privacy-and-online-law
Làm thế nào để xử lý thông tin mật trong các doanh nghiệp được nhập vào?
Table of Contents
Hiểu thông tin mật trong các bộ trộn
Trong bối cảnh M&A, thông tin mật vượt xa những lời khai tài chính, tài sản trí tuệ, khách hàng và người cung cấp hợp đồng, hồ sơ nhân viên chiến lược, kế hoạch chiến lược, đánh giá nội bộ và không có luật lệ công cộng. Một định nghĩa rõ ràng giúp cả người mua lẫn người bán đặt ra những ranh giới thích hợp để chia sẻ và bảo vệ.
Dữ liệu riêng tư thường nằm trong ba loại lớn:
- Tài chính và dữ liệu ) – Sự thu hồi, lề lợi nhuận, cấu trúc nợ nần, dự báo trước và kết quả kiểm toán.
- Dữ liệu dự phòng và hoạt động ) – mã nguồn, quá trình sản xuất, nghiên cứu và phát triển các đường ống, thuật toán độc quyền và giao tiếp nội bộ.
- Thông tin có thể xác nhận (PII) và dữ liệu nhân viên ) – số an ninh xã hội, hồ sơ sức khỏe, chi tiết về lương, và đánh giá hiệu suất — thường phục vụ luật bảo vệ dữ liệu nghiêm ngặt.
Việc chọn sai các loại như nguy cơ thấp có thể rất tốn kém. Theo một nghiên cứu [FLT: 0] [FLT: 1], hơn 40% của M&A đã bị vi phạm dữ liệu trong quá trình tiếp xúc, thường xuất phát từ sự phơi nhiễm không rõ ràng trong lúc cần thiết.
Chuẩn bị trước cho chiến dịch rao giảng: Đặt công việc làm đất cho sự an toàn
Không có thỏa thuận về việc bảo vệ quyền lợi (NDA) là tuyến đầu của phòng thủ
Trước khi trao đổi thông tin mật nào, cả hai bên nên ký kết một NDA mạnh mẽ để xác định rõ ràng những gì cấu tạo thông tin mật, mục đích mà nó có thể được sử dụng, thời gian của sự bí mật, và biện pháp cho sự vi phạm. Sau khi đã ký kết cấu trúc giao dịch riêng biệt - chẳng hạn, bao gồm những điều khoản cung cấp các vật liệu mật sẽ được trả lại hoặc phá hủy như thế nào nếu các đối tác thất bại. Một mục tiêu được thiết kế có tính toán cũng giới hạn việc sử dụng thông tin để đánh giá và thương lượng, ngăn chặn việc sử dụng các sự lạm dụng như việc thuê nhân viên dựa trên dữ liệu. Xem xét việc thêm một điều khoản "đứng dậy" mà người mua từ một điều kiện không muốn đề nghị chia sẻ mục tiêu cho người dùng.
Hiện đại NDA ngày càng bao gồm các dữ liệu đặc biệt bảo mật, yêu cầu bên nhận các tiêu chuẩn mã hóa tối thiểu, thông báo lỗi thời gian và quyền kiểm tra. Điều này thay đổi trọng tâm từ chỉ là nghĩa vụ pháp lý để hoạt động tuân thủ.
Làm sạch các nhóm và phòng dữ liệu được kiểm soát
Để giảm thiểu phơi nắng, nhiều thỏa thuận sử dụng một "một đội sạch sẽ" – một nhóm nhỏ các cố vấn uy tín (các chuyên gia về mặt pháp lý, tài chính, và kỹ thuật) những người xem xét thông tin nhạy cảm cao, như chiến lược giá trị hoặc trí thông minh đối thủ, trước khi nó được chia sẻ với đội tuyển thu nhập rộng hơn. Thành viên sạch sẽ bị ràng buộc bởi các nghĩa vụ bảo mật thêm và không thể tiết lộ chi tiết nhạy cảm cho những người khác trong tổ chức mua những hoạt động cạnh tranh. Phương pháp này đặc biệt có giá trị khi người mua hoạt động trong cùng ngành và có thể đạt được lợi thế không công bằng ngay cả khi thỏa thuận thất bại.
