best deal recuperare
click pentru detalii
click pentru detalii
click pentru detalii

Protejarea informatiilor de catre colectorul de debite

Protejarea informatiilor confidentiale necesita dedicare si sarguinta.

In afara de respectarea tuturor legilor si reglementarilor federale aplicabile, Codul etic al ACA INTERNATIONAL [ asociatia care reuneste agentiile de colectare debite din USA unde agentia de colectare debite Urban si Asociatii este membru-asociat ] cere ca toti membrii ACA sa "depuna eforturi reale pentru a proteja confidentilalitatea, integritatea si validitatea informatiilor incredintate de client companiei-membre, al caroror posesor si utilizator devine." Apoi, membrii trebuie sa intocmeasca un plan cu politicile si procedurile cele mai potrivite pentru protejarea adecvata a informatiilor confidentiale si sa-l integreze in codul lor de conduita interna, asa cum se solicita in Codul etic.

Schimbarea culturii

Brese de securitate in informatiile delicate cu privire la clienti continua sa reprezinte o mare grija pentru industria de colectare, avand in vedere fenomenul furtului de identitate. Companiile risca sa-si piarda clientii daca se produce o bresa in informatiile de la acestia, ambele parti risca probleme financiare din aceasta cauza si legiuitorii federali americani si statali continua sa cerceteze atent legile si reglementarile de securitate a datelor, pentru a gasi solutii pentru grija tot mai mare fata de bresele ce pot aparea in piata tehnologica aflata in permanenta dezvoltare.

Constientizarea nevoii de a te ocupa de o problema in crestere este, adesea, cel mai greu pas. Banii si timpul trebuie redirectionati de la alte prioritati, nemaipunand la socoteala lupta cu prejudecatile pe care trebuie s-o porti.

Acesta este fundalul in care-si desfasoara activitarea cei din industria de colectare, in incercarea lor de a rezolva problema integritatiii si securitatii informatiilor; aceasta este adesea asociata cu o problema de IT, care necesita numai o simpla instalare a unor bariere de siguranta si angajarea unui manager IT pentru a garanta eficienta, insa nu este deloc atat de simplu si dovedeste ca solutionarea reala este o misiune grea.

Codul etic al ACA reflecta tendinta industriei de colectare catre integrarea unei noi culturi in privinta securitatii datelor. Aceasta recunoaste interesul neechivoc al profesionistilor din industrie fata de securitatea datelor si dezvolta si implementeaza un program proactiv si cuprinzator de securitate a datelor, care sa acopere suficient de mult riscurile fara a pune in peicol profitabilitatea.

Legile federale de securitate a datelor

Cel putin 2 legi federale americane impun colectorilor de debite anumite obligatii cu privire la securitatea datelor. In primul rand, Actul Gramm-Leach-Bliley (GLBA) intentioneaza sa protejeze informatiile financiare personale ale consumatorilor. Diverse reguli din GLBA se aplica "institutiilor financiare", incluzand cumparatorii de bunuri, terte-parti in colectarea debitelor, agentiile de raportare pentru consumatori si creditorii, pentru a enumera doar cateva.

Regula GLBA de protectie cere ca toate institutiile financiare sa creeze si sa implementeze un program scris de securitate a informatiei, care sa contina elemente adiministrative, tehnice si fizice cu privire la siguranta; acest program trebuie sa fie adaptat marimii si complexitatii institutiei, naturii si scopului activitatii sale cat si gradului de risc cu privire la informatiile clientilor.

Reglmentarile adoptate prin mijocirea Regulei de protectie au stabilit cel putin 5 elemente ce trebuie incluse in programul unei institutii financiare de securitate a informatiilor. Desi aceste elemente sunt specifice GLBA, toate companiile ce utilizeaza, depoziteaza sau transfera informatii cu caracter personal ar trebui sa le utilizez ca si coordonate in dezvoltarea unei strategii de securitate a datelor, asa cum se cere in Codul etic al ACA.

Membrii trebuie sa se protejeze de potentiale brese de securitate:

  • 1. Trebuie sa genereze si sa implementeze metode de protectie a informatiei, bazandu-se pe evaluarile anterioare ale programului si sa le monitorizeze eficacitatatea
  • 2. Trebuie sa inteleaga si sa identifice potentialele riscurile interne si externe legate de securitatea datelor si sa evalueze in mod corespunzator daca sunt suficiente masurile de protectie déj? aplicate.
  • 3. Trebuie evaluata eficienta programului in mod frecvent si trebuie efectuate ajustarile necesare, bazate pe schimbarile ce apar in termenii de colaborare sau in alte circumstante care afecteaza in mod direct programul.
  • 4. Trebuie constientizat modul in care furnizorii de servicii utilizeaza informatii ale clientilor pentru a putea mentine sistemele adecvate de protectie a informatiei
  • 5. Trebuie numit un angajat care sa managerieze programul. Externalizarea este acceptabila, atata timp cat o institutie specializata are autoritatea necesara de a monitoriza managementul programului.

Comisia Federala a Comertului (FTC) ofera un numar de sugestii aditionale pentru protejarea informatiilor, sugestii ce respecta Regula protectiei GLBA, de exemplu securizarea locatiilor de arhivare in care se depoziteaza dosare, utilizand parole complexe, criptand datele si limitand accesul la informatii in functie de utilizarea acestora de catre angajati.

Utilizarea informatiilor medicale personale poate, de asemenea, necesita unele metode de protectie, conform Actului privind problemele de asiguare si sanatate (HIPAA). Regula de securitate a HIPAA stabileste niste standarde nationale pentru protejarea confidentialitatii, integritatii si disponibilitatii informatiei electronice cu privire la sanatate (EPHI).

Regula de securitate se aplica unei game de entitati, inclusie furnizori de servicii medicale, furnizori de programe de ingrijire, case de asigurari de sanatate. Important pentru terte parti implicate in colectare este ca Regula de securitate se aplica si pentru cei ce actioneaza ca si asociati ai unei afaceri.

Legi statale de securitate a datelor

Marea majoritate a statelor au regulamente care impun anumite conditii companiilor care depoziteaza, utilizeaza sau transfera informatii. In general vorbind, exista 4 elemente prin care se defineste o bresa in securitate:

  • 1. Trebuie sa existe o achizitionare neautorizata
  • 2. a unor date specifice
  • 3. care compromit material securitatea, confidentialitatea si integritatea
  • 4. informatiilor personale.

In acest cadru general, totusi, exista un numar de caracteristici particulare ale unor legi statale de securitate a informatiei. Un factor de diferentiere important se refera la faptul ca bresa este a unor date criptate sau necriptate. De exemplu, daca statutul de securitate a informatiei al unui stat defineste o bresa ca fiind compromiterea materiala a datelor necriptate, atunci criptarea datelor ofera companiei posibilitatea de a nu se conforma conditiilor de notificare in situatia aparitiei unei brese.

Un alt factor de diferentiere este definirea"informatiilor cu caracter personal". Majoritatea statelor definesc "informatiile cu caracter personal" ca incluzand:numele consumatorului, numarul de inregistare a asigurarii sociale, datele din carnetul de conducere sau numarul de identificare statal, nr. conturilor si parolele sau codurile conturilor, adresa si nr. de telefon.. Unele state includ si informatiile din dosarul medical la "informatii cu caracter personal".

In situatia unei brese de securitate, aproape toate reglementarile statale cu privire la securitatea datelor cer ca firma care a fost victima acestei brese sa notifice persoanele ale caror informatii le-au fost compromise. Unele reglementari impun inca o cerinta, ca firma sa-si notifice toti clientii despre bresa. In plus, unele state americane permit substituirea pentru notificare, in cazul in care firma afectata nu detine suficiente informatii pentru a contacta persoanele implicate.

Multe agentii opereaza la nivel national sau pastreaza date in diverse locatii de-a lungul tarii. Avand in vedere ca pastrarea datelor in format electronic devine din ce in ce mai costisitoare din punct de vedere financiar, un numar de furnizori vin ca si terta-parte, oferind posibilitatea de a pastra datele in format electronic in sistem centralizat , intr-un alt stat decat cel in care se afla birourile principale ale firmei. In acesta varianta, este important de stiut ce legi sunt specifice si se aplica in statul respectiv, astfel incat sa se poata dezvolta politicilile si procedurile adecvate situatiei.

Alte consecinte ale bresei in informatii

Chiar daca reglementarile federale si statale cu privire la securitatea datelor ofera avantaje pentru o firma care-si implementeaza un sistem de securitate, orice firma trebuie sa-si concentreze atentia si asupra consecintelor rezultate din producerea bresei, adica potentialele pagube. Bresele in bazele de date sunt desea subiectul articolelor de prima pagina, iar incapacitatea unei agentii de colectare debite de a se ocupa de o asemenea situatie, va produce nu doar probleme legale, ci si probleme legate de reputatie. Ca parte a acceptarii si intelegerii noii culturi este si recunoasterea faptului ca securitatea datelor joaca un rol esential in succesul industriei, incepand de la marketing si pana la declaratiile de conformitate.

Protejarea informatiilor sub incidenta Codului etic aplicabil agentiilor de colectare debite

Dezvoltarea unui program de securitate a datelor care sa indeplineasca cerintele Codului etic al ACA depinde de 3 factori esentiali:

  • 1. Programul de securitate a datelor trebuie sa fie rezonabil, in sensul de a fi adecvat dimensiunilor companiei-membre, complexitatea si operatiunile contribuind la crearea programului. Telul este acela de a implementa un program care pune in echilibru 2 aspecte : securitatea si riscurile, fara a sacrifice in mod nejustificat potentialul de profit. Programele de securitate variaza de la companie la companie.
  • 2. Programul trebuie sa respecte criteriul confidentialitatii, al integritatii si disponibilitatii. Desi cele 3 elemente sunt legate, trebuie sa existe comenzi particulare in sistem pentru fiecare dintre acestea. De exemplu, stabilirea procedurilor de securizare a locatiei de depozitare a informatiilor tine de integritate, darn u se refera si la confidentialitate daca informatiile nu sunt criptate –aspect ce tine in mod clar de confidentialitate.
  • 3. Programul trebuie sa protejeze informatiile adica datele personale ale consumatorului. Desi Codul etic nu defineste "informatiile consumatorului", asemenea informatii cu siguranta ar cuprinde orice tip deinformatie care trebuie protejata de legile federale sau statale. In plus, membrii ar trebui sa aiba o politica tip "mai degraba mai mult decat mai putin" atunci cand decide ce informatii trebuie protejate.

Companiile ar trebui sa raspunda mai multor intrebari cu privire la securitatea datelor; inainte sa faca pasul urmator si sa implementeze un plan complet, inclusiv sa verifice daca o companie:

  • - a acceptat faptul ca respectarea 100% a unor reguli nu va garanta o securizare perfecta, in proportie de 100%
  • - a constientizat consecintele directe si indirecte ale neintocmirii unui program de securitate a datelor
  • - a identificat toate tipurile de informatii personale utilizate de companie
  • - a facut o coordonare a departamentului IT cu cel de colectare, astfel incat sa discute impreuna optiunile cu privire la securitate
  • - a verificat si updatat in mod frecvent programul de securitate
  • - a explicat continutul programului de securitate furnizorilor de service
  • - a explicat in mod corespunzator tuturor angajatilor modul de utilizare si functionare a programului
  • - a stabilit clar cine are acces la un anumit tip de informatii

Asemanator Codului etic al ACA, si Sistemul profesional ACA de management al practicilor din domeniu (PPMS) incorporeaza importanta protejarii informatiilor prin intermediul sistemului de management. In timp ce cele 17 elemente curente se refera la securitatea datelor, un al 18-lea se adauga acum, acesta referindu-se in special la dezvoltarea si implementarea comenzilor de securitate si integritate a datelor.

Acest nou element incorporeaza multe din coordonatele ce fac parte actualmente din Declaratia standardelor de auditare (SAS) nr. 70, un standad de auditare dezvoltat de Institutul American al contabililor publici autorizati. SAS 70 revizuieste anumite aspecte, inclusiv cele referitoare la tehnologia si securitatea informatilor. Desi un audit SAS 70 este mai complet decat elemental nr.18, PPMS recunoaste nevoia de schimbare a modului de gandire din industria colectarii cu privire la securitatea datelor prin incorporarea politicilor si procedurilor de securitate si integritate a datelor in sistemul de management al unei companii.

David Cherner a fost consultant la acest material si este director ACA pe probleme legale si legislative ale afacerilor guvernametale interne.