Guia para estabelecer a política de destruição de dados de sua empresa
Os rumores de violações ou vazamentos de dados podem aumentar a ansiedade da maioria dos executivos de empresas devido às consequências financeiras e jurídicas envolvidas. É fundamental ter uma política de destruição de dados estabelecida para a sua empresa, considerando que os avanços tecnológicos levaram a um aumento de agentes cibernéticos mal-intencionados.
De acordo com um relatório recente da IBM sobre a violação global de dados envolvendo 17 setores em 17 países e regiões, o custo médio estimado de uma violação de dados é de US$ 4,24 milhões. O custo médio é de US$ 9,05 milhões somente nos Estados Unidos - o mais caro, de longe. A conclusão é que a leniência com o manuseio dos dados da sua empresa custará mais do que o necessário para evitar que informações confidenciais caiam nas mãos de hackers mal-intencionados.
Felizmente, estabelecer uma política eficiente de destruição de dados é uma das abordagens mais baratas e eficazes para proteger sua empresa de ser comprometida. Você pode estar se perguntando: O que é uma política de destruição de dados e como ela ajuda a proteger os dados de uma empresa? Nosso guia responde a essas perguntas e discute outros tópicos que você pode querer conhecer para manter os dados da sua empresa seguros.
O que é destruição de dados?
A destruição de dados engloba todas as medidas que uma empresa emprega para eliminar dados confidenciais em dispositivos de armazenamento digital. Os dispositivos de armazenamento podem ser telefones, unidades de disco rígido, copiadoras, laptops, unidades de estado sólido (SSD), fitas e outros equipamentos eletrônicos que podem armazenar dados. Para as empresas, a destruição de dados vai além da simples exclusão de arquivos e pastas.
Quando você exclui um arquivo ou pasta, remove apenas o caminho que leva à sua localização no dispositivo de armazenamento. Embora não seja possível acessar facilmente os arquivos sem um software especializado, os arquivos excluídos permanecem nas unidades até que novos arquivos os substituam. Um indivíduo mais informado digitalmente pode rapidamente recuperar e usar indevidamente informações sobre sua empresa, clientes e funcionários.
Portanto, a destruição de dados deve ser exaustiva para evitar qualquer tipo de recuperação. Para garantir a permanência, as empresas geralmente empregam uma variedade de técnicas avançadas de destruição, como desmagnetização, limpeza de dados, substituição, trituração e destruição física da mídia de armazenamento.
Para esclarecer, a destruição de dados é diferente da sanitização de dados. Embora ambos os procedimentos envolvam o descarte adequado de dados confidenciais, a sanitização de dados tenta priorizar a reutilização do dispositivo de armazenamento de dados. Os dispositivos de armazenamento de mídia magnética favorecem a sanitização de dados para evitar a retenção de dados e, ao mesmo tempo, manter o dispositivo de armazenamento em condições de ser reutilizado.
Leis de destruição de dados
As políticas e a execução da destruição de dados são informadas, monitoradas de perto e aplicadas por lei em todas as empresas dos Estados Unidos. Por exemplo, a incineração de discos rígidos segue as diretrizes fornecidas pelo National Institute of Standards and Technology (NIST).
Na verdade, o procedimento de destruição da maioria dos setores americanos segue os padrões de higienização de mídia definidos pelo Departamento de Defesa. As empresas precisam estar cientes dos seguintes atos para permanecer dentro da estrutura legal.
- A Lei de Privacidade de 1974: Essa lei destaca a responsabilidade da empresa de proteger o direito à privacidade de seus clientes. Portanto, uma empresa é obrigada a garantir a privacidade das informações de seus clientes. A lei também abrange a responsabilidade dos órgãos governamentais de serem deliberados na proteção das informações privadas que lhes são confiadas, mesmo no processo de utilização dessas informações. A lei foi ampliada para abranger informações privadas como histórico médico, transações financeiras, histórico de emprego e dados biométricos.
- A Lei de Transações de Crédito Justas e Precisas de 2003 (FACTA): A FACTA reitera os detalhes da Lei de Privacidade, especialmente quando se trata de Informações Pessoais Identificáveis (PII). O Department of Homeland Security (DHS) define PII como "qualquer informação que permita que a identidade de um indivíduo seja direta ou indiretamente inferida, incluindo qualquer informação que esteja vinculada ou possa ser vinculada a esse indivíduo, independentemente de o indivíduo ser cidadão americano, residente permanente legal, visitante dos EUA, funcionário ou contratado do Departamento". A FACTA detalha como uma empresa ainda é responsável por manter as informações de seus clientes privadas e protegidas de mãos autorizadas. A empresa deve cumprir essa obrigação mesmo quando estiver descartando informações.
- Lei Gramm-Leach-Bliley (GLBA): Essa é a Lei de Modernização Financeira aprovada em 1999. Ela obriga as empresas (especialmente as financeiras) a informar seus clientes sobre como pretendem usar ou compartilhar suas informações financeiras privadas.
- A Lei da Previdência Social de 1934: Essa lei define as informações proibidas que as empresas nunca podem revelar a terceiros. As informações protegidas por essa lei começam com o número do Seguro Social do cliente. A punição pela violação dessas informações é válida independentemente de a empresa fornecer as informações propositalmente ou vazá-las por negligência.
