Cómo Proteger La Información Personal

Cómo Proteger La Información Personal: Una Guía para Negocios[In English]

La mayoría de las compañías mantiene un registro que contiene información personal delicada — nombres, númerosde Seguro Social, datos de tarjeta de crédito o de otros datos que es utilizada para identificar a sus clientes oempleados.

Frecuentemente, es necesario contar con esta información para completar órdenes de compra, liquidar salarios odesempeñar otras funciones propias de la operación del negocio. Pero si los datos delicados caen en las manosequivocadas puede resultar en fraude, robo de identidad o algún otro tipo de perjuicio similar. Por lo tanto, debido alcosto que acarrea una violación del sistema de datos — la pérdida de confianza de sus clientes y quizás hasta tenerque asumir los costos de su defensa en una demanda judicial — proteger la información personal registrada por sucompañía es simplemente una cuestión de buen sentido comercial.

Algunos negocios pueden contar con personal capacitado para implementar un plan adecuado. Otros tal vez puedanrecurrir a un contratista especializado. Independientemente del volumen — o naturaleza — de su negocio, losprincipios detallados en el presente folleto le serán de gran ayuda para mantener la seguridad de los datos.

Un plan de seguridad de datos personales sólido se basa en 5 principios clave:

1. Conozca su inventario.

Sepa cuál es la información personal que usted posee en sus archivos y computadoras.

2. Reduzca sus archivos.

Mantenga únicamente la información que necesita para manejar su negocio.

3. Cierre con llave.

Proteja la información que mantiene.

4. Elimine lo innecesario.

Deseche correctamente la información que ya no necesita.

5. Planifique con anticipación.

Elabore un plan para responder a las violaciones de seguridad.

Use las listas de verificación que se presentan en las siguientes páginas para ver si las prácticas de su compañíason las adecuadas — y para identificar dónde deben implementarse cambios. También puede ver un tutorialinteractivo en inglés en business.ftc.gov/privacy-and-security.

1. CONOZCA SU INVENTARIO. Sepa cuál es la información personal que tiene almacenadaen sus registros y computadoras.

Proteger la información comienza por evaluar el tipo de información que usted mantiene e identificar quién tieneacceso a la misma. El punto esencial a considerar en la evaluación de las vulnerabilidades de seguridad es entenderbien cómo la información ingresa, se procesa y sale de su negocio y quiénes tienen o podrían tener acceso a losdatos. Solamente después de identificar ese proceso podrá determinar los mejores mecanismos para proteger lainformación.

CONTROL DE SEGURIDAD

Pregunta:

¿Existe alguna ley que disponga que mi compañía debe mantener protegida lainformación confidencial?

Respuesta:

Sí. Cuando haga el inventario de los datos que guarda en sus archivos también haga un recuento de las leyes aplicables. Algunos estatutos, tales como las leyes llamadas Gramm-Leach-Bliley, Fair Credit Reporting y la Ley de la Comisión Federal de Comercio (Federal Trade Comission Act) pueden disponer que usted tiene que proveer un nivel razonable de seguridad para proteger la información confidencial.

Para aprender más, visite business.ftc.gov/espanol.

• Para detectar dónde su compañía almacena los datos delicados, haga un inventario de todas las computadoras de escritorio (desktop) y portátiles (laptop), aparatos móviles, dispositivos de memoria flash, discos, computadoras en el hogar, copiadoras digitales y demás equipos. También haga un inventario de la información almacenada clasificándola por tipo y locación. Para realizar el inventario puede comenzar por sus archivos y sistemas de computación. Pero recuerde que su negocio recibe información personal de varias maneras — a través de sitios Web, contratistas, centros de llamadas y fuentes similares. ¿Qué sucede con la información almacenada en computadoras portátiles, en las computadoras hogareñas de sus empleados, dispositivos de memoria flash, copiadoras digitales y aparatos móviles? No se puede dar por terminado el inventario hasta tanto haya verificado cada uno de los lugares donde se pudiera haber almacenado información delicada.

• Localice la información personal registrada en su negocio hablando con el personal de ventas, tecnología, recursos humanos, contabilidad y con los proveedores de servicios externos. De esta manera podrá obtener un panorama completo de los siguientes temas:

o Quién envía información personal delicada a su negocio. ¿La recibe de parte de sus clientes? ¿De compañías de tarjeta de crédito? ¿De bancos u otras instituciones financieras? ¿De compañías de informes de crédito? ¿De solicitantes de empleo? ¿De otros negocios?

o Cómo recibe su negocio la información personal. ¿Llega a su negocio a través de un sitio Web? ¿Por e-mail? ¿Por correo postal? ¿Es transmitida a través de las cajas registradoras de sus tiendas?

o Qué tipo de información recolecta en cada uno de los puntos de entrada. ¿La información de las tarjetas de crédito se obtiene en línea? ¿La oficina de contabilidad y administración mantiene un registro de las cuentas bancarias de sus clientes?

o Dónde mantiene archivada la información que recolecta en cada punto de entrada. ¿En una base de datos computarizada central? ¿En computadoras portátiles individuales? ¿En teléfonos inteligentes, computadoras portátiles tipo tablet o en otros aparatos móviles de sus empleados? ¿En discos o cintas? ¿En ficheros? ¿En las sucursales de su negocio? ¿Sus empleados tienen archivos en sus casas?

o Quién tiene — o podría tener — acceso a la información. ¿Quiénes son los empleados autorizados para acceder a la información? ¿Es necesario que tengan acceso a la información? ¿Alguna otra persona podría obtener autorización para acceder a la información? ¿Qué sucede con los proveedores que le suministran y actualizan los programas software que se utilizan para procesar las transacciones de tarjeta de crédito? ¿Los contratistas que operan su centro de atención de llamadas?

• Cada tipo de información presenta diferentes tipos de riesgos. Preste particular atención a registros de información de identificación personal: números de Seguro Social, información de tarjetas de crédito y financiera en general y otros datos confidenciales. Estos son los datos más comúnmente utilizados por los ladrones para cometer fraude o incurrir en robo de identidad.

2. REDUZCA SUS ARCHIVOS Mantenga solamente la información que necesita para manejar su negocio.

Si no tiene una necesidad legítima para mantener información delicada no la guarde. De hecho, lo mejor es no recolectarla. Si necesita legítimamente la información para operar su negocio manténgala archivada solamente el tiempo que la necesite.

• Utilice los números de Seguro Social solamente para fines legales y obligatorios — como por ejemplo para reportar los impuestos de sus empleados. No use innecesariamente los números de Seguro Social — por ejemplo para identificar a los empleados o clientes o sencillamente porque siempre los utilizó para ese fin.

• La ley establece que usted debe abreviar — o truncar — la información de los datos de las tarjetas de crédito o débito de los recibos que les entrega a los clientes. Usted solamente puede imprimir en los recibos los últimos cinco dígitos del número de la tarjeta y debe eliminar la fecha de expiración.

• No conserve la información de las tarjetas de crédito de los clientes a menos que sea realmente necesario. Por ejemplo, no retenga el número de cuenta y fecha de expiración a menos que tenga una necesidad comercial. Al mantener estos datos en sus registros — o al conservarlos por más tiempo que lo necesario — está aumentando el riesgo de que la información pueda ser utilizada para cometer fraude o robo de identidad.

• Revise las configuraciones del programa software que lee los números de las tarjetas de crédito de sus clientes y que procesa las transacciones. Algunas veces este está configurado por el fabricante para que la información se guarde permanentemente. Para estar seguro de que no está guardando información innecesaria inadvertidamente, cambie la configuración.

• Si debe mantener archivada la información por razones comerciales o legales, desarrolle normas escritas de retención de registros para identificar el tipo de información que debe conservarse, cómo resguardarla, el período de tiempo durante el que debe conservarse y como desecharla de manera segura cuando ya no la necesite.

CONTROL DE SEGURIDAD

Pregunta:

En mi negocio queremos tener la información correcta de nuestros clientes y para eso, creamos un archivo permanente en el que registramos todos los aspectos de sus transacciones, incluso la información contenida en las bandas magnéticas de las tarjetas de crédito. ¿Esto podría ser riesgoso para la seguridad de la información?

Respuesta:

Sí. Mantenga archivados los datos delicados en su sistema solamente mientras tenga una necesidad comercial legítima para guardar ésta información. Cuando ya no la necesite deséchela correctamente. Si no está archivada en su sistema, no podrá ser robada por hackers o intrusos.

3. CIERRE CON LLAVE. Proteja la información que mantiene.

¿Cuál es la mejor manera de proteger la delicada información personal identificable que necesita retener? Esto depende del tipo de información y la manera en

...