你的合同会让你面临网络安全责任问题吗
如果你最近没看合同的话, 你可能在不知不觉中为另一方的网络安全风险承担了责任. 更糟的是, 你可能不知道他们还没有承担起保护你的数据的责任. 不幸的是,这不是一个新事物,它确实有一个名字. 它通常被称为第三方风险和预防,是一个强大的第三方尽职调查过程.
如果你在没有法律审查的情况下签署合同, 或者没有审查长期合同, 你可能会承担比你意识到的更多的责任. 网络安全法正在迅速变化,了解你的行业是非常重要的. 你需要清楚地了解你的合同以及合同可能给你带来的风险. 不幸的是,我们看到很大一部分客户在理解上存在这种差距.
了解你的条款
签订合同是日常的商业活动, 他们的条款定义了你的职责, 你将交付什么?, 以及你的伴侣会为你的服务付多少钱. 它们还定义了你的伴侣对你的互惠义务. 在大多数合同中, 您接受或假定您的合作伙伴接受对其将拥有的数据进行法律或监管控制的责任, 在一段时间内,他们保持占有. 例如,想想你与银行的关系. 你有钱(数据)需要存入(共享)给他们(第三方),你希望他们能控制它(第三方风险). 他们接受你的存款协议(合同)中的角色。.
为您提供一个信息安全示例, 在医疗保健方面, 第三方供应商(业务伙伴)对其护理的患者数据遵守与共享数据的医疗保健提供者(所涵盖的实体)类似的HIPAA隐私标准. 在这种情况下, 你需要确保你的企业没有承担所有的责任,并释放第三方. 如果合同中的语言将所有责任推给你,而医疗服务提供者违反了HIPAA, 你可能会发现自己有责任, 即使你没有直接对数据做任何事情,使其处于危险之中. 然而,你显然错过了提前对合同进行尽职调查的步骤.
在另一个例子中, 如果你要买一家公司, 你通常会获得该公司所有的监管责任. 它不能被“卖掉”.“不幸的是, 很多人都没有通过公司合同中的网络安全责任敞口来评估这一点. 网络卫生不佳的公司售价较低.
至关重要的是,你能够清楚地描述谁对什么负责.
商界日益关注的问题
大多数行业还没有适应网络监管的速度和速度, 几乎所有类型的交易都涉及到它们. 模板化的契约没有跟上变化的步伐. 每个行业都有数据,责任在人们没有意识到的情况下已经转移. 如果合作伙伴持有或访问受监管的信息,则每年都需要对每份合同进行网络安全责任审查.
除了, 企业主——尤其是小企业主——专注于生产产品或提供服务, 不 他们的网络安全风险. 公司签署的协议没有经过审查, 因此, 没有意识到他们已经承担了其他企业的所有责任,如果有违约. 平均自付费用为11.9万美元,这个简单的疏忽可能会成为商业杀手.
想知道数据泄露会让你付出多少代价? 看看我们的网络破坏计算器就知道了.
保护你自己 & 你的数据
为了保护你自己, 你的数据, 以及你的整个业务, 您需要了解您的业务所在领域的法律法规. 法律是不断变化的,俄亥俄州的法律和印第安纳州的法律不一样. 与你所在领域的专家接触是绝对重要的, 通常是律师事务所或会计师事务所的网络安全顾问. 然后, 一定要从证书和经验水平方面寻找他们技能组合的适当证据. 你想让注册会计师帮你算账,让有执照的律师给你提供咨询. 你还应该联系一位认证的网络安全风险专家,他会致力于为你的业务提供帮助. 在一起, 你的团队应该专注于让你的大门在明天和未来保持开放.
然后做一个风险评估. 在签署运营协议时,专家可以发现你没有注意到的风险,并找出网络安全责任方面的差距. 理想情况下,这应该在签订合同之前完成,或者至少在问题出现之前完成. 很多时候,企业在问题出现之前都不会审查他们的合同.
关键是要立即审查所有合同中的赔偿和责任条款. 今天就做. 你可能承担了比你意识到的更多的责任, 当你续约的时候,可能是时候重新谈判或者开始准备改变了. 和, 当然, 所有未来的协议是否都由了解未来合同和责任的人审查.
正如一位律师朋友过去常说的:“墨水很便宜. 法律辩护费用昂贵.”
如果您想了解更多关于第三方尽职调查或网络安全风险评估的信息, 直接打330和我联系.651.7040 or 保罗.hugenberg@yxxxstone.com. 或者,点击这里填写我们的 “安全的赌博软件” 表格,并要求与意图的网络安全和数据保护服务团队成员交谈.
By 特拉维斯·斯特朗,CISA (伍斯特哦)
寻找加法网络安全洞察? 看看这些资源: