信息傳遞給第三方以解鎖被盜手機。 這是迄今為止最大的數據安全行動解決方案。 第二大是 Verizon Wireless,該公司在 2014 年不得不支付 740 萬美元,因為它未能通知 200 萬客戶它正在使用他們的信息進行數千次營銷活動。

2. COPPA

- 它是什麼?
1998 年的《兒童在線隱私保護法》禁止對兒童進行欺騙性營銷,或在未向其父母披露的情況下收集個人信息。 該裁決於 2000 年生效,並於 2011 年修訂,要求收集的數據在一段時間後被刪除,如果任何信息要傳遞給第三方,孩子的監護人必須易於保護該信息。 在這種情況下,個人信息可以是孩子的姓名、物理地址或 IP 地址、用戶名/屏幕名稱、社會安全號碼和照片。 公司不得提示兒童提交該信息。

– 它影響誰?
COPPA 由 FTC 執行。 COPPA 規則適用於收集已知未滿 13 歲用戶信息的任何網站運營商或在線服務提供商。在某些情況下,非營利組織不受 COPPA 約束。 2014 年,FTC 發布了應用程序和應用程序商店需要“可驗證的父母同意”的指南。 修改了有關信用卡號碼的規則,指出購買(即花錢)不是驗證信用卡號碼所必需的,但信用卡號碼本身並不是父母同意的證明,必須用於結合其他措施,例如秘密問題。

– 有什麼風險?
在線博客和社交網絡平台 Xanga 在 2006 年支付了最大的一筆和解金,金額為 100 萬美元,原因是未經披露就侵犯了兒童的在線隱私。 Xanga 不要與 Zynga 混淆,Zynga 是 FarmVille 和其他牛點擊遊戲背後的公司。 像 Candy Crush 和 Pet Rescue 這樣的遊戲屬於不清楚的領域,因為它們是由 Facebook 託管的,而 Facebook 至少在理論上僅限於 13 歲以上的人。許多隱私權倡導者和消費者保護組織遊說對這些遊戲制定更嚴格的規則應用。

Ring Pops 的母公司 Topps 公司因其“#RockThatRock”社交媒體活動贏得了隱私團體的憤怒,稱該活動面向 13 歲以下的兒童,許多人還抱怨說,許多張貼的圖片都帶有色情色彩。青少年。 截至撰寫本文時,他們尚未被罰款。

3. HIPAA

- 它是什麼?
健康保險流通和責任法案可以追溯到 1996 年,Title II 專門製定了電子醫療保健交易的規則。 換句話說,任何以數字方式存儲的關於您的健康的信息都受到嚴格的隱私規則的約束。 正如您對醫患 NDA 保密一樣,您的信息也是保密的,並且只能在您的許可或法官的命令下共享。

– 它影響誰?
任何涵蓋的實體均受 HIPAA 約束。 根據 Health and Human Services 的說法,這可以是醫療保健提供者(醫生、牙醫、藥房)、健康計劃(保險、HMO、Medicare、Medicaid、The VA)或醫療保健信息交換所(公共或私人實體,使用行業術語獲取信息,使其更易於外行閱讀。)

– 必須如何保護患者?
有管理、物理和技術保障措施來防止違規。 行政保障措施包括授予/限制需要/不需要訪問信息的員工的訪問權限、確保定期更改密碼以及製定有關員工行為的具體書面政策。 物理安全措施是指親自訪問設備和位置,包括安全鎖和警報、保安人員和攝像頭,以及知道如何安全處理舊驅動器。 技術保障是指登錄和退出工作站、跟踪用戶活動和安全數據加密。

– 有什麼風險?
如果信息被洩露,受影響的實體必須通過電子郵件或頭等郵件通知信息洩露的人。 在更大的違規情況下,如果任何事件影響超過 500 人,他們必須通知“知名媒體機構”和 HHS 秘書。 您可以在此處查看影響超過 500 人的所有報告的信息洩露列表。 如果您或您認識的人的隱私受到郵件、傳真或電子郵件的侵犯,您可以自行向 HHS 提出投訴。

違反 HIPAA 可能會導致巨額罰款或刑事處罰。 2014 年,在公共搜索引擎提供了 6,800 名患者的數據後,HHS 對紐約長老會醫院和哥倫比亞大學醫學中心進行了抨擊; 這兩家醫院被罰款480萬美元。

4. 索克斯

- 它是什麼?
2002 年的《薩班斯-奧克斯利法案》是在 2002 年金融危機之後製定的,目的是防止邪惡的金融活動。 任何在證券交易所公開交易的公司都受 SOX 約束。 SOX 第 404 條要求公司公佈有關其內部控制結構及其財務記錄準確程度的信息。

為了引用該法案本身,美國證券交易委員會要求公司及時預防或發現“發現可能對財務報表產生重大影響的發行人資產的未經授權的收購、使用或處置”。

– 它影響誰?
任何在證券交易所公開交易的公司都受 SOX 約束。 SOX 第 404 條要求公司公佈有關其內部控制結構及其財務記錄準確程度的信息。

Sarbanes-Oxley 沒有區分有形資產和無形資產。 這意味著公司必須重視他們未來的商業計劃、仍處於測試階段的未發布產品以及任何可以被視為商業機密的東西。 公司還需要保護自己免受前僱員與他們一起竊取商業機密,甚至不被競爭對手的前僱員提供商業機密。

