I den evige kampen mot identitetstyveri, en proaktiv begivenhet nylig fant sted i Texas: et selskap var ladet med feil dumping pasientjournaler. Dette ble oppdaget før noen faktisk identitetstyveri ble rapportert.

Per Texas 2005 identitetstyveri Enforcement and Protection Act: "Et firma skal implementere og vedlikeholde rimelig prosedyrer, herunder å ta eventuelle nødvendige korrigerende tiltak, for å beskytte og verne fra ulovlig bruk eller utlevering sensitive personlige opplysninger samlet eller vedlikeholdes av virksomheten i den ordinære virksomheten. En virksomhet skal ødelegge eller arrangere for ødeleggelse av kundens poster som inneholder sensitive personopplysninger innenfor virksomheten varetekt eller kontroll som ikke skal beholdes av virksomheten ved: (1) shredding, (2) slette, eller (3) ellers endrer sensitive personlige opplysninger i postene å gjøre informasjonen uleselig eller undecipherable på noen måte. "

Men det noe som fremdeles plager meg om dette handling - de tekniske detaljene. For eksempel:

1. Makulering: cross-cut eller strimler klippe?
2. Slette: low-level multi-pass slette, null ut dataene, eller bare slette de filene?
3. Endre sensitive data: endrer bare navn og personnummer, eller inkludere data fødselsdato, adresse og eventuelt kontonummer?

Hvordan en organisasjon er i samsvar med denne loven og gjør "informasjonen uleselig eller undecipherable på noen måte" er fortsatt åpent for tolkning. Og det er problemet. Throwing strimler av sensitive data i søppelcontainer i stedet for den faktiske dokumenter er ikke mye av en forbedring.

Organisasjoner vil framprovosere tjenestene sikkerhet profesjonelle (f.eks CISSP) til riktig ivareta og kast av sensitive data, og å møte sine juridiske forpliktelser. Ellers kan de gi seg selv en falsk følelse av trygghet.





Mer ...