Leis de notificação de violação de dados:como produzir uma resposta confiável
Com o número de violações de dados relatadas aumentando continuamente a cada ano, eles estão nos noticiários com tanta frequência que é difícil mantê-los todos corretos. Em 2017, a Equifax sofreu uma violação massiva e quase 150 milhões de registros de clientes (representando quase metade da população dos EUA) foram roubados. Em 2018, a Marriott International sofreu uma violação em que centenas de milhões de registros de clientes - incluindo informações pessoais, números de cartão de crédito e até mesmo números de passaporte - foram comprometidos.
As violações de dados afetam todos os tipos de organizações - grandes e pequenas, populares e pouco conhecidas. Embora as violações de grandes empresas cheguem ao noticiário, raramente se ouve falar de empresas menores, que costumam ser vulneráveis e podem se ver na mira dos cibercriminosos. A maioria envolve algum tipo de invasão, como ataques de phishing ou malware, em que um invasor obtém acesso a informações protegidas ou privadas.
Leis de notificação de violação de dados - é complicado
Se sua empresa de manufatura sofrer uma violação, o que você fará? Você deve notificar a aplicação da lei imediatamente? Notificar os clientes? Há mais alguém para informar? Quanto tempo você tem?
As respostas são complicadas. Embora não existam leis federais abrangentes, cada estado e território tem sua própria lei de notificação de violação de dados. Essas leis exigem que qualquer pessoa que sofra, ou mesmo suspeite de uma violação, notifique os clientes de qualquer coisa que envolva informações de identificação pessoal. As leis também exigem a notificação das autoridades policiais e a adoção de medidas específicas para remediar a situação. Mas as leis estaduais variam consideravelmente no que diz respeito aos tipos de informações cobertas, prazos de notificações e padrões de relatórios. Quem deve cumprir e até mesmo o que constitui dados pessoais varia de estado para estado. Para aumentar a complexidade, os requisitos também estão mudando, com alguns estados atualizando recentemente suas leis.
Quanto tempo eu tenho para relatar uma violação de dados?
A maioria das leis de notificação de dados exige que as empresas notifiquem os clientes sem atrasos injustificados. O período de tempo varia de acordo com o estado e o setor da indústria. Ao lidar com uma violação de dados, os fabricantes têm responsabilidades concorrentes - para com sua empresa, para outros na indústria, para os clientes e para a aplicação da lei. Existem até mesmo circunstâncias em que a aplicação da lei está investigando uma violação e deve ser temporariamente ocultada.
Prepare-se para violações de dados antes que elas aconteçam
Trate os planos de notificação de violação de dados como faria com qualquer outro plano de desastre - não espere! Como não há uma resposta padrão única para uma violação de dados, os fabricantes dos EUA devem entender as leis estaduais e federais específicas que se aplicam a eles. Os fabricantes devem considerar as leis em todos os estados onde conduzem negócios.
Felizmente, existem vários recursos excelentes aos quais os fabricantes podem recorrer para obter alguma clareza. Várias organizações resumem as leis estaduais de violação de dados, incluindo a Conferência Nacional de Legislaturas Estaduais, Governança de TI e Perkins Coie.
Para garantir que sua empresa de manufatura esteja em conformidade com as leis de proteção de dados, você deve estar ciente dos regulamentos atuais para seu estado e setor. Uma violação de dados sempre será um evento estressante. A consciência de suas obrigações e um plano em vigor podem aliviar um pouco o estresse - e ajudá-lo a evitar multas pesadas. Aqui estão algumas dicas:
- Identifique as leis estaduais e do setor que cobrem sua empresa
- Documente os requisitos de notificação de violação de dados que afetam sua empresa, junto com o (s) processo (s) para atender a esses requisitos no pior cenário possível
- Crie uma política em torno dos requisitos de notificação de violação que afetam sua empresa
- Se houver regulamentos sobrepostos, use o mais rigoroso para a política de sua empresa
- Crie rascunhos de cartas de notificação e e-mails com antecedência
- Crie uma estratégia de comunicação clara para violações de dados e transmita-a aos departamentos jurídico e de relações públicas da sua empresa com antecedência, se necessário
A Rede Nacional MEP está pronta para ajudá-lo
Para obter ajuda para entender as leis de notificação de violação de dados do seu estado e outras questões de segurança cibernética, você pode entrar em contato com um dos 51 Centros MEP, localizados em todos os 50 estados e em Porto Rico, que fazem parte da Rede Nacional MEP TM .
Apresentando o banco de dados de força de trabalho MEP
Fabricante aeroespacial e de defesa obtém $ 450.000 em novas vendas devido ao aumento da capacidade
Tecnologia industrial
- Como proteger a tecnologia em nuvem?
- Como se tornar um campeão digital em manufatura
- Como os dados estão habilitando a cadeia de suprimentos do futuro
- Como Criar uma Estratégia de Business Intelligence de Sucesso
- Como tornar os dados da cadeia de suprimentos confiáveis
- Como a tecnologia Blockchain vai melhorar a saúde móvel
- Como os fabricantes podem aumentar a agilidade em um mundo pós-pandêmico
- Como a IA lida com o problema de dados ‘sujos’
- Metrologia remota:veja como coletar dados críticos de fabricação
- O que é CEP:como os fabricantes estabilizam a produção de usinagem