*可核实的家长同意,供内部使用,公开披露和第三方披露信息。
*验证请求访问子进程信息的父进程实际上是父进程。
*允许家长撤销同意和删除信息。
*行业组织和其他人创建自律计划以遵守COPPA的能力。
资料来源:联邦贸易委员会
公平和准确的信用交易法案(FACTA),包括红旗规则
它涵盖了当前位置2003年12月通过的《公平信用报告法》(FACTA)是对《公平信用报告法》的一项修正案,旨在帮助消费者避免身份被盗用。准确性、隐私、信息共享的限制,以及消费者披露信息的新权利都包含在立法中。该法案还规定,拥有消费者信息或从消费者报告中获得的信息的企业必须妥善处理这些信息。
红旗规则在FACTA中建立了新的条款,要求金融机构、债权人等制定和实施身份盗窃预防计划。《红旗条例》曾多次被推迟,目前计划由公平交易委员会从2010年12月31日开始实施。
是谁的影响:信用局,信用报告机构,金融机构,任何使用消费者报告的企业和债权人。根据FACTA的定义,债权人是任何提供产品或服务并开出付款账单的人。
与法律挂钩: http://www.ftc.gov/os/statutes/031224fcra.pdf
红旗规则:http://www.ftc.gov/os/fedreg/2007/november/071109redflags.pdf
关键需求/规定:《事实协商会》包括以下主要条款:
*免费的报告.消费者可以每12个月从全国3家信用报告公司获得一次免费信用报告。
*欺诈警报和在职警报.如果怀疑身份被盗或在海外服役,个人可以在其信用记录上设置警报,从而使欺骗性的信用申请更加困难。
*截断:信用卡,借记卡,社会安全号码.信用卡和借记卡收据中包含的内容不得超过卡号的后五位数或到期日。要求提供文件副本的消费者也可以要求不包括社会安全号码的前5位数字。
*受害者可获得的信息.向冒用你身份的人提供信用或产品和服务的企业必须给你文件的副本,例如信用申请。
*收集机构:如果收款机构与身份盗窃的受害者联系有关盗窃所造成的债务,收款人必须将这一情况告知债权人。当债权人被告知债务是身份窃贼所为时,他们不能出售债务或将其收回。
*红旗规则:《财务欺诈法》中的若干条款要求金融机构、债权人等制定和实施身份盗窃预防方案,以便及早发现和减轻欺诈行为。程序必须包括识别相关“危险信号”的条款,检测这些早期预警信号,适当地作出反应,并定期更新程序。附加条款包括评估地址变更请求有效性的指导方针和要求,以及协调不同消费者地址的程序。遵守红旗规则的截止日期已经被延长了好几次,目前是2010年12月。问题仍然是哪些公司需要遵守FACTA的这一部分。
*正确处理消费者报告.消费者报告机构和任何使用消费者报告的企业必须采取适当的文件处理程序,以避免身份窃贼“翻垃圾”。这包括贷款人、保险公司、雇主、房东、政府机构、抵押贷款经纪人、汽车经销商、律师和私人调查员、债务催收人、获得潜在保姆、承包商或租户信用报告的个人。
*争议不准确的信息.消费者可以直接与提供报告的公司就报告中的数据提出异议。
资料来源:联邦贸易委员会隐私信息交换所,商业记录管理
联邦民事诉讼规则(FRCP)
它涵盖了FRCP发现规则自1938年起实施,规范民事诉讼的法庭程序。2006年的第一次重大修订明确了电子存储信息是可发现的,并详细说明了什么、如何以及何时必须产生电子数据。因此,公司必须知道它们存储的是什么数据以及数据在哪里;它们需要制定管理电子数据的政策;他们需要遵循这些政策;他们需要能够证明他们遵守了这些政策,以避免由于未能提供与案件相关的数据而导致的不利裁决。
更多关于电子发现和电子记录
安全专业人员可能会参与向法院证明存储的数据没有被篡改的工作。
是谁的影响:任何正在或可能卷入联邦法院民事诉讼的公司。此外,由于各州都采用了类似《财务汇报报告》的规定,在州法院系统内参与诉讼的公司也会受到影响。
链接到规则: http://www.law.cornell.edu/rules/frcp/
关键需求/规定: FCRP有13个部分。主要的变化涉及第5章,规则26-37,因为这些要求详细了解电子数据保留政策和程序,存在什么数据和在哪里,以及在规定的时间范围内搜索和生成这些数据的能力。以下是这些规则的总结:
规则(26日):表明电子存储的信息是可发现的,公司必须能够产生相关的数据。
规则26 (b) (2):澄清可发现数据的限制;例如,公司不需要生产成本过高或负担过重的数据,比如来自无法合理访问的来源,比如用于灾难恢复的备份磁带和过时的媒体。
规则26 (f):规定有关各方须在电子资料的披露或发现开始前,就有关问题进行讨论。
规则33 (d):确定提供合理的机会来检查和审核所提供的数据。
规则34 (b):规定电子数据与纸质文件一样重要,必须以合理可用的格式产生。
规则37 (f):在电子数据丢失或无法恢复时,提供“安全港”,只要能证明公司按常规诚信经营。
资料来源:康奈尔大学法学院,商业记录管理
第二部分:特定行业的法规和指导方针
联邦信息安全管理法
它涵盖了FISMA于2002年颁布,要求联邦机构实施一项计划,为其信息和信息系统提供安全保障,包括由其他机构或承包商提供或管理的信息和系统。它是2002年电子政务法案的第三章。
是谁的影响:联邦机构。
与法律挂钩: http://csrc.nist.gov/drivers/documents/FISMA-final.pdf
关键需求/规定: FISMA建议有效的安全计划应包括以下要素:
*定期风险评估。
*基于这些评估的政策和程序,以具有成本效益的方式降低信息保安风险,并确保在每个信息系统的整个生命周期内处理保安问题。
*网络、设施等信息安全的下属计划
*安全意识培训的人员。
*最少每年定期测试及评估资讯保安政策、程序、做法及控制的成效。
*解决资讯保安政策不足之处的程序。
*程序检测、报告和响应安全事件.
*确保支持组织运营和资产的信息系统持续运行的程序和计划。
资料来源:国家标准与技术研究所
北美电气可靠性公司(NERC)标准
它涵盖了当前的83套NERC标准是为了建立和执行北美大容量电力系统的可靠性标准,以及保护行业的关键基础设施免受物理和网络威胁而制定的。这些总体标准于2007年6月18日在美国成为强制性和强制执行的标准。可靠性标准的关键基础设施保护(CIP)元素随后进行了更新,最近一次更新是在2009年。CIP标准包括实体资产和数字(“网络”)系统的识别和保护。
是谁的影响:北美电力公司。
链接到NERC可靠性标准: http://www.nerc.com/files/Reliability_Standards_Complete_Set.pdf
主要要求/规定:NERC标准分为以下13类:
*资源与需求平衡
*通讯
*关键基础设施保护
*应急准备和行动
*设施设计、连接和维护
*交换安排和协调
*建模、数据和分析
*核
*人员表现、培训和资格
*保护与控制
*传输操作
*传播规划
*电压和无功
来源:NERC
《联邦法规法典》(21 CFR第11部分)第21篇电子记录
它涵盖了当前位置第11部分通常被称为第11部分,发行于1997年,由美国食品和药物管理局监督。它为电子纪录和电子签署订立指引,以确保它们的可靠性和可信赖性。
是谁的影响:美国境内和境外所有fda监管的使用电脑进行监管活动的行业。
与法律挂钩: http://www.accessdata.fda.gov/scripts/cdrh/cfdocs/cfcfr/cfrsearch.cfm?cfrpart=11
2010年修订:http://www.accessdata.fda.gov/scripts/cdrh/cfdocs/cfcfr/CFRSearch.cfm?CFRPart=58&showFR=1。
关键需求/规定第11部分有19项要求,其中最重要的包括:
*使用经过验证的现有和新的计算机化系统。
*安全保存电子纪录及即时检索。
*用户独立、计算机生成、带有时间戳的审计追踪。
*通过有限授权访问系统和记录,确保系统和数据安全、数据完整性和机密性。
*为封闭及开放系统使用安全的电子签名。
*在开放系统中使用数字签名。
*使用操作检查。
*使用设备检查。
*确定开发、维护或使用电子系统的人员具有教育、培训和经验来完成分配的任务。
来源:LabCompliance
健康保险可携性和责任法案
它涵盖了: 1996年颁布的《健康保障措施》旨在提高卫生保健系统的效率和效力。因此,它要求采用电子医疗交易和代码集的国家标准,以及提供者、健康保险计划和雇主的唯一健康标识符。
(注:HIPAA的要求被HITECH法案显著更新-见下一个条目)。
更多关于HIPAA
*普罗维登斯卫生部CISO关于从HIPAA违规行为中恢复的问题
由于认识到电子技术可能损害健康信息的隐私,该法还纳入了保护个人健康信息安全和隐私的条款。它通过执行国家标准来保护:
*个人可识别的健康信息,称为隐私规则。
*电子保护健康信息的保密性、完整性和可用性,称为安全规则。
这套完整的规则被称为HIPAA行政简化条例。它由医疗保险和医疗补助服务中心和民权办公室管理。
是谁的影响:医疗保健提供者、医疗计划、医疗结算所和“业务伙伴”,包括执行索赔处理、数据分析、质量保证、计费、福利管理等工作的人员和组织。
与法律挂钩:一个非官方版本(截至2009年2月),在一个文件中提出了所有的监管标准:http://www.hhs.gov/ocr/privacy/hipaa/administrative/privacyrule/adminsimpregtext.pdf
HIPAA行政简化条例的完整套件的官方版本可以在45 CFR part 160, 162和164找到:
* 45 CFR,第160部分:http://www.hhs.gov/ocr/privacy/hipaa/administrative/privacyrule/adminsimpregtext.pdf
* 45 CFR,第162部分:http://www.access.gpo.gov/nara/cfr/waisidx_07/45cfr162_07.html
* 45 CFR,第164部分:http://www.access.gpo.gov/nara/cfr/waisidx_07/45cfr164_07.html
HIPAA隐私规则:http://www.hhs.gov/ocr/privacy/hipaa/administrative/privacyrule/prdecember2000all8parts.pdf
HIPAA安全规则:http://www.hhs.gov/ocr/privacy/hipaa/administrative/securityrule/securityrulepdf.pdf
关键需求/规定: HIPAA的行政简化法规和规则分为五个部分: