Alors que les entreprises recherchent une plus grande façons de trouver des économies de coûts, l'attrait des contrats de travail bon marché continue de croître à l'étranger. L'externalisation à l'étranger est de plus en plus commune dans le secteur bancaire, les services financiers, la vente au détail, des assurances et des télécommunications. Mais lorsque les entreprises choisissent d'externaliser le traitement des informations personnelles sensibles, sont-ils de perdre le contrôle de la sécurité ainsi?
Sécurisation des données à caractère personnel au sein de nos propres frontières semble être assez difficile. Le 7 Février 2006, l'un des plus grands hôpitaux du Massachusetts, Brigham and Women's Hospital, a déclaré qu'il tort par télécopieur les informations sensibles des patients confidentielles à un numéro de télécopieur incorrecte et mène une enquête interne sur la question.
L'an dernier, Blue Cross and Blue Shield of North Carolina, par inadvertance imprimés numéros de sécurité sociale sur les enveloppes qu'il a récemment envoyé à 629 de ses membres.
Envoi de données de traitement des tâches d'outre-mer ne semble pas pour soulager les problèmes de sécurité. Il n'ya pas longtemps, une femme au Pakistan a récemment frappé la peur chez les cadres qui externalisent. Elle avait obtenu les documents sensibles des patients de l'Université de Californie, San Francisco Medical Center à travers un sous-traitant de transcription médicale, elle a travaillé pour, et elle a menacé de publier les fichiers sur l'Internet, à moins qu'elle a été payée plus d'argent. Le transcripteur finalement annulé son e-menace à la poste, et l'UCSF Medical Center a tiré l'entrepreneur qui a embauché le sous-traitant qui était responsable en dernier ressort des travaux de la femme pakistanaise, mais cet incident révélé le fait que l'hôpital n'était pas le suivi de l'emplacement exact de son dossiers médicaux allaient ou qui y avaient accès.
Pour mettre en perspective les risques, de l'Inde de l'Association nationale des logiciels et des sociétés de services a rapporté récemment que l'industrie sous-traitance de l'Inde est la création d'emplois au rythme de près de 100.000 par an, et son chiffre d'affaires est en croissance de plus de 40% par an. Premier analyste Gartner Inc estime que les dépenses mondiales de services offshore outsourcing sera top 50 milliards de dollars d'ici 2007. Bon nombre de ces opérations externalisées impliquent la manipulation et le traitement des opérations de clientèle et des informations personnelles sensibles, et la plupart des entreprises américaines ne sont pas montée en puissance des mesures de sécurité à ces endroits pour gérer cette croissance.
Les États-Unis n'a jamais adopté une protection des données complète ou la loi vie privée, et même des données très réglementés (comme le sujet d'information de santé à la portabilité d'assurance maladie et Accountability Act (HIPAA) règlements et sous réserve des informations financières à la loi Gramm-Leach Bliley ( GLBA)) ne sont pas soumis à une réglementation transfrontalière. Cependant, l'absence d'une loi de protection des données portant sur l'externalisation ne signifie pas que l'utilisation d'une société de fournisseurs off-shore est sans risque. Les lois des États-Unis imposent des obligations différentes sur les sociétés pour assurer la confidentialité et la sécurité de ses bases de données des États-Unis, et ces obligations exigent que la société s'assurer que les exigences de la loi sont remplies.
Mais juste parce que une société transfère l'exercice d'une fonction à un tiers, cela ne signifie pas que la société peut aussi transférer ses obligations de conformité juridique à l'égard de l'exercice de cette fonction. En effet, malgré le transfert de la fonction, l'entreprise peut ainsi rester légalement responsable devant les tiers intéressés (telles que les administrations, clients, employés, fournisseurs d'autres) pour l'exécution réussie de la fonction, et dans certains cas, la société peut être responsable de s'assurer que les processus utilisés pour exécuter la fonction transférés sont conformes aux règlements applicables. Bien entendu, en plus de problèmes juridiques, les retombées de relations publiques pour une société qui tombe en proie à une violation de la sécurité des données peuvent être dévastateurs.
Donc, quelles mesures doit prendre une entreprise pour sécuriser leurs opérations d'externalisation à l'étranger et de protéger les données des clients?
Tout d'abord, une politique de sécurité forte et bien comprise doit être mis en place et suivi vigoureusement avant que les données sont sous-traités à l'étranger.
En outre:
o Visitez le site sous-traitance, et demandent au vendeur de fournir une preuve d'externalisation d'un audit de sécurité par un tiers digne de confiance ou d'un groupe de l'industrie. Le vendeur doit démontrer politiques, procédures et mesures de protection techniques sont égales ou meilleures que celle de l'entreprise.
O Mener une vulnérabilité analyse à distance afin de déterminer ce que des informations internes à l'entreprise peuvent accéder de l'extérieur.
o Exiger le vendeur sous-traitance pour crypter toutes les données de stockage et de transit, et les contrôles de sécurité physique doivent être en place pour atténuer le risque de quitter l'établissement des données via un support quelconque, appareils d'enregistrement, caméras et des copies papier.
o Fournir des informations partielles sur un client - et non le profil complet.
Lors de l'exécution d'un contrat écrit avec le donneur d'ordre, les dispositions suivantes doivent être incluses:
o Une interdiction sur le fournisseur de services de divulguer ou d'utiliser les données ou informations à d'autres fins que pour mener à bien les services contractés.
o Le fournisseur de services doit fournir une copie de toutes les données client en sa possession ou de contrôle sur demande.
o Ne pas accorder l'accès aux données sous-traitant du donneur d'ordre, sauf si la société a approuvé le sous-traitant et assume toutes les dispositions de sécurité de l'entente d'impartition.
o Le donneur d'ordre devrait être empêché de prendre en otage des données en cas de litige.
o Le contrat devrait être examiné par un avocat expérimenté en droit du pays du donneur d'ordre est de déterminer le caractère exécutoire de tous les aspects du contrat.
Enfin, une entreprise doit élaborer un plan formel pour répondre à la «pire scénario» des événements de type, telle que le détournement des données personnelles. Il permettrait d'identifier les ressources locales juridique qui pourrait être appelé rapidement, ainsi que le recours juridique qui serait demandée en cas d'incident de sécurité ou de rupture de contrat.
cet article est traduisé en francais
l'origine de cet article (en anglai): http://ezinearticles.com/?Outsourcing-Personal-Data---Just-How-Secure-Is-It?&id=806832
vendredi 11 février 2011
0 commentaires
Enregistrer un commentaire