Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS

Requisitos de Cumplimiento de Correo Electrónico para Empresas

Inicio Glosario Requisitos de Cumplimiento de Correo Electrónico para Empresas

El cumplimiento de correo electrónico va más allá de asegurar que tus correos de marketing sean conformes. También incluye las comunicaciones diarias.

¿Qué es el cumplimiento de correo electrónico? El cumplimiento de correo electrónico es la práctica de seguir protocolos específicos en leyes de privacidad de datos y estándares regulatorios. Estos estándares pueden ser específicos de la industria, como HIPAA o PCI, o específicos de la región, como GDPR.

/wp-content/uploads/2022/01/Email-compliance-glossary.webp

¿Por Qué Es Importante el Cumplimiento de Correo Electrónico?

Los estándares de cumplimiento invariablemente incluyen alguna forma de privacidad de datos. Con la tecnología digital, la seguridad de la información es aún más importante. En consecuencia, la mayoría de las regulaciones requieren alguna forma de protección de datos para transmitir información personal identificable (PII) a través de cualquier canal.

En muchos casos, los controles de seguridad pueden funcionar en un ámbito relativamente más pequeño. El cifrado para transferencias de archivos o servidores de datos está localizado en tecnologías específicas o entornos en la nube, y la seguridad interna puede proteger estos datos.

El Papel de la Información Personal Identificable

Hay más preocupaciones en torno a PII en correos electrónicos. Para empezar, los correos electrónicos, por defecto, no están cifrados a menos que se envíen a través de un servidor cifrado. A diferencia de los sistemas de transferencia de archivos, el cifrado de correo electrónico requiere que tanto el remitente como el receptor usen el mismo método de cifrado para mantener la seguridad. Debido a que el correo electrónico es tan extendido, muchos proveedores de correo electrónico, públicos y privados, encuentran increíblemente difícil alinear el cifrado.

Además, porque el correo electrónico es una de las formas más utilizadas de comunicación en internet, a menudo es utilizado por organizaciones reguladas para comunicarse con el público. Estas organizaciones no tienen control sobre los sistemas de correo fuera de su perímetro, lo que significa que no pueden garantizar la seguridad o privacidad de esa información.

Finalmente, muchas regulaciones también incluyen requisitos de retención de datos y mantenimiento de registros, y los proveedores públicos o de terceros pueden no proporcionar tales características, al menos no por defecto y no sin un costo.

El cumplimiento de correo electrónico es increíblemente importante porque muchas personas dependen del correo electrónico. Después de todo, no es típicamente seguro y representa un espacio potencialmente vulnerable para muchas organizaciones.

¿Qué Leyes de Privacidad Afectan las Comunicaciones por Correo Electrónico?

Los requisitos de cumplimiento no son estándar en todas las industrias o aplicaciones. Las organizaciones necesitan entender las obligaciones y requisitos específicos de una industria dada para enmarcar el cumplimiento para una organización.

Algunos requisitos regulatorios incluyen lo siguiente:

Ley de Portabilidad y Responsabilidad de Seguros de Salud

Bajo las regulaciones de HIPAA, los proveedores de salud deben asegurar la información de salud del paciente contra divulgaciones no autorizadas, lo que descarta el uso de correos electrónicos no cifrados. Muchas de estas organizaciones han recurrido a servidores cifrados, centros de datos privados y enlaces seguros que dirigen a los pacientes a portales interactivos como parte de un plan de correo electrónico conforme a HIPAA. Los proveedores pueden dirigir a los pacientes a sus sistemas seguros sin arriesgar divulgaciones o violar regulaciones con estos enlaces.

Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago

La mayoría de las veces, una organización nunca enviará información de pago a ningún cliente. Internamente, sin embargo, las organizaciones conformes despliegan entornos seguros de datos de titulares de tarjetas que contienen información de pago. El correo electrónico en estos entornos debe cumplir con los requisitos de cifrado del Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS).

Reglamento General de Protección de Datos

El Reglamento General de Protección de Datos (GDPR) es un marco de cumplimiento basado en la Unión Europea conocido por sus estrictos controles de información. El cumplimiento bajo GDPR opera bajo dos contextos diferentes: 

  • Seguridad y Cifrado: Los datos de los consumidores deben ser protegidos por las empresas durante la transmisión y el procesamiento, y esto incluye las comunicaciones. Como tal, los correos electrónicos deben estar cifrados y cualquier información crítica y privada debe ser ofuscada en el servidor y durante el tránsito.
  • Marketing y Consentimiento: GDPR también exige un enfoque de “opt-in” para el cumplimiento de marketing donde las empresas no pueden usar el correo electrónico para fines de marketing sin el consentimiento expreso del consumidor. Esto difiere significativamente de las leyes de EE. UU. que permiten a las empresas agregar direcciones de usuarios a bases de datos de marketing y solo ofrecer opciones de exclusión.

Una ley similar, el Reglamento de Privacidad y Comunicaciones Electrónicas de 2003 hizo mucho de lo mismo en el Reino Unido antes de la existencia de la Unión Europea, requiriendo consentimiento directo para fines de marketing.

Otra ley similar, la Ley de Protección al Consumidor de California, requiere controles de correo electrónico más estrictos para el marketing, como el GDPR. Sin embargo, la CCPA solo se aplica a las empresas que operan en el estado de California.

Programa de Gestión de Riesgos y Autorización Federal y Certificación del Modelo de Madurez de Ciberseguridad

Tanto FedRAMP como CMMC son regulaciones gubernamentales. La primera gobierna productos y servicios en la nube utilizados por agencias federales, y la segunda regula a los contratistas que ofrecen servicios digitales en la cadena de suministro del Departamento de Defensa.

En ambos casos, estos marcos extraen estándares regulatorios de documentos publicados por el Instituto Nacional de Estándares y Tecnología: NIST 800-53 y NIST 800-171. Ambos documentos especifican el cifrado para correos electrónicos y prohíben la transmisión de datos protegidos en correos electrónicos no seguros tanto interna como externamente.

Además, ambos marcos tienen regulaciones para el correo electrónico y el escaneo de vulnerabilidades.

Control de la Agresión de Pornografía No Solicitada y Marketing (CAN-SPAM)

Esta ley de marketing de propósito general, aprobada por el Congreso en 2003, regula cómo los vendedores en EE. UU. envían correos electrónicos. Esto incluye controlar el marketing para incluir estándares como requerir listas de exclusión, contenidos de correo electrónico precisos (incluyendo información de asunto y “De”), y limitaciones en enmascarar información de encabezado o enviar a cuentas recolectadas.

Correo Electrónico y Retención de Datos

Las regulaciones a menudo incluyen una política de retención. Se espera que las organizaciones mantengan registros de todas las comunicaciones por correo electrónico durante un período de tiempo establecido, típicamente en casos donde se pueda necesitar evidencia para procedimientos legales o investigaciones.

Algunos de los marcos que requieren retención de correo electrónico incluyen lo siguiente:

Regulaciones

A Quién Se Aplican

Duración de la Retención de Correo Electrónico Requerida

Ley de Libertad de Información (FOIA)

Agencias Federales y Estatales

3 Años

Ley Sarbanes-Oxley (SOX)

Todas las Empresas Cotizadas en Bolsa

7 Años

Regulaciones de la Corporación Federal de Seguro de Depósitos (FDIC)

Instituciones Financieras

5 Años

Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA )

Proveedores de Salud, Compañías de Seguros y Proveedores que Gestionan Información de Pacientes

7 Años

Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS)

Cualquier Empresa que Procese o Almacene Información de Pago con Tarjeta de Crédito

1 Año

Regulaciones de Reporte del IRS

Todas las Empresas en los Estados Unidos

7 Años

CMMC y Otras Regulaciones de Defensa

Contratistas del DoD

3 Años

La retención puede funcionar de manera diferente para otras jurisdicciones. Por ejemplo, GDPR contiene leyes específicas que limitan cómo las empresas pueden retener y procesar información del consumidor, es decir, no pueden hacerlo más allá de lo razonable para sus propósitos comerciales declarados. Como tal, GDPR no tiene un mínimo o máximo obligatorio para la retención de correos electrónicos.

Desafíos y Mejores Prácticas para el Cumplimiento de Correo Electrónico

Muchas organizaciones no necesariamente saben quién debería tener la responsabilidad del cumplimiento, y debido a esto, muchas lucharán con algunos aspectos del cumplimiento.

En general, hay algunos desafíos para el cumplimiento de correo electrónico:

  1. Capacitación y Educación: Los empleados deben ser capacitados sobre qué información pueden y no pueden compartir por correo electrónico y cómo usar correctamente la tecnología de correo electrónico para mantener cualquier estándar de cifrado o seguridad.
  2. Automatización y Retención: No se puede esperar que los usuarios retengan todos los correos electrónicos, y con cientos de miles de correos electrónicos por año, algunos están destinados a perderse. Configurar la automatización y el almacenamiento seguro puede mitigar los requisitos de cumplimiento de retención sin sobrecargar a los empleados o administradores.
  3. Mantenimiento de Pruebas de Consentimiento: En jurisdicciones como la Unión Europea, las empresas deben tener pruebas de consentimiento para correos electrónicos de marketing. Esto debe integrarse en los CRM u otros sistemas conformes para que todos los registros estén en su lugar si ocurre una auditoría o un desafío por parte de un consumidor.

El Cumplimiento de Correo Electrónico Comienza con Herramientas de Cumplimiento

Enviar correos electrónicos conformes puede parecer una tarea desalentadora. Sin embargo, al usar tecnologías conformes y automatización desde el principio, una organización puede evitar las trampas de mantener el cumplimiento mientras sigue aprovechando las comunicaciones por correo electrónico para comunicarse con clientes y empleados.

La plataforma Kiteworks permite a las organizaciones, en industrias como defensa y fabricación gubernamental, tecnología, salud, ciencias de la vida y farmacéutica, y legal, mantener el cumplimiento de correo electrónico. La plataforma Kiteworks utiliza un sistema de enlaces de correo electrónico seguros, servidores protegidos, monitoreo de datos y análisis para asegurar que no se libere información sensible por correo electrónico y que la documentación de consentimiento y opt-in esté asegurada en un registro de auditoría inmutable.

Para obtener más información sobre Kiteworks, solicita una programa una demostración personalizada.


Volver al Glosario de Riesgo y Cumplimiento

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante
Compartir
Twittear
Compartir
Explore Kiteworks