Phòng dữ liệu ảo (VDRs) là tiêu chuẩn cho việc truy cập có kiểm soát. Dẫn đầu VDR Cung cấp các nhà cung cấp (vDT: 3) cho phép hạt, dấu nước, truy cập lại lần lượt và kiểm tra lại mọi tài liệu xem, tải về và in. Trách nhiệm này là quan trọng nếu rò rỉ. Khi chọn một mã nguồn VD, đánh giá độ phân bổ 2. 0C và chỉ thực hiện các thiết bị di động « In » của nó.
Giữ thăng bằng với gia tốc an ninh
Những người mua phải tự kiểm soát an ninh đúng mức về các thực hành bảo vệ dữ liệu của mục tiêu. Những câu hỏi cần nêu ra: Làm thế nào để xác định được rủi ro và mã hóa dữ liệu nhạy cảm? Họ có trải nghiệm bất kỳ lỗ hổng dữ liệu nào trong ba năm qua không?
Những thực hành tốt nhất để giải quyết các dữ liệu mật trong cuộc thương lượng
Giới hạn truy cập vào cơ sở cần thiết để biết
Trong cuộc thương lượng, chỉ những cá nhân cần thông tin mật để hoàn thành giao dịch nên có quyền truy cập. Điều này bao gồm ngân hàng đầu tư, luật sư pháp, quản lý cao cấp, và chọn kết quả hoạt động. Dùng quyền hạn dựa trên chức năng của Hội đồng Quản trị để hạn chế truy cập vào thư mục hay tài liệu riêng. Lấy thí dụ, đội HR có thể cần kế hoạch nhân viên nhưng không cần dữ liệu phụ tùng sản phẩm; nhóm sản phẩm có thể cần thông tin kỹ thuật nhưng không cần danh sách lương. Xem xét thường xuyên các quyền truy cập của thành viên hợp đồng hoặc cố vấn mới. Bỏ qua ngay lập tức cho bất cứ ai để lại đội hợp đồng hoặc không cần thông tin gì.
Kênh liên lạc bảo mật
Email chứa tài liệu mật nên được mã hóa trong giao thông và tạm thời. Xem xét bằng cách sử dụng nền tảng tin nhắn được mã hóa bằng mật khẩu để mật mã hoá. Tất cả các việc truyền tập tin nên xảy ra qua hệ thống VDR, không phải qua các thư điện tử không bảo mật hay các tập tin lưu tạm thời. Nếu cần phải sử dụng thư điện tử, hãy áp dụng khả năng bảo vệ mật khẩu riêng bằng cách truyền mật khẩu qua một kênh khác (v. g. gọi điện thoại). Để có thông tin liên lạc rất nhạy cảm, như thảo luận về quyền hạn hoặc chiến lược hợp pháp — sử dụng các công cụ được mã hoá để hỗ trợ việc gửi emerallal và đăng nhập. Nhiều nhóm khác nhau, đang áp dụng hệ thống hỗ trợ khả năng hỗ trợ khả năng ngăn chặn sự mất mát.
Giao thức xử lý và nhãn hiệu xử lý dữ liệu
Mỗi tài liệu chia sẻ nên được đánh dấu rõ ràng « Tự động » hay « Công cụ cấu hình » là thích hợp. Thiết lập một giao thức đã ghi để xử lý tài liệu vật lý (v. d., khoá tủ tập tin, hủy bỏ sau khi sử dụng) và tập tin số (v. d., tiêu chuẩn mã hóa, xóa bỏ sau khi thỏa thuận đóng). Bao gồm các quy tắc cho máy tính xách tay và thiết bị di động — không có dữ liệu mật nào nên được cất giữ trên thiết bị cá nhân hay trong dịch vụ đám mây không được hỗ trợ. Hãy dùng công cụ quản lý số (DM) mà có thể bị tắt ngay cả sau khi chúng đã tải xuống và mở tài liệu, và tìm kiếm tài liệu.
Người lao động được huấn luyện và nhận thức
Tất cả các nhân viên tương tác với mục tiêu hoặc xử lý dữ liệu liên quan đến giao dịch nên nhận được mục tiêu đào tạo về các nhiệm vụ bí mật. đào tạo nên bao gồm các điều khoản của NDA, sử dụng đúng VDR, làm thế nào để báo cáo một lỗ hổng nghi ngờ, và các hậu quả của việc tiết lộ trái phép. repup định kỳ đặc biệt quan trọng nếu giai đoạn đàm phán kéo dài hơn vài tháng. mô phỏng cách tập luyện và các tình huống lỗ hổng trên bàn có thể giúp nhân viên nhận ra và phản ứng xã hội mà mục tiêu & A nhóm.