– 有什麼風險?
任何受 SOX 約束的公司還必須讓受信任的第三方對其信息進行審計。 這是正在傳輸和存儲的敏感信息,審計人員和公司必須非常小心,以確保他們的信息安全。 只要看看昨天的頭條新聞,就可以聽到有關公司文件被洩露的消息,並造成不小的尷尬、投資者失去信心、業務損失,有時還會受到罰款或刑事處罰。 最好的做法是要求籤署 NDA,進行採訪以收集有關擁有信息的人的信息並確定數據落入壞人之手的可能性,並嚴格記錄誰可以合法訪問信息,誰不能。

5. 電話消費者保護法/全國請勿來電登記處

- 它是什麼?
1991 年的電話消費者保護法限制了自動電話、自動撥號器和其他通信方式的使用。 聯邦通信委員會讓個別公司建立自己的“請勿呼叫”列表,因此這是一個很大的失敗。 直到 2003 年,聯邦貿易委員會才正式建立了國家不來電登記處,作為 2003 年“不來電實施法案”的一部分。許多 VoIP 聯絡中心在談到遵守全國請勿來電登記處。

它影響誰? 根據 FTC 的規定,如果企業與客戶建立了關係,它可以繼續打電話給他們長達 18 個月。 例如,如果消費者致電公司詢問有關產品或服務的信息,公司有三個月的時間回复他。 在我剛才提到的兩種情況下,如果客戶要求不接聽電話,公司必須停止撥打電話,否則將被罰款。

除非有特定投訴,否則以下類型的電話可免於“請勿致電”登記處:

  • 來自非營利 B 組織的電話。 並非所有非營利組織都自動豁免。
  • 某些類型的信息信息,但不是促銷信息(例如,航班取消除外,機票銷售除外)。
  • 呼籲為政治候選人投票。
  • 慈善捐款的徵集活動。
  • 打電話給企業,甚至是打來電話以吸引銷售。
  • 收債員的電話,但收債員確實有自己的法律,關於他們可以打電話給誰和什麼時候打電話。

– 有什麼風險?
在 DNCR 上打電話給某人的最高罰款為 16,000 美元。 將您的手機加入註冊表就像訪問網站 donotcall.gov 一樣簡單,或者使用您想要在列表中的手機撥打 1-888-382-1222。 儘管您可能已經閱讀了一些相反的電子郵件或社交媒體帖子,但一旦某個號碼出現在列表中,它就會永遠保留在列表中,除非它被主動刪除。 默認情況下,所有手機都在列表中。 在撰寫本文時,還沒有“請勿發短信”之類的註冊表,所謂的“垃圾傳真”受其自身規定的約束。

6. 個人數據隱私和安​​全法

- 它是什麼?
為應對對身份盜用的日益關注以及全球存儲、通信和計算信息的技術能力的增長,2009 年的《個人數據隱私和安​​全法》增加了對某些類型的身份盜用和計算機黑客行為的處罰。

– 它影響誰?
對以電子或數字形式維護 10,000 或更多美國人的敏感個人身份信息的商業實體實施個人數據隱私和安​​全計劃的要求。 許多 VoIP 提供商擁有超過 100,000 名客戶。 您選擇的企業 VoIP 提供商很有可能有此要求。 這些規則也適用於擁有超過 5,000 人信息的州際數據經紀人,但 VoIP 提供商不被視為數據經紀人。

– 有什麼風險?
犯罪者本身未經授權故意訪問計算機,可能會被控敲詐勒索。 但是,對於成為此次攻擊受害者的公司,故意隱瞞“敏感個人身份信息”的安全漏洞可能會導致罰款和/或五年監禁。 這包括受害者的姓名、社會安全號碼、家庭住址、指紋/生物特徵數據、出生日期和銀行帳號。

任何被破壞的公司都必須通過郵件、電話或電子郵件通知受影響的個人,並且該消息必須包含有關公司的信息以及如何與信用報告機構取得聯繫(即,獲得修復信用的幫助)。 它還必須向消費者報告機構報告違規行為。 如果一個州有超過 5,000 名受影響的個人,還必須向主要媒體報告違規行為。

如果發生以下一種或多種情況,公司還必須在十四天內聯繫特勤局: 數據庫包含超過一百萬個人的信息; 違規影響超過 10,000 人; 該數據庫是聯邦政府數據庫; 該違規行為影響到已知為參與國家安全或執法的政府僱員或承包商的個人。 然後,這些信息將從特勤局傳遞給聯邦調查局、美國郵局和每個受影響州的總檢察長。

綜上所述:

每兩天產生的信息比截至 2003 年的所有書面歷史都要多。其中大部分是在過去十年左右之前無法正確記錄的信息,直到最近,存儲不切實際且無法移動. 存在像這些法律這樣的保障措施,以便我們可以將這些信息限制在有道德的人身上,他們可以為他們的病人、客戶或任何關係做正確的事情。 我們總是聽說數據庫被入侵,現在您對允許自己被黑客入侵的公司會發生什麼以及他們應該採取哪些措施來防止它有了更好的了解。 由於這些規則,知道您作為消費者更安全,請放心。