In de nooit aflatende strijd tegen identiteitsdiefstal, een proactieve evenement onlangs plaatsvond in Texas: een bedrijf is belast met onrechte dumpingprocedure patiëntendossiers. Dit werd ontdekt voordat er een werkelijke identiteit diefstal werd gemeld.

Per de Texas 2005 Identity Theft Handhaving en Wet Bescherming: "Een bedrijf zorgt voor de uitvoering en handhaving van redelijke procedures, inclusief het nemen van passende corrigerende maatregelen, te beschermen en beveiligen tegen onrechtmatig gebruik of de openbaarmaking alle gevoelige persoonlijke informatie verzameld en beheerd door het bedrijf in de gewone gang van zaken. Een bedrijf moet vernietigen, of laat voor het vernietigen van de klant-record met gevoelige persoonlijke informatie binnen het bedrijf de bewaring of de controle die niet moet worden bewaard door het bedrijfsleven door: (1) shredding; (2) te wissen, of (3) anders wordt het bewerken van het gevoelige persoonlijke gegevens in de registers om de informatie onleesbaar of onontcijferbaar via elk middel. "

Maar er iets dat nog stoort me over deze daad - de technische details. Bijvoorbeeld:

1. Shredding: cross-cut of strippen knippen?
2. Wissen: low-level multi-pass wissen, nul uit de gegevens, of gewoon de bestanden verwijderen?
3. Het wijzigen van gevoelige gegevens: verander gewoon de naam en het SSN, of met gegevens van geboorte, adres en alle rekeningnummers?

Hoe een organisatie voldoet aan dit besluit en maakt de informatie onleesbaar of onontcijferbaar via elk middel "blijft open voor interpretatie. En dat is het probleem. Throwing strips van gevoelige gegevens in de vuilnisbak in plaats van de werkelijke documenten is niet veel van een verbetering.

Organisaties willen wekken de veiligheid professionele diensten (bv. een CISSP) naar behoren te beschermen en te ontdoen van hun gevoelige gegevens, en om te voldoen aan hun wettelijke verplichtingen. Anders kunnen ze zelf geven een vals gevoel van veiligheid.





Meer ...