Quan tâm đến pháp lý và thực tế
Luật bảo vệ dữ liệu (GDPR, CCPA, và hơn thế nữa)
Những người nhập dữ liệu thường liên quan đến việc chuyển giao và xử lý dữ liệu cá nhân qua các thẩm quyền. Theo bộ luật bảo vệ dữ liệu chung (GDPR) ở Âu Châu, chia sẻ dữ liệu cá nhân với người mua có thể cần một cơ sở hợp pháp (v. d., sự đồng ý hoặc lợi ích hợp pháp) và một thỏa thuận xử lý dữ liệu. Việc không tuân thủ có thể dẫn đến việc phạt lên đến 20 triệu hay 4% số lần chuyển nhượng toàn cầu. Tương tự, Đạo luật tiêu dùng California (CCPA) áp dụng các nghĩa vụ thu thập thông tin cá nhân ở California; việc nhập có thể gây ra những đòi hỏi và lưu trữ dữ liệu.
Cần phải sớm xác định xem có cần phải đánh giá ảnh hưởng riêng tư hay không và để soạn thảo các thỏa thuận phân bổ trách nhiệm cho các lỗ hổng. Để vượt qua các thỏa thuận pháp luật, những cơ chế khác như các ông Clauss (SCC) hay các quy định của tập đoàn kết hợp có thể cần thiết để xác định việc truyền dữ liệu.
Điều luật về việc buôn bán nội gián và lạm dụng thị trường
Thông tin mật M&A là thông tin cổ điển không phải là thông tin chung. Bất cứ ai trao đổi chứng khoán dựa trên kiến thức này – hay lời khuyên khác — có thể chịu trách nhiệm giao dịch nội bộ. Cả Ủy ban mua và giao dịch đều phải thực hiện chính sách giới hạn giao dịch bởi nhân viên "trong việc biết". Nhiều công ty đòi hỏi đội thương mại ký kết các thỏa thuận khác về thời gian bị mất điện và xóa sạch mọi giao dịch thông qua giao dịch. Các Ủy ban Chứng khoán và các ủy ban khác (SEC) và các nhà quản lý khác tích cực giám sát các mẫu hình giao dịch trước công chúng, và có thể bao gồm cả các nhà tù [F: 0] bên trong tài nguyên giao dịch [FT] áp dụng các tiêu chuẩn bảo hiểm [FT].T].T].T]
Nguy cơ danh tiếng và văn hóa thực thể
Bên cạnh sự tuân thủ pháp lý, xử lý thông tin mật bảo tồn sự tin tưởng với nhân viên, khách hàng và đối tác. rò rỉ một thông tin cho thấy sự sát nhập còn chờ đợi trước công chúng có thể gây bất ổn cho công ty, gây ra sự không chắc chắn nhân viên, và phá hoại mối quan hệ với nhà cung cấp. Văn hóa đóng vai trò: khi quản lý hàng đầu chứng minh một cam kết bảo mật, nó đặt ra một quy tắc mà những người khác theo. Việc đào tạo đạo đức nên bao gồm những tình huống như đối với việc phân phối hoặc xử ngẫu nhiên hóa các dữ liệu mật từ bên kia. Thiết lập một hệ thống đạo đức mật cho phép nhân viên mật báo cáo không sợ trả đũa.
Công nghệ và công cụ để chia sẻ dữ liệu bảo mật
Phòng dữ liệu ảo — Không chỉ an ninh cơ bản
Hệ thống VDR hiện đại cung cấp tính năng vượt quá bảo vệ mật khẩu đơn giản. Dấu ấn nước động hiển thị tên và nhãn thời gian của trình xem trên mỗi trang giúp đỡ ngăn chặn và tìm chia sẻ không hợp lệ. Công nghệ « Fenceview » ngăn cản ảnh chụp màn hình trên thiết bị di động. Thiết lập ngoại tuyến cho phép quản trị đặt cấp quyền truy cập khác nhau – e.g.g., xem chỉ bộ duyệt Mạng Mạng (e. d.), in ra khả năng in, hoặc tải về với khát vọng kiểu mật khẩu kiểu « Tài liệu » — mỗi tài liệu hay thư mục. Một số nền tảng cũng cung cấp khả năng truy cập các kiểu AIcly để cờ, như một người dùng để tải tập tin. Khi bạn tải thông báo về các thông báo về các thông báo về các thông báo về các thông báo về các trường hợp an ninh và thời gian thực tế và thông báo về thời gian.
Mã hóa ở khắp mọi nơi
Mọi dữ liệu mật nên được mã hóa lúc còn lại và khi chuyển giao bằng các thuật toán mạnh (v. d., AES26 để cất giữ, TLLM 1. L. Thao tác này nên được mã hóa để gửi đi. Nó áp dụng cho email, chuyển đổi tập tin, và cơ sở dữ liệu. Các tổ chức nên đảm bảo rằng các phím mã hóa được quản lý riêng lẻ từ dữ liệu đã mã hóa, lý tưởng bằng các mô- đun bảo mật phần cứng hoặc dịch vụ quản lý chìa khóa. Cuối cùng, các ứng dụng mã hóa thư được mã hóa (như tín hiệu hay Wickr) có thể được chấp nhận cho đội M&A, nhưng chỉ sau khi kiểm tra xem xét các yêu cầu của công ty. Để xem xét giao thức mã hóa chung, hãy xem xét lại tài liệu có thể an toàn kết quả.
Phòng ngừa và theo dõi dữ liệu (DLP)
Triển khai các công cụ DLP quét thông tin không giới hạn (mail, web tải lên, chuyển đổi USB) cho các mẫu nhạy như số thẻ tín dụng, lời khai tài chính, hoặc nhãn bảo mật. Kết hợp với mạng giám sát, hệ thống DLP có thể cảnh báo các đội an ninh có khả năng lọc dữ liệu. Xem lại bản ghi thông tin thường và hành vi người dùng giúp bắt giữ bên trong các mối đe dọa bên trong trước khi có sự vi phạm lớn xảy ra. Đối với M&A đặc biệt, cấu hình DP để chuyển đổi cờ có tên « Xoá bỏ » hay « Degireence » bên ngoài môi trường VD.
Truy cập Quản lý và Xác định nhân dạng
Xác thực đa mục tiêu (MFA) cần thiết cho tất cả người dùng truy cập VDRs hoặc các kho dữ liệu giao dịch mật. Việc nhập đơn có thể hạn chế tài khoản quản lý nhanh chóng của công ty nếu người dùng rời khỏi bảng tính nếu người dùng rời khỏi nhóm hợp đồng. Để có giao dịch cực kỳ nhạy, một số công ty cần thiết xác thực sinh trắc học hay bảo mật các vật dụng. Các giải pháp đặc biệt cho phép quản lý truy cập (PAM) có thể hạn chế thêm tài khoản quản lý mà có khả năng ghi đè lên giấy phép tài liệu.
Sau khi tính toán tính bí mật
Môi trường dữ liệu được kết hợp một cách an toàn
Một khi sự kết hợp được chấp thuận, hệ thống dữ liệu của hai công ty phải được trộn lẫn mà không tạo ra những gai dễ bị tổn thương mới. Quá trình này nên theo một kế hoạch tích hợp chi tiết gồm dữ liệu bản đồ, nhận dạng dữ liệu, người sở hữu dữ liệu, và chuyển dữ liệu qua các kênh bảo mật (v. d., mã hóa dữ liệu mật sau khi kiểm tra và mã hóa dữ liệu hoạt động, sau khi kiểm tra truy cập và mã hóa.
Chính sách bảo tồn và hủy diệt
Không phải mọi dữ liệu mật cần phải được giữ lại sau khi đăng ký. Thông tin được chia sẻ chỉ để đánh giá — như đánh giá sơ bộ, hợp đồng phác thảo và ghi chú chuyên nghiệp — nên được phá hủy bảo mật hoặc trả lại cho người bán nếu cần thiết bởi NDA. Thiết lập một lịch trình lưu trữ dữ liệu được sắp xếp theo các yêu cầu hợp pháp (v. d. hồ sơ thuế, hồ sơ công việc) và các yêu cầu kinh doanh. Đối với tập tin kỹ thuật số, sử dụng chứng nhận xóa phần mềm đáp ứng 800 tiêu chuẩn NST- 88 hoặc hủy bỏ phương tiện truyền thông. Để có tài liệu, hãy ký kết hợp đồng kết hợp an ninh hủy bỏ chứng nhận tài liệu với chứng nhận của việc hủy bỏ tài liệu. Trong tương lai, cần thiết bị hủy bỏ tài liệu để chứng minh sự kiện.
