MAdministración

CUMPLIMIENTO DE DATOS: Normas de cumplimiento para organizaciones

CUMPLIMIENTO DE DATOS
Crédito de la imagen: MessagingArchitects
Índice del contenido Esconder
  1. ¿Qué es el cumplimiento de datos?
  2. ¿Cuáles son los 3 estados de cumplimiento de datos?
  3. Regulaciones y soluciones de cumplimiento de datos
    1. #1. HIPAA
    2. #2. PCI DSS
    3. #3. RGPD
    4. #4. CCPA
    5. #5. medias
  4. Los beneficios del cumplimiento de datos para las organizaciones
  5. ¿Cómo se mantiene el cumplimiento de los datos?
    1. #1. Mantener registros precisos de las medidas de seguridad de los datos y los procedimientos de auditoría. 
    2. #2. Emplear Medida CCF. 
    3. #3. Asegúrese de que sus precauciones de privacidad de datos estén actualizadas.
    4. #4. Designar un oficial de seguridad de datos y estándares de cumplimiento.
  6. ¿Cuál es el papel de un oficial de cumplimiento de datos?
  7. Resumen
  8. Artículos Relacionados
  9. Referencia

En una de nuestras publicaciones más recientes, discutimos la importancia de la privacidad de los datos y las mejores prácticas que las organizaciones deben emplear para garantizar que la información confidencial se mantenga segura y protegida. También discutimos los principios y regulaciones que rigen la privacidad de los datos. Aquí, vamos a discutir el cumplimiento de datos. El cumplimiento de datos es la práctica de garantizar que las entidades sigan las regulaciones para garantizar que los datos confidenciales que poseen se organicen, almacenen y administren para protegerlos contra pérdidas, corrupción, robo y uso indebido.

Siga leyendo para conocer las normas, soluciones y estándares de cumplimiento de datos.

Lea también: PRIVACIDAD DE DATOS: Importancia y mejores prácticas para las organizaciones

¿Qué es el cumplimiento de datos?

Como se dijo anteriormente, el cumplimiento de datos se refiere a las regulaciones y estándares que una empresa debe seguir para proteger los activos digitales confidenciales a su disposición (por lo general, información de identificación personal e información financiera) contra pérdida, robo y uso indebido. Estas regulaciones toman varias formas. Especifican qué datos deben protegerse, qué prácticas son aceptables y las sanciones por no seguir los estándares.

Aunque el cumplimiento de los datos y la seguridad de los datos pueden sonar similares, no son lo mismo. Si bien tanto el cumplimiento de datos como la seguridad de datos tienen como objetivo reducir y administrar los riesgos relacionados con la recopilación, el mantenimiento y el manejo de datos, el cumplimiento de datos simplemente garantiza que cumpla con el mínimo de obligaciones legales. La seguridad de los datos, por otro lado, abarca todos los procesos y la tecnología utilizados para proteger los datos confidenciales, como los firewalls, el cifrado y los protocolos de protección con contraseña.

¿Cuáles son los 3 estados de cumplimiento de datos?

Ellos son:

  • datos de descanso
  • Datos sobre el movimiento
  • datos de uso

Regulaciones y soluciones de cumplimiento de datos

#1. HIPAA

La Ley de Responsabilidad y Portabilidad de Seguros Médicos de 1996 especifica cómo las entidades en los Estados Unidos en posesión de los datos médicos y de atención médica de las personas deben mantener la seguridad y confidencialidad de estos registros.

Teniendo en cuenta que estos son algunos de los registros más confidenciales, la sanción por no conservarlos puede ser grave para la organización. Ha habido casos en los que una corporación se vio obligada a pagar millones de dólares. Por ejemplo, en 2018, cierta compañía de seguros acordó pagar una multa de $16 millones luego de que un intento de piratería expusiera la información de salud de más de 79 millones de clientes.

Además, HIPAA requiere que todos los registros de salud electrónicos sean accesibles solo para aquellos con razones legítimas, por lo que el cifrado y las fuertes restricciones de acceso son esenciales. Las reglas se aplican no solo a los registros dentro de la base de datos, sino también a los que se comparten, por lo que se deben tomar medidas para garantizar que las acciones, como los correos electrónicos y las transferencias de archivos, se controlen, protejan y gestionen minuciosamente.

