News information : Florida Information Privacy Act

________________________________________________

L'auteur de cet article est un spécialiste de la sécurité de l'information, pas un avocat. Les opinions contenues dans cet article ne doivent pas être interprétées comme des conseils juridiques. Le lecteur doit consulter un avocat agréé si un avis juridique est requis concernant FS 501.171.

________________________________________________

Les cybercriminels stimulent Internet en recherchant des ouvertures dans les systèmes informatiques à exploiter. Ils veulent voler, altérer, détruire ou accéder illégalement à des informations confidentielles détenues par des entreprises et des organisations. Les faiblesses et les menaces augmentent. Les responsables de l'application des lois n'ont pas été en mesure de mettre une «empreinte» sur la cybercriminalité.

Les législateurs de Floride, cependant, ont décidé qui devrait être le plus responsable de la protection des PII (ou des informations personnellement identifiables). Les individus ont désormais la responsabilité de protéger les informations confidentielles, qu'il s'agisse d'une «entité couverte» ou d'une entreprise en Floride.

Savez-vous ce que la loi exige (FS 501.171)? Êtes-vous une "entité couverte par la loi en Floride?" Votre système de traitement des données est-il en place pour se conformer à la loi de confidentialité de la Floride? Pouvez-vous prouver que vous avez pris les "mesures raisonnables" requises par la loi pour protéger les informations confidentielles que vous possédez sur les employés, les clients et autres?

Votre système d'information est-il suffisamment puissant pour empêcher une attaque Internet?

Seriez-vous en mesure de vous protéger d'un contrôle de conformité?

Les semences peuvent-elles faire différemment?

Vous pouvez consulter un avocat pour déterminer si vous êtes couvert par les dispositions de la Florida Information Privacy Act. La chose sage et prudente à faire serait de supposer que si vous achetez ou conservez des informations personnelles confidentielles sur des personnes, vous êtes susceptible d'être considéré comme une entité couverte.

La loi de la Floride comprend une longue définition de ce qui est protégé. Objet: tout matériel, quelle que soit sa forme physique, sur lequel des informations personnelles sont enregistrées ou stockées par quelque moyen que ce soit, y compris, mais sans s'y limiter, des mots, écrits ou parlés, décrits graphiquement, imprimés ou transmis électromagnétiquement, qui sont fournis par un particulier dans le but d'acheter ou de louer un produit ou de louer un service.

Les informations personnelles couvertes par la loi sur la confidentialité de la Floride comprendront le numéro de sécurité sociale, le numéro de permis de conduire ou de carte d'identité d'une personne, le numéro de passeport, la carte d'identité militaire ou d'autres documents similaires utilisés pour vérifier l'identité. De plus, les numéros de compte financier, les numéros de carte de crédit ou de débit avec les codes de sécurité requis, le mot de passe ou le mot de passe requis pour permettre l'accès à un compte individuel sont inclus; toute information sur les antécédents médicaux d'un individu, son état mental ou physique, ou un traitement médical ou un diagnostic par un professionnel de la santé d'un individu; ou le numéro de police d'assurance-maladie ou le numéro d'identification du souscripteur d'un particulier et un identifiant unique utilisé par une assurance maladie pour identifier la personne.

La conservation d'informations confidentielles semblera inclure toutes les «copies papier» ou données sur papier et stockées par un service cloud. L'entité couverte est seule responsable de la fourniture des informations collectées et ne peut pas transférer ses responsabilités à un tiers (comme une société de stockage cloud).

La norme FS 501.171 stipule que toute entité couverte, entité gouvernementale ou agent tiers doit prendre des mesures raisonnables pour protéger et sécuriser les données sous une forme électronique contenant des informations personnelles.

La loi précise, entre autres dispositions, comment les violations seront signalées aux autorités (y compris le nombre de dossiers compromis et les exigences de notification). Éventuelles amendes incluses.

La Florida Information Privacy Act, FS 501.171 exige que les organisations prennent des mesures raisonnables pour traiter les informations confidentielles. La loi ne précise cependant pas les détails des politiques et procédures d'information à utiliser.

Il existe un certain nombre de contrôles et de normes de sécurité de l'information, dont aucun n'a force de loi. Cependant, beaucoup sont considérés comme des modèles de sécurité très solides utilisés dans les entreprises et l'industrie. De l'avis de l'auteur, les organisations devraient au moins avoir une politique de sécurité de l'information.

Sinon, les conseils de la direction manqueront probablement. Il serait difficile de satisfaire au critère des mesures "raisonnables" de protection en vertu de la norme FS 501.171 si l'organisation n'avait pas abordé la question de savoir comment elle avait officiellement traité ou traité des informations confidentielles.

Vous devez toujours prendre des mesures agressives contre les intrus potentiels et protéger vos informations confidentielles.