Cập nhật các hợp đồng làm việc và NDA
Những nhân viên mới từ công ty thu thập nên ký những thỏa thuận cập nhật về các chính sách của tập đoàn, phản ánh các chính sách của tập thể, đồng thời xem xét và duyệt lại bất cứ kế hoạch bảo vệ bí mật nào và các giao dịch sở hữu trí tuệ để đảm bảo họ có thể bao gồm cơ cấu tổ chức mới.
Phát âm liên tục
Tính bảo mật không phải là một sự kiện riêng lẻ. Sau khi nhập, kiểm tra định kỳ quyền truy cập, thực hành dữ liệu chia sẻ nội bộ, và tuân thủ các chính sách nội bộ. Hãy dùng thông tin bảo mật và quản lý sự kiện (SIEM). Dùng công cụ để theo dõi khả năng truy cập cơ sở dữ liệu nhạy. bổ nhiệm một nhân viên bảo vệ dữ liệu (nếu GDPR) hoặc một sĩ quan tuân thủ bảo mật có thể tiếp tục theo các nghĩa vụ pháp lý và tiêu chuẩn nội bộ. Việc kiểm tra thường xuyên của hệ thống kết hợp giúp xác định các khả năng truy cập khi nhập vào cơ sở dữ liệu đã được đưa ra trong tiến trình kết hợp.
Quản lý phần ba và rủi ro nội bộ
Bác bỏ những người tư vấn và người hợp tác bên ngoài
Thỏa thuận M&A phụ thuộc rất nhiều vào các cố vấn của đảng phái thứ ba – ngân hàng đầu tư, công ty luật, công ty kế toán và cố vấn kỹ thuật. Mỗi bên phải được xem xét kỹ lưỡng để có các thực hành bảo mật dữ liệu riêng. Cần có bằng chứng về việc ký kết nối (v. d., SOC 2, ISO 2701) và bao gồm các điều khoản bảo mật được lưu hành từ NDA chính. Giới hạn khả năng của cố vấn để phụ thuộc vào dữ liệu trước khi viết. Xem lại định kỳ truy cập nhật ký của họ, và đảm bảo dữ liệu sẽ được trả lại sau khi đính hôn hoặc bị hủy bỏ.
Sự thâm nhập đe dọa sự dụ dỗ
Những người làm việc và cố vấn có quyền truy cập thông tin mật có thể trở thành nội bộ mối đe dọa — hoặc là sự cố ý hoặc bị bỏ qua. Thi hành cách phân tích hành vi để phát hiện các mẫu truy cập bất thường, như người dùng tải tập tin lớn dữ liệu bên ngoài giờ thường. Thiết lập một chính sách rõ ràng để báo cáo hoạt động đáng ngờ không trả đũa. Nhiều công ty cũng sử dụng " biện pháp ngăn chặn mất dữ liệu" trên kết thúc để chặn chuyển nhượng sang USB hay bên ngoài. Nhắc nhở thường xuyên về hậu quả của việc giao dịch bên trong trách nhiệm cá nhân — bao gồm cả trách nhiệm.
Kết thúc
Việc phân phối thông tin mật trong quá trình tổng hợp kinh doanh đòi hỏi sự liên kết mật thiết, phương pháp đa sắc thái bao gồm các thỏa thuận pháp lý, điều khiển công nghệ, hành vi con người và kỷ luật đóng cửa. Từ tiền lý tưởng NDA và phòng dữ liệu ảo để đăng tải dữ liệu về sự kết hợp và hủy hoại, mỗi giai đoạn của vòng đời M&A đòi hỏi sự cảnh giác và quản lý rủi ro chủ động. Những người đầu tư vào các thực hành bảo mật mạnh mẽ không những bảo vệ mình khỏi hậu quả pháp lý và tài chính mà còn xây dựng sự tin tưởng cần thiết cho một sự thành công, tính hợp nhất. Để đọc thêm [F: 0] Xem xét các hướng dẫn [FT] [FT] và kiểm tra lại các thông tin về sự riêng tư vấn đề: [T] và thông tin: [T]