kesulitan mengaturnya berarti risiko ancaman itu relatif rendah.

Teknologi Voice over

Internet Protocol (VoIP), bagaimanapun, mengarahkan percakapan telepon sebagai
paket melalui Internet. Ini berarti percakapan telepon VoIP rentan terhadap intersepsi
seperti halnya informasi lain yang dikirim melalui Internet. Oleh karena itu,
percakapan VoIP tentang topik sensitif harus dienkripsi. Virtualisasi dan komputasi
awan juga memengaruhi risiko akses tidak sah ke informasi sensitif. Kontrol penting
dalam lingkungan virtual, termasuk awan "pribadi" yang dikelola secara internal,
adalah dengan menggunakan firewall virtual untuk membatasi akses antara mesin
virtual berbeda yang ada di server fisik yang sama. Oleh karena itu, semua
komunikasi antara pengguna dan cloud harus dienkripsi. Perangkat lunak browser,
bagaimanapun, sering mengandung banyak kerentanan.

PELATIHAN
Pelatihan bisa dibilang kontrol yang paling penting untuk melindungi kerahasiaan dan
privasi. Karyawan perlu mengetahui informasi apa yang dapat mereka bagikan
dengan pihak luar dan informasi apa yang perlu dilindungi.Oleh karena itu, penting
bagi manajemen untuk memberi tahu karyawan yang akan menghadiri kursus
pelatihan eksternal, pameran dagang, atau konferensi apakah mereka dapat
mendiskusikan informasi tersebut atau harus dilindungi karena memberikan
perusahaan penghematan biaya atau keunggulan peningkatan kualitas dibandingkan
pesaingnya. Dengan pelatihan yang tepat, karyawan dapat memainkan peran penting
dalam melindungi kerahasiaan informasi organisasi dan privasi informasi pribadi
yang sensitif tentang pemasok, pelanggan, dan karyawan.

PERATURAN PRIVASI DAN PRINSIP PRIVASI YANG DITERIMA

SECARA UMUM
Kekhawatiran tentang melindungi privasi individu telah menghasilkan banyak
peraturan pemerintah.

GDPR UE DAN HUKUM AS

Salah satu peraturan privasi yang paling ketat dan paling luas jangkauannya adalah
Peraturan Privasi Data Umum (GDPR) Uni Eropa. GDPR mengenakan denda yang
sangat besar (hingga 4% dari pendapatan global) untuk masalah seperti tidak
memperoleh izin dengan benar untuk mengumpulkan dan menggunakan informasi
pribadi atau tidak dapat mendokumentasikan bahwa organisasi telah mengambil
pendekatan proaktif untuk melindungi privasi (disebut sebagai "privasi berdasarkan
desain"). GDPR memengaruhi tindakan keamanan organisasi, terutama proses
respons insidennya, karena GDPR mengharuskan organisasi untuk memberi tahu
regulator dalam waktu 72 jam setelah menemukan pelanggaran. GDPR juga memberi
orang sejumlah hak baru, termasuk akses ke data yang dimiliki organisasi tentang
mereka, koreksi kesalahan dalam data yang disimpan, penghapusan informasi pribadi
yang disimpan tentang mereka (disebut sebagai "hak untuk dilupakan"), dan
pencabutan persetujuan untuk menjual atau membagikan informasi mereka dengan
organisasi lain. Meskipun merupakan peraturan UE, GDPR memengaruhi organisasi
mana pun yang mengumpulkan dan menyimpan informasi tentang penduduk Eropa,
yang berarti, mengingat bahwa sebagian besar perusahaan melakukan bisnis secara
global, hal itu berlaku untuk hampir setiap organisasi. Demikian pula, Undang-
Undang Privasi Konsumen California (CCPA) tahun 2018, yang berisi ketentuan yang
serupa dengan GDPR dan berlaku untuk penduduk California, memengaruhi sebagian
besar organisasi karena hampir setiap perusahaan memiliki pelanggan di California.

PRINSIP YANG DITERIMA UMUM

Untuk membantu organisasi secara hemat dalam memenuhi berbagai persyaratan ini,
American Institute of Certified Public Accountants (AICPA) dan Canadian Institute
of Chartered Accountants (CICA) bersama-sama mengembangkan kerangka kerja
yang disebutPrinsip Privasi yang Diterima Secara Umum (GAPP). GAPP
mengidentifikasi dan mendefinisikan 10 praktik terbaik yang diakui secara
internasional berikut untuk melindungi privasi informasi pribadi pelanggan:
1. Pengelolaan
Organisasi perlu menetapkan seperangkat prosedur dan kebijakan untuk
melindungi privasi informasi pribadi yang mereka kumpulkan dari pelanggan serta
informasi tentang pelanggan mereka yang diperoleh dari pihak ketiga seperti biro
kredit
2. Melihat
Organisasi harus memberikan pemberitahuan tentang kebijakan dan praktik
privasinya pada atau sebelum waktu pengumpulan informasi pribadi dari pelanggan,
atau sesegera mungkin setelahnya.
3. Pilihan dan persetujuan
Organisasi harus menjelaskan pilihan yang tersedia bagi individu dan
mendapatkan persetujuan mereka sebelum pengumpulan dan penggunaan informasi
pribadi mereka.
4. Koleksi
Organisasi harus mengumpulkan hanya informasi yang diperlukan untuk
memenuhi tujuan yang dinyatakan dalam kebijakan privasinya.
5. Penggunaan, penyimpanan, dan pembuangan.
Organisasi harus menggunakan informasi pribadi pelanggan hanya dengan
cara yang dijelaskan dalam kebijakan privasi yang mereka nyatakan dan menyimpan
informasi tersebut hanya selama diperlukan untuk memenuhi tujuan bisnis yang sah.
6. Mengakses.
Organisasi harus menyediakan individu dengan kemampuan untuk mengakses,
meninjau, dan memperbaiki informasi pribadi yang disimpan tentang mereka
7. Pengungkapan kepada pihak ketiga.
Organisasi harus mengungkapkan informasi pribadi pelanggan mereka kepada
pihak ketiga hanya dalam situasi dan cara yang dijelaskan dalam kebijakan privasi
organisasi dan hanya kepada pihak ketiga yang memberikan tingkat perlindungan
privasi yang sama dengan organisasi yang awalnya mengumpulkan informasi
tersebut.
8. Keamanan.
Organisasi harus mengambil langkah-langkah yang wajar untuk melindungi
informasi pribadi pelanggannya dari kehilangan atau pengungkapan yang tidak sah.
9. Kualitas
Organisasi harus menjaga integritas informasi pribadi pelanggan mereka dan
menerapkan prosedur untuk memastikan keakuratannya.
10. Pemantauan dan penegakan.
Organisasi harus secara berkala memverifikasi bahwa emkaryawan mematuhi
kebijakan privasi yang dinyatakan.
PENCURIAN IDENTITAS
Salah satu masalah terkait privasi yang semakin mengkhawatirkan adalah pencurian
identitas.Pencurian identitasadalah penggunaan yang tidak sah atas informasi
pribadi seseorang untuk keuntungan pelaku. Seringkali, pencurian identitas adalah
kejahatan keuangan, di mana pelaku memperoleh pinjaman atau membuka kartu
kredit baru atas nama korban dan terkadang menjarah rekening bank korban.