#2. PCI DSS

El PCI-DSS es el segundo en la lista de soluciones de cumplimiento de datos. El Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) es un aspecto importante de cualquier proceso de cumplimiento para las organizaciones que se ocupan de la información financiera de los consumidores, ya que establece regulaciones sobre cómo las corporaciones administran y protegen los datos de los titulares de tarjetas, como los números de tarjetas de crédito.

A diferencia de GDPR, PCI DSS es un estándar de la industria en lugar de una regulación gubernamental. Sin embargo, esto no disminuye su importancia, ya que cualquier empresa que viole sus estándares de cumplimiento de datos puede enfrentarse a multas severas o incluso a que se rescindan sus relaciones con bancos o procesadores de pagos, lo que dificulta enormemente que las empresas acepten pagos con tarjeta.

Incluso si una empresa utiliza servicios de terceros para procesar pagos con tarjeta, como lo hacen muchas, sigue siendo obligación de la empresa garantizar la seguridad de cualquier información de tarjeta de crédito o débito que recopile, transmita o conserve.

Los procedimientos específicos que deben tomar las organizaciones variarán según la cantidad de transacciones que procesen (aquellas con bases de clientes más grandes se enfrentarán a regulaciones de cumplimiento de datos considerablemente más estrictas), pero en última instancia, los estándares PCI DSS requieren que las empresas garanticen un nivel particular de seguridad.

Vale la pena mencionar que el Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago describe una serie de medidas que las empresas deben tomar para cumplir con estos estándares. Estas medidas van desde instalar un firewall suficiente hasta probar periódicamente los sistemas y procesos para proteger los datos de los titulares de tarjetas. Obviamente, no puede haber excusa para no tener un plan claro para lograr estos estándares.

#3. RGPD

GDPR es una de las regulaciones de datos más recientes y completas. Desde su promulgación el 25 de mayo de 2018, GDPR ha establecido una serie de soluciones relacionadas con el derecho de las personas a saber qué entidades de datos tienen sobre ellos, cómo las empresas deben procesar estos datos y leyes más estrictas para informar violaciones de datos.

Curiosamente, esta normativa no solo se aplica a las empresas establecidas en Europa. Si realiza negocios con cualquier individuo sujeto a la jurisdicción de la UE, debe cumplir con las reglas de GDPR. Si bien la ley contiene muchos requisitos, la mayoría de ellos pueden reducirse a tres principios básicos: obtener el consentimiento, reducir la cantidad de datos retenidos y proteger los derechos de los interesados.

Aunque pueda parecer un paso menor, lo primero que debe hacer toda empresa para garantizar el cumplimiento de la legislación y las normas del RGPD es designar a alguien para que supervise sus actividades. Esta persona, conocida como data oficial de cumplimiento, se requiere en ciertas empresas que usan grandes cantidades de datos, y su deber es supervisar la estrategia y la implementación de protección de datos para garantizar que se cumplan los requisitos y las regulaciones de GDPR.

#4. CCPA

Esta es una de las protecciones al consumidor más estrictas que encontrarán muchas empresas con sede en los EE. UU. Ha sido denominado como el RGPD de California, y aunque no es tan estricto en áreas como los requisitos de informes como el RGPD, en cierto modo es mucho más que su contraparte europea.

Por ejemplo, incluye cualquier información a partir de la cual se puedan extraer inferencias para crear un perfil de cliente que refleje las “preferencias, características, tendencias psicológicas, predisposiciones, comportamiento, actitudes, inteligencia, habilidades y aptitudes” de una persona en su definición de datos privados.

No se requerirá el cumplimiento de CCPA para todas las empresas. Solo se aplica a empresas con ingresos brutos anuales de más de $25 millones; aquellos que adquieren, reciben o venden la información personal de 50,000 o más personas, hogares o dispositivos; o empresas que generan el 50 % o más de sus ingresos anuales mediante la venta de información personal de los clientes.

Si bien esto excluye a muchas empresas más pequeñas, significa que prácticamente cualquier empresa mediana o grande que trabaje con clientes en California estará cubierta. Esto puede hacer que sea más relevante para muchas empresas de EE. UU. que el RGPD, porque si bien algunas organizaciones optaron por dejar de hacer negocios en Europa por completo para evitar esta regulación, puede ser mucho más difícil para ellas evitar la CCPA, porque no tienen que ser con sede en California, o incluso tener una presencia física en el estado, para estar sujeto a sus disposiciones.

#5. medias

La Ley Sarbanes-Oxley de 2002 (SOX) se promulgó para evitar que se repitieran los escándalos contables corporativos que envolvieron a Enron, mundocom y otros. Como resultado, debido a que se enfoca en los informes financieros en lugar de la protección de datos, los profesionales de TI pueden considerarlo menos vital que algunos de los otros estándares que deben cumplir. Por el contrario, este no es el caso. Los departamentos de TI tienen deberes distintos que desempeñar para garantizar que se satisfagan estas necesidades. 

Para comenzar, deben cumplir con el CEO y el CFO asegurándose de recibir informes financieros en tiempo real sobre la organización. Esto implica implementar mecanismos para automatizar la generación de informes y configurar alertas que se activen cuando ocurran eventos críticos que ameritan un examen más detenido.

Además, el personal de TI también debe garantizar que todos los registros se almacenen adecuadamente. Como resultado, las copias de seguridad efectivas y oportunas de la información crítica y los sistemas de gestión de documentos son fundamentales para mantener el cumplimiento de estas reglas. Para ser efectivos, también deben garantizar una visibilidad completa de todos los aspectos de los activos digitales de su empresa. Los mensajes instantáneos, los correos electrónicos, las llamadas telefónicas grabadas y las transacciones financieras deben conservarse durante al menos cinco años en caso de que los auditores los deseen, por lo tanto, deben existir sistemas de gestión adecuados.

Finalmente, los profesionales de TI deben asegurarse de que el mantenimiento de registros y las auditorías se realicen de la mejor manera posible al cumplir con SOX. Las herramientas para automatizar actividades, administrar y monitorear el flujo de datos y archivar y recuperar información rápidamente jugarán un papel importante en esto.

Los beneficios del cumplimiento de datos para las organizaciones

Cuando su organización prioriza la seguridad de los datos y el cumplimiento, debe esperar ver recompensas financieras. Por un lado, podrá asegurarles a los clientes que pueden dejarle sus datos. Esto va un largo camino para garantizar retención de clientes y una imagen positiva

Además, hacer el esfuerzo de diseñar y registrar protocolos sobre cómo su empresa gestiona la información confidencial, protege la privacidad personal y responde a las infracciones de seguridad le permite a su organización permanecer resistente y adaptable cuando su entorno cambia y ocurre lo inesperado.  

Finalmente, la implementación exhaustiva de estándares de cumplimiento de seguridad ayudará a su empresa a reducir los riesgos de daños financieros y de reputación causados ​​por violaciones de datos.

Si bien es importante demostrarles a los auditores que su empresa cumple con ciertos requisitos (p. ej., SOX, HIPAA, CCPA), debe recordar que mantener una política de cumplimiento de la protección de datos es en realidad para su beneficio. Un enfoque sistemático del cumplimiento puede ayudarlo a reducir la probabilidad de que se produzcan incidentes que expongan los datos de sus clientes, la propiedad intelectual corporativa y las operaciones comerciales. 

¿Cómo se mantiene el cumplimiento de los datos?

Como propietario de una empresa, siga estas medidas de control para mantener el cumplimiento de las normas y reglamentos de seguridad de datos:

#1. Mantener registros precisos de las medidas de seguridad de los datos y los procedimientos de auditoría. 

Por las siguientes razones, es fundamental conservar un registro de todos sus procedimientos de auditoría y protección de datos: 

Para empezar, este registro garantizará que ninguna persona tenga un conocimiento detallado de las acciones de cumplimiento de su empresa. Sin este registro, su empresa puede estar en la oscuridad y una auditoría puede revelar debilidades evidentes en el programa de cumplimiento y seguridad de datos.

Además, este registro de actividad de cumplimiento demostrará los esfuerzos de buena fe de su organización para cumplir con cada conjunto de requisitos. Muchas reglamentaciones tienen excepciones de buena fe que permiten a las autoridades reducir las sanciones para las organizaciones que cuentan con sólidos procesos de cumplimiento o se esfuerzan activamente por desarrollar uno.

Por último, para aprobar una auditoría, debe demostrarle al auditor que se toma en serio los estándares de seguridad de datos. Los auditores quieren registros extensos para determinar si los procedimientos que tiene implementados son adecuados para proteger los datos que está almacenando o procesando. Trabajar con los requisitos de los auditores en mente puede ayudarlo a mantenerse enfocado en esos elementos clave.

#2. Emplear Medida CCF. 

Un marco de control común (CCF) es un conjunto completo de criterios de control derivados de una amplia gama de estándares de privacidad y seguridad de datos de la industria. El uso de un CCF le permite a una empresa cumplir con los estándares de seguridad, privacidad y otros procedimientos de cumplimiento al tiempo que limita el riesgo de ser "sobrecontrolado". 

#3. Asegúrese de que sus precauciones de privacidad de datos estén actualizadas.

Estos estándares dan prioridad a la seguridad de los datos. Por lo tanto, además de asegurarse de contar con un sólido procedimiento de cumplimiento de seguridad, asegúrese de contar también con soluciones actuales de cumplimiento de datos. Estas soluciones de cumplimiento de datos son cruciales para reducir la probabilidad de una violación de datos en su organización.

Si las medidas de gestión y protección de datos de su empresa son débiles, será considerablemente más difícil cumplir con los estándares de cumplimiento y seguridad de datos diseñados teniendo en cuenta las tecnologías actuales. 

#4. Designar un oficial de seguridad de datos y estándares de cumplimiento.

Con los factores anteriores en mente, es posible que se pregunte quién está a cargo del cumplimiento de los datos. Su proceso de cumplimiento y seguridad de datos, como cualquier otro, requiere un único punto de contacto: un oficial que maneje todas las partes móviles. Esta persona debe tener acceso directo a los ejecutivos y la credibilidad y el poder para persuadir a otros en toda la organización para satisfacer los estándares de cumplimiento y seguridad de datos.

¿Cuál es el papel de un oficial de cumplimiento de datos?

La principal responsabilidad del oficial de cumplimiento de datos es garantizar que su organización procese los datos personales de sus empleados, clientes, proveedores o cualquier otra persona de acuerdo con los requisitos de protección de datos aplicables.

Resumen

Para evitar multas o daños a su reputación, las organizaciones deben contar con un sólido programa de cumplimiento y una política de protección de datos. De lo contrario, corren el riesgo de perder clientes o, peor aún, pagar una multa enorme.

  1. SISTEMAS DE GESTIÓN DE CUMPLIMIENTO: definición, ejemplos y opciones de software
  2. MEJOR SOFTWARE DE GESTIÓN DE PÓLIZAS: Reseñas de 2023
  3. CUMPLIMIENTO DE RR. HH.: qué es, software, capacitación e importancia

Referencia

  • IPF

Peace es redactora de contenidos, estratega y editora senior y presta su talento a organizaciones como BusinessYield. Tiene experiencia en creación de contenido y liderazgo intelectual, con experiencia en la industria de B2B SaaS, agencias de marketing especializadas y entretenimiento. Con sede en Missisauga, Ontario, CA, tiene una Maestría en Comunicación Digital e Innovación en Periodismo de la Universidad de Waterloo. Cuando no está trabajando duro, le encanta viajar, leer y comer carbohidratos. Le encanta escribir artículos de negocios basados ​​en su rica experiencia financiera y de marketing.

Deje un comentario

Su dirección de correo electrónico no será publicada. Las areas obligatorias están marcadas como requeridas *

- Artículo anterior

Más de 21 programas de afiliados que pagan más en 2023 (actualizado)

Artículo siguiente -

TOP 30+ COTIZACIONES DE SERVICIO AL CLIENTE 2023

También te puede interesar