Além disso, os estados têm leis que regem a destruição de dados. A Lei da Comissão Federal de Comércio (FTC) e a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) são leis mais recentes que protegem as informações de identificação pessoal das empresas e organizações.
O que é uma política de destruição de dados?
O avanço da tecnologia da informação afetou significativamente a forma como as empresas operam. As empresas, portanto, precisam estabelecer políticas ou procedimentos de segurança adequados para lidar com as informações de identificação pessoal (PII) dos clientes.
Uma política de destruição de dados é um protocolo que uma empresa estabelece para remover de forma completa e segura os dados de seus dispositivos de armazenamento. A ideia é evitar o uso indevido ou o acesso não autorizado a informações privadas devido à exclusão ineficiente. Uma política eficiente protege contra a retenção de dados de qualquer forma e garante a sanitização, o apagamento ou o descarte completo dos dados confidenciais.
Que tipos de dados precisam ser destruídos?
As empresas devem destruir os seguintes itens para proteger os dados dos clientes, de acordo com as leis de destruição de dados existentes:
- Cartões de identificação
- Extratos bancários
- Faturas de cartão de crédito
- Cheques anulados
- Contratos
- Orçamentos
- Relatórios internos
- Aplicativos
- Avaliações
- Lista de clientes
- Formulários de contato com o cliente
- Dispositivos de armazenamento da empresa aposentados
- Registros de funcionários
- Demonstrações financeiras
- Relatórios médicos
Razões pelas quais sua empresa precisa de uma política de destruição de dados
A adoção de uma abordagem proativa para proteger os dados de clientes e funcionários por meio da destruição eficiente de dados beneficia a empresa de várias maneiras.
Em primeiro lugar, uma política abrangente de destruição de dados protege sua empresa contra violações de dados e acesso não autorizado às informações da empresa. A estrutura fornece um padrão que orienta a destruição de diferentes tipos de dados de diferentes dispositivos, tornando o processo simples e completo.
Além disso, uma política de destruição de dados aumenta a confiança de seus clientes em você. Isso dá a eles tranquilidade para fazer transações com você, eliminando hesitações e objeções em seu processo de vendas.
Além disso, a criação de uma política para lidar com a destruição de dados protege sua empresa de violar negligentemente as leis locais ou federais.
Os componentes essenciais de uma política de destruição de dados
Toda política de destruição de dados deve começar com uma estrutura abrangente que defina funções e responsabilidades. A política de destruição de dados deve ser estruturada para refletir as necessidades e as circunstâncias de sua empresa. Vamos analisar alguns dos componentes essenciais a serem incluídos em sua política.
Declaração de política
É melhor começar a destruição de dados apresentando sua política ou declaração de política, o número da política e o título.
Sua declaração de política deve incluir:
- Histórico sobre a necessidade de uma política de prevenção de dados
- Introdução aos outros componentes da política
- Partes responsáveis pela criação da política
- Funções dos vários departamentos em relação à política
- Detalhes sobre quando a política entrará em vigor
- Diretrizes para a implementação da política de destruição de dados
- Padrões para medir os resultados da política
Finalidade
Em seguida, sua política de destruição de dados deve abordar o motivo pelo qual a empresa precisa criar uma. O objetivo deve esclarecer o histórico, a importância e as consequências associadas à destruição de dados. Seria melhor se você também tentasse enumerar os benefícios das políticas para as diferentes partes interessadas.
Escopo
O escopo deve detalhar a extensão e os limites da política. Ele ajuda a definir quais departamentos ou atividades serão afetados e como você espera que a política molde a empresa. Seria melhor se você também abordasse os departamentos, os funcionários e as operações que serão afetados pela política, incluindo suas funções e responsabilidades e as considerações feitas para eles.
Declarações de procedimento
A declaração de procedimento deve fornecer detalhes específicos dos protocolos a serem implementados no processo de destruição de dados.
Ele deve incluir o seguinte:
- Relacionamento entre todas as partes responsáveis no processo de destruição de dados
- Ferramentas e recursos que a empresa forneceu para a destruição de dados
- Aplicação passo a passo do procedimento envolvido na destruição
- Onde e como informar os detalhes das atividades de destruição de dados
Aplicação
Não basta criar e comunicar sua política de destruição de dados. Você precisa incluir um protocolo de responsabilidade para garantir que a política seja rigorosamente seguida. A aplicação da política deve começar com uma política de revisão e atualização.
Você deve incluir uma definição adequada para medir os resultados da política. Além disso, as consequências da não conformidade com a política devem ser claramente indicadas, juntamente com um sistema de monitoramento e avaliação.
Garanta que os dados de sua empresa estejam seguros com Phonecheck
Uma política de destruição de dados protege os dados de sua empresa contra acesso não autorizado ou violação por agentes mal-intencionados. Isso contribui para uma imagem positiva da marca e para a confiança dos clientes. No entanto, a maioria das empresas não sabe como destruir dados de forma eficaz. É aí que entra o Phonecheck entra em cena.
É possível evitar problemas ocultos dispendiosos adquirindo um relatório de histórico no site Phonecheck por aproximadamente o custo de uma xícara de café. Nosso software empresarial padrão do setor garante que os dados confidenciais da empresa sejam apagados de vários dispositivos de armazenamento antes da venda ou do descarte. Assim, você poderá conduzir seus negócios com confiança, sabendo que suas informações confidenciais estão seguras.