Jakie legalne problemy powinien znać administrator systemu?

Jakie kwestie prawne należy zbadać jako administrator systemu, aby uniknąć oskarżenia o zaniedbanie lub naruszenie prywatności itp.?

Chociaż przepisy różnią się w poszczególnych krajach i stanach, może to być pouczające, jeśli masz przykład prawa, które ty lub ktoś, kogo znasz, złamałeś, nie zdając sobie z tego sprawy.

Różni się w dużej mierze od kilku rzeczy, na przykład w jakiej branży jesteś (poniższe informacje dotyczą tylko USA) ...

• Opieka zdrowotna: HIPAA
• Edukacja: FERPA
• Jeśli Twoja firma jest przedmiotem handlu z SEC: Sarbanes Oxley
• Jeśli Twoja firma dokonuje transakcji kartą kredytową - PCI DSS

Wiele mniejszych zadań, które pracowałem, były dość złe w przechