Ma 201 CMR 17 overensstemmelse Nengroup melding om forbereder Massachusetts Datasikkerhets Act

Mange små bedrifter mener at de er unntatt fra Massachusetts Data Privacy Act (201 CMR 17); oppfatningen er at loven er rettet til detaljister og finansinstitusjoner, hvis daglige driften omfatter innsamling og deling av store mengder personlig informasjon . Et par enkle spørsmål skal overbevise deg om at du er mest sannsynlig ikke unntatt, og at bedriften må overholde.
Har du noen ansatte?
Får dere betalinger fra privatpersoner, om sjekk eller kredittkort?
Trenger du å sende ut 1099s?
Hvis du svarte ja på noen eller alle disse spørsmålene, da har du personlig informasjon i din besittelse, og derfor må bringe virksomheten i samsvar.
Massachusetts har nylig revidert 201 CMR 17 rett, og det er meget gode nyheter for bedrifter:
Den effektive dato for 201 CMR 17 er nå 1 mars 2010
Anvendelsen av regelverket til de som "eier eller lisens" personlig informasjon om Massachusetts beboere kontra deres tjenesteytere har vært mer tydelig beskrevet.
Forskriften nå ta en "risikobasert" tilnærming som gjør at en bedrift å ta hensyn til deres størrelse, omfang, mengde ressurser, natur og mengden av data som er samlet eller lagret, og behovet for sikkerhet, for å bestemme hvordan man implementerer kravene .
Definisjonen av kryptering er nå teknologisk nøytralt, og alle datasikkerhet systemkrav må bare brukes «i den grad det er teknisk mulig." Ifølge Massachusetts Office of Consumer Affairs og Business Regulation, dette betyr at hvis det er en rimelig måte gjennom teknologi for å oppnå et nødvendig resultat, så det rimelige midler må brukes.
Bedrifter må "treffe rimelige tiltak for å velge og beholde" tredjeparts tjenesteleverandører i stand til å opprettholde sikkerhetstiltak i samsvar med forskriften, og bind dem ved kontrakt å implementere og vedlikeholde dem.
Disse endringene skal lage 201 CMR 17 overholdelse enklere. Men fristen er nå mindre enn seks måneder unna. Bedrifter kan være lurt å starte hardt arbeid som må gjøres nå.
Skriv en 201 CMR 17 Comprehensive Information Security Program, ved hjelp av en advokat. Vi har laget en modell for deg å følge.
Implementere et sterkt passord politikk. Passord må være umulig å gjette, og bør inneholde bokstaver, både store og små bokstaver, tall og symboler.
Sikker e-post slik at personlige opplysninger ikke kan sendes ut på Internett med mindre det er kryptert.
Krypter bærbare datamaskiner og andre bærbare enheter i en metode som ikke påvirker brukerens evne til å lese og lage dokumenter.
Har et system for å holde seg oppdatert sikkerhetsoppdateringer, antivirus, malware, og brannmurer for alt datautstyr.
Så spør hvem hva hvorfor når der:
WHO: Velg et punkt person. Å ha en utpekt sjåfør vil gjøre det kompliserte prosessen mer effektiv og mer effektiv. Og sørge for at de har ressursene som trengs for å få jobben gjort.
HVA: Hva er den potensielle risikoen? Identifisere noen påregnelig risiko til personlig informasjon og komme opp med en plan for å eliminere eller redusere risikoen
HVORFOR: utdanne og trene alle ansatte om viktigheten av å beskytte personlig informasjon og Computer Network Security
HVOR: Identifiser hvor personlig informasjon kommer fra, hvor den er lagret, hvordan det brukes og av hvem.
HVORDAN: Hvordan skal du få dette gjort? Avgjøre om interne ressurser er nok, eller er utenfor nettverket firma som trengs for å skape en rimelig sikre nettverket
NÅR: Nå er tiden for å begynne å takle disse oppgavene. Vi har satt sammen en sjekkliste som kan hjelpe deg gjennom prosessen.
Det finnes en rekke ressurser tilgjengelige for å hjelpe små bedrifter med sine spørsmål og bekymringer på denne loven har som formål å beskytte dem, deres kunder og deres ansatte. Massachusetts Office of Consumer Affairs and Business Regulation skapte disse bestemmelser og kan være nyttig.

Vennligst ring meg på 781 362 1199 eller gratis på 800 696 2309. Eller du kanne email meg rokeefe@nengroup.com. Jeg vil gjerne sette opp en avtale for å veilede deg gjennom denne prosessen.