Skip to main content


Diálogos

Proteja a sus clientes -y a usted mismo- con la privacidad de datos

March 29, 2021

By Por Angela Bao

(Photo credit): Gettyimages.com/MF3d

Los pequeños negocios necesitan dar prioridad a la privacidad de los datos, ahora más que nunca, para proteger a sus clientes y mantenerse en negocio.

En 2020, ocurrieron 1.001 violaciones de datos en Estados Unidos que expusieron la información personal de más de 155 millones de personas. En los últimos 10 años se ha visto un aumento significativo en el número de violaciones de datos, pasando de 662 en 2010, a un máximo de 1.632 en 2017.

Pero no sólo afectan a los individuos cuyos registros han sido expuestos: el costo promedio de una violación de datos para una empresa es de $3,86 millones , y puede llegar a los $8,64 millones. Para la mayoría de las pequeñas empresas, son cantidades que no pueden permitirse.

Según el Pew Research Center, el 81% de los estadounidenses afirman que los riesgos potenciales a los que se enfrentan debido a la recopilación de sus datos por parte de las empresas son mayores que los beneficios. Sin embargo, dado que muchas personas siguen trabajando a distancia debido a la pandemia de la COVID-19 y el consiguiente cambio a la esfera digital, las pequeñas empresas han tenido que seguir su ejemplo para sobrevivir. Operar en línea implica más riesgos tanto para las empresas como para los clientes, pero hay una serie de estrategias de privacidad de datos que las pequeñas empresas pueden aplicar para protegerse a sí mismas y a sus clientes.

La definición de la privacidad de datos

Según Darren Guccione, director general y cofundador de la empresa de ciberseguridad Keeper Security, la privacidad de datos es el "tratamiento fiduciario y la manipulación adecuados de los datos de los clientes o usuarios". Los datos de un cliente, o información personal identificable (PII), pueden incluir cualquier cosa, desde su nombre y apellidos, fecha de nacimiento, número de Seguridad Social, dirección y lugar de trabajo, entre otra información. Si un cliente utiliza un programa informático, aunque sólo sea para realizar una transacción en línea, ese programa tendrá un "perfil" basado en esa persona.

Por tanto, aunque una pequeña empresa pueda utilizar un proveedor externo para administrar su ciberseguridad, Guccione subraya que "usted es ahora una parte fiduciaria y responsable en términos de asegurarse de que esa información es confidencial, segura y está salvaguardada."

Protección de los datos de sus clientes

Guccione reconoce que la mayoría de las pequeñas empresas no cuentan con los recursos necesarios para crear su propio departamento de IT o administrar su propia ciberseguridad, pero anima a los propietarios de las empresas a que busquen establecer relaciones con empresas de seguridad externas.

"Si hay algo que podemos animarlos a hacer es, al menos, establecer una relación con una empresa de seguridad externa", dice Kristin Judge, directora general y fundadora del grupo sin ánimo de lucro Cybercrime Support Network. "No esperamos que las empresas más pequeñas tengan un jefe de seguridad de información o una persona de TI a tiempo completo, pero sí que tengan una relación con alguien, antes de tener una brecha o un problema de privacidad de datos, porque entonces eso puede hacer que vengan, y ya conocerán tu negocio".

Antes de la pandemia y de la aparición del trabajo a distancia, las empresas podían tener más facilidad para aplicar la privacidad de datos porque la mayoría de las personas trabajaban desde una oficina centralizada. Sin embargo, con la aparición del trabajo a distancia, se ha vuelto especialmente importante la protección de los puntos finales.

"Cuando [tienes] trabajo remoto distribuido, el número de puntos finales se extrapola esencialmente en multitudes de donde estabas antes", dice Guccione. "El hecho de que la gente esté realizando transacciones en dispositivos personales en redes domésticas con fines empresariales, la complejidad que aporta a una organización es asombrosa ".

Por fortuna, hay muchas opciones de software de seguridad que las pequeñas empresas pueden aprovechar para mitigar los riesgos creados por el trabajo a distancia. Guccione afirma que los propietarios de las empresas deben elegir el software en función de las necesidades específicas de su negocio (he aquí una lista) pero deben tener cuidado con las opciones "gratuitas".

"Si usas un producto gratuito, ten mucho cuidado y asegúrate de leer las condiciones de uso y la política de privacidad de ese producto gratuito porque el 99% de las veces... si el producto es gratuito, adivina qué, [tus datos son] normalmente el [pago]", advierte Guccione.

Implantación de un marco de confianza cero y conocimiento cero

Aunque muchas empresas quieran centrarse en las amenazas externas a los datos de sus clientes, Guccione afirma que es igualmente importante ser consciente de las posibles amenazas que provienen de la propia empresa; por eso es tan importante un marco de confianza cero.

"A medida que la empresa crece, también se debe tener en cuenta a las personas de la empresa que tienen acceso a los datos", dice. "Y la confianza cero tiene que ver con eso... aplicar la 'confianza cero' a cualquiera que pueda acceder potencialmente al sistema, o a alguien que pueda acceder a un sistema".

El conocimiento cero es un tanto diferente. "Lo que significa el conocimiento cero es que nosotros, como proveedor, no tenemos conocimiento ni acceso a su contraseña maestra ni a las claves de cifrado que podrían darnos a nosotros o a un tercero acceso a su información", explica Guccione. "Sólo tú tienes esas claves de cifrado, y sólo tú tienes conocimiento de tu contraseña maestra y de tus credenciales".

Uso de los pagos sin contacto para proteger los datos de los clientes

IPara las empresas que realizan transacciones con clientes, el uso de terminales de pago sin contacto puede ser una excelente manera no sólo de protegerse de la transmisión de COVID-19, sino también de salvaguardar los datos de sus clientes. Aunque siempre hay preocupación por las filtraciones de datos, la protección contra el fraude ha avanzado considerablemente. Los pagos sin contacto son en realidad más seguros que el método habitual de "deslizar" porque cada transacción se encripta y se convierte en un token cuando se envía al terminal de pagos.

"Lo más importante que hacen los pagos sin contacto es facilitar y hacer más seguros tanto al comerciante como al cliente", señala Dustin Sullivan, vicepresidente y director nacional de ventas a comerciantes de East West Bank.

Con la creciente adopción de los pagos sin contacto, Sullivan añade que es especialmente importante que las empresas se actualicen a las últimas plataformas, para que puedan proteger adecuadamente los datos de sus clientes y a ellos mismos del fraude.

"Antes de la pandemia, vimos que muchos clientes realizaban actualizaciones de sus equipos", dice Sullivan. "Pero desde la pandemia, cada vez más clientes se han tomado las cosas mucho más en serio y se han centrado realmente en asegurarse de que tienen lo que es más seguro y mejor con los pagos sin contacto".

Cumplimiento de las leyes de privacidad de datos

Desgraciadamente, no existe una guía única a nivel nacional sobre las leyes de privacidad de datos. En su lugar, se compone de un mosaico de normativas federales, estatales y locales, y las empresas que realizan transacciones en varios lugares deben comprender y cumplir esas normativas regionales. Por ejemplo, la Ley de Privacidad del Consumidor de California otorga a los consumidores el derecho de restricción, mientras que no sucede lo mismo con la Ley de Protección de Datos del Consumidor de Virginia.

A pesar de las discrepancias entre las leyes estatales, federales y locales, hay formas en que las empresas pueden protegerse contra la violación de esas normas. Para las mejores prácticas de privacidad de datos, Guccione ofrece estas nueve sugerencias:

  1. Conozca sus datos y lo que está recopilando
  2. No recopile más datos de los que necesita
  3. Eduque a todos los empleados en las mejores tácticas de ciberseguridad
  4. Obtenga asesoramiento legal sobre las leyes de privacidad de datos
  5. Instale siempre las últimas actualizaciones de firmware y software
  6. Utilice un marco de conocimiento cero y/o de confianza cero
  7. Utilice un servicio de gestión de contraseñas
  8. Utilice la autenticación de dos factores
  9. Limite los archivos a los que tienen acceso los empleados

"Es fácil decir que no te importa la privacidad hasta que eres víctima del problema", dice Guccione. "Hay un dicho, ¿cierto? La ignorancia puede ser una dicha, pero ya no lo es".

Contact East West Bank Merchant Services Team