I den endeløse kamp mod identitetstyveri, en proaktiv begivenhed for nylig fandt sted i Texas: et selskab var opkrævet med urette dumping patient journaler. Dette blev opdaget før enhver faktisk identitetstyveri blev rapporteret.

Per Texas 2005 identitetstyveri Håndhævelse og Protection Act: "En virksomhed skal implementere og vedligeholde rimelige procedurer, herunder at træffe alle passende korrigerende foranstaltninger, at beskytte og værne mod ulovlig anvendelse eller videregivelse eventuelle følsomme personlige oplysninger, der indsamles eller vedligeholdes af erhvervslivet i den almindelige forretningsgang. En virksomhed skal ødelægge eller arrangere til destruktion af kundeposter indeholder følsomme personlige oplysninger i virksomhedens varetægt eller kontrol, som ikke skal beholdes af virksomheden ved at: (1) makulering, (2) sletning, eller (3) på anden måde ændre den følsomme personlige oplysninger i registrene at gøre oplysningerne ulæselige eller undecipherable gennem nogen måde. "

Men der noget, som stadig generer mig om denne handling - de tekniske detaljer. For eksempel:

1. Shredding: cross-cut eller strimler cut?
2. Sletning: low-level multi-pass slette, nul de data, eller bare slette filerne?
3. Ændring af følsomme data: ændrer bare navn og SSN, eller omfatter data fra fødslen, adresse og kontonumre?

Hvordan en organisation i overensstemmelse med denne handling og gør "de oplysninger, ulæselige eller undecipherable gennem ethvert middel" er fortsat åben for fortolkning. Og det er problemet. Throwing strimler af følsomme data i Dumpster i stedet for den faktiske dokumenter er ikke meget for en forbedring.

Organisationer ønsker at fremkalde de tjenester, sikkerhed professionelle (fx en CISSP) til at sikre korrekt og disponere over deres følsomme data, og at opfylde deres juridiske forpligtelser. Ellers kan de give sig selv en falsk følelse af sikkerhed.





Mere ...