Custodia de datos y política de acceso

Propósito

El Yogananda Seva (la "Organización") mantiene información confidencial esencial para su propósito de apoyar a los miembros del Self-Realization Fellowship y la Sociedad Yogoda Satsanga de la India. Esta política tiene por objeto establecer responsabilidades y disponibilidad de datos que contienen información confidencial.

Políticas

Si bien la información confidencial es crítica para las operaciones de la Organización, esta información también debe usarse con cuidado. El beneficio de compartir datos disminuye en gran medida por el mal uso, la mala interpretación o las restricciones innecesarias de acceso. Aunque una parte de los registros de la Organización es información pública, algunos datos están restringidos por las políticas de la Organización y la legislación estatal o federal. Para cumplir con la legislación y proteger a su comunidad, la Organización tiene el derecho y la obligación de proteger, administrar, proteger y controlar los datos bajo su competencia. Una violación de esta política puede resultar en una acción disciplinaria, que puede incluir el despido.

Definiciones

La información confidencial se define como la información divulgada a la Organización a través del uso del sitio web y / o la aplicación móvil de la Organización y que generalmente no se conoce fuera de la Organización o está protegida por la ley. Entre los ejemplos de información confidencial se incluyen el nombre completo, el número de seguro social, el número de licencia de conducir, la dirección de correo electrónico, el número de teléfono, la tarjeta de crédito o el número de cuenta bancaria.

Custodio de datos: David Stember.

Usuarios de datos: Cualquier miembro del personal de la Organización, miembro de la junta y voluntario que pueda acceder a la Información confidencial pero que no tenga acceso para modificar o eliminar esos datos.

Necesidad legítima: Una necesidad de acceso a la Información confidencial que surge dentro del alcance del empleo y / o en el desempeño de deberes autorizados.

Responsabilidades

Un general

Se proporciona acceso a los datos de la Organización a los miembros del personal, miembros de la junta y voluntarios para llevar a cabo los negocios de la Organización. La información confidencial, tal como se define en esta política, se pondrá a disposición solo para aquellos usuarios de datos que tengan una necesidad legítima de esta información, como lo demuestra el custodio de datos. Todas las personas que acceden a dichos datos deben cumplir con los requisitos de privacidad y confidencialidad, cumplir con los procedimientos de protección y control y presentar con precisión los datos utilizados en cualquier tipo de informe. Las personas que tienen responsabilidades de custodia para el acceso a los datos deben establecer controles internos para garantizar que se apliquen las políticas de la Organización. Todos los usuarios de datos son responsables de la seguridad y privacidad de la información confidencial a la que acceden según lo prescrito por esta política. Para obtener más información, consulte la Política de información confidencial de la organización y la Política de retención y destrucción de registros.

B. Cumplimiento

La Organización prohíbe la divulgación de información confidencial en cualquier medio, incluida información electrónica, información en papel e información compartida verbal o visualmente (por ejemplo, teléfono o video), excepto según lo aprobado por los custodios de datos. Se prohíbe estrictamente el uso de cualquier información confidencial para beneficio o beneficio personal, para beneficio o beneficio personal de otros o para satisfacer la curiosidad personal. Los usuarios de datos son responsables de las consecuencias derivadas del mal uso de la información confidencial a la que se les ha otorgado acceso.

En caso de que se produzca una violación de seguridad o se informe el uso indebido de la Información confidencial, el Custodio de datos u otra persona debidamente designada invocará un proceso de respuesta a incidentes, reuniendo al equipo apropiado para investigar los hechos relacionados con la situación y determinar si el asunto es o no debe remitirse a la policía. Se tomarán medidas disciplinarias de acuerdo con las reglamentaciones aplicables o la política de la Organización, que pueden incluir el despido.

Se requiere que todas las personas que accedan a los registros de la Organización cumplan con las leyes federales y estatales aplicables y las políticas y procedimientos de la Organización con respecto a la seguridad de la Información confidencial y que ejerzan discreción con respecto a dichos datos. Cualquier miembro del personal, miembro de la junta o voluntario que participe en el uso no autorizado, divulgación, alteración o destrucción de información confidencial en violación de esta política estará sujeto a medidas disciplinarias apropiadas, incluyendo posible despido y / o acción legal.

C. Responsabilidades específicas delegadas al custodio de datos y usuarios de datos

  1. Custodio de datos
    El custodio de datos es responsable de:

    • Conceder acceso a información confidencial para una necesidad legítima según se define en esta política.
    • Garantizar la precisión de todos los datos dentro de su área de responsabilidad.
    • Revise periódicamente el acceso a todos los datos dentro de su área de responsabilidad y actualice el acceso de los usuarios si es necesario.
    • Asegúrese de que los usuarios de datos comprendan sus responsabilidades con respecto a su acceso aprobado a la información confidencial.
    • Informe inmediatamente a su supervisor sobre cualquier posible violación de la seguridad informática o uso indebido de la información confidencial.
    • En la medida que corresponda, revise las apelaciones resultantes de las decisiones de denegar el acceso.
    • Monitoreo de la destrucción de retención de información confidencial.
  2. Usuarios de datos
    Los usuarios de datos son responsables de:

    • Utilice la información confidencial solo según sea necesario para desempeñar sus responsabilidades laborales y según lo autorice el custodio de datos.
    • Respetar y proteger la confidencialidad y la privacidad de las personas cuyos registros tienen acceso.
    • Cumplir con las leyes federales y estatales y las políticas y procedimientos de la Organización con respecto al acceso, uso y divulgación de información confidencial.
    • Informe inmediatamente cualquier posible violación de la seguridad informática o uso indebido de la información confidencial al custodio de datos y su supervisor.

Almacenamiento y retención de datos

Retendremos su información confidencial solo el tiempo que sea necesario para cumplir con los fines para los que la recopilamos, incluso para cumplir con los requisitos legales, contables, de informes o hacer cumplir nuestros acuerdos. Nuestro custodio de datos supervisará y habilitará nuestro proceso de identificación de los registros e información que han cumplido su período de retención requerido y supervisará su destrucción.

Los datos electrónicos que contienen información confidencial deben almacenarse en formatos cifrados y en servidores seguros que sean propiedad, mantenidos y operados por la Organización (el "Sistema de datos de la organización"). La información confidencial no se puede almacenar en un sistema que no sea el Sistema de datos de la organización sin el permiso previo del Custodio de datos y la necesidad legítima demostrada. Los datos electrónicos que contienen información confidencial no pueden almacenarse en ningún dispositivo informático móvil, que incluye, entre otros, computadoras portátiles, tabletas, iPads, asistentes digitales personales (PDA), teléfonos celulares, discos CD / DVD R / W, dispositivos USB, unidades flash o unidades zip, sin el permiso previo del Custodio de datos y la necesidad legítima demostrada. Los datos almacenados en dispositivos informáticos móviles deben estar protegidos por los métodos estándar de seguridad actuales (como acceso controlado, firewalls, antivirus, sistemas operativos completamente actualizados y parcheados, etc.). Se prohíbe la comunicación de información confidencial a través de tecnologías de mensajería de usuario final (es decir, correo electrónico, mensajería instantánea, chat u otros métodos de comunicación).

Destrucción de datos

En general, la destrucción y eliminación de un registro implica que se hace irreconocible y se elimina de conformidad con las leyes y regulaciones aplicables.

  • Todos los registros en papel que contengan información confidencial se deben triturar antes de desecharlos. Esto puede lograrse triturándolos en la oficina o mediante un servicio de destrucción de registros acreditado.
  • Los servicios de reciclaje deben usarse siempre que sea posible, pero deben estar certificados y unidos para manejar registros comerciales sensibles o los registros deben destruirse antes de entregarlos al servicio de reciclaje.
  • La información de datos electrónicos programada para destrucción se eliminará de todas las computadoras, bases de datos, redes y almacenamiento de respaldo, o se eliminará de una manera que garantice la protección de cualquier información confidencial, de propiedad o confidencial.
  • Ningún registro, ya sea en papel o en formato electrónico, se destruirá si es parte de, o puede ser parte de un litigio en curso.