Cómo Proteger La Información Personal

Cómo Proteger La Información Personal: Una Guía para Negocios[In English]

La mayoría de las compañías mantiene un registro que contiene información personal delicada — nombres, númerosde Seguro Social, datos de tarjeta de crédito o de otros datos que es utilizada para identificar a sus clientes oempleados.

Frecuentemente, es necesario contar con esta información para completar órdenes de compra, liquidar salarios odesempeñar otras funciones propias de la operación del negocio. Pero si los datos delicados caen en las manosequivocadas puede resultar en fraude, robo de identidad o algún otro tipo de perjuicio similar. Por lo tanto, debido alcosto que acarrea una violación del sistema de datos — la pérdida de confianza de sus clientes y quizás hasta tenerque asumir los costos de su defensa en una demanda judicial — proteger la información personal registrada por sucompañía es simplemente una cuestión de buen sentido comercial.

Algunos negocios pueden contar con personal capacitado para implementar un plan adecuado. Otros tal vez puedanrecurrir a un contratista especializado. Independientemente del volumen — o naturaleza — de su negocio, losprincipios detallados en el presente folleto le serán de gran ayuda para mantener la seguridad de los datos.

Un plan de seguridad de datos personales sólido se basa en 5 principios clave:

1. Conozca su inventario.

Sepa cuál es la información personal que usted posee en sus archivos y computadoras.

2. Reduzca sus archivos.

Mantenga únicamente la información que necesita para manejar su negocio.

3. Cierre con llave.

Proteja la información que mantiene.

4. Elimine lo innecesario.

Deseche correctamente la información que ya no necesita.

5. Planifique con anticipación.

Elabore un plan para responder a las violaciones de seguridad.

Use las listas de verificación que se presentan en las siguientes páginas para ver si las prácticas de su compañíason las adecuadas — y para identificar dónde deben implementarse cambios. También puede ver un tutorialinteractivo en inglés en business.ftc.gov/privacy-and-security.

1. CONOZCA SU INVENTARIO. Sepa cuál es la información personal que tiene almacenadaen sus registros y computadoras.

Proteger la información comienza por evaluar el tipo de información que usted mantiene e identificar quién tieneacceso a la misma. El punto esencial a considerar en la evaluación de las vulnerabilidades de seguridad es entenderbien cómo la información ingresa, se procesa y sale de su negocio y quiénes tienen o podrían tener acceso a losdatos. Solamente después de identificar ese proceso podrá determinar los mejores mecanismos para proteger lainformación.

CONTROL DE SEGURIDAD

Pregunta:

¿Existe alguna ley que disponga que mi compañía debe mantener protegida lainformación confidencial?

Respuesta:

Sí. Cuando haga el inventario de los datos que guarda en sus archivos también haga un recuento de las leyes aplicables. Algunos estatutos, tales como las leyes llamadas Gramm-Leach-Bliley, Fair Credit Reporting y la Ley de la Comisión Federal de Comercio (Federal Trade Comission Act) pueden disponer que usted tiene que proveer un nivel razonable de seguridad para proteger la información confidencial.

Para aprender más, visite business.ftc.gov/espanol.

• Para detectar dónde su compañía almacena los datos delicados, haga un inventario de todas las computadoras de escritorio (desktop) y portátiles (laptop), aparatos móviles, dispositivos de memoria flash, discos, computadoras en el hogar, copiadoras digitales y demás equipos. También haga un inventario de la información almacenada clasificándola por tipo y locación. Para realizar el inventario puede comenzar por sus archivos y sistemas de computación. Pero recuerde que su negocio recibe información personal de varias maneras — a través de sitios Web, contratistas, centros de llamadas y fuentes similares. ¿Qué sucede con la información almacenada en computadoras portátiles, en las computadoras hogareñas de sus empleados, dispositivos de memoria flash, copiadoras digitales y aparatos móviles? No se puede dar por terminado el inventario hasta tanto haya verificado cada uno de los lugares donde se pudiera haber almacenado información delicada.

• Localice la información personal registrada en su negocio hablando con el personal de ventas, tecnología, recursos humanos, contabilidad y con los proveedores de servicios externos. De esta manera podrá obtener un panorama completo de los siguientes temas:

o Quién envía información personal delicada a su negocio. ¿La recibe de parte de sus clientes? ¿De compañías de tarjeta de crédito? ¿De bancos u otras instituciones financieras? ¿De compañías de informes de crédito? ¿De solicitantes de empleo? ¿De otros negocios?

o Cómo recibe su negocio la información personal. ¿Llega a su negocio a través de un sitio Web? ¿Por e-mail? ¿Por correo postal? ¿Es transmitida a través de las cajas registradoras de sus tiendas?

o Qué tipo de información recolecta en cada uno de los puntos de entrada. ¿La información de las tarjetas de crédito se obtiene en línea? ¿La oficina de contabilidad y administración mantiene un registro de las cuentas bancarias de sus clientes?

o Dónde mantiene archivada la información que recolecta en cada punto de entrada. ¿En una base de datos computarizada central? ¿En computadoras portátiles individuales? ¿En teléfonos inteligentes, computadoras portátiles tipo tablet o en otros aparatos móviles de sus empleados? ¿En discos o cintas? ¿En ficheros? ¿En las sucursales de su negocio? ¿Sus empleados tienen archivos en sus casas?

o Quién tiene — o podría tener — acceso a la información. ¿Quiénes son los empleados autorizados para acceder a la información? ¿Es necesario que tengan acceso a la información? ¿Alguna otra persona podría obtener autorización para acceder a la información? ¿Qué sucede con los proveedores que le suministran y actualizan los programas software que se utilizan para procesar las transacciones de tarjeta de crédito? ¿Los contratistas que operan su centro de atención de llamadas?

• Cada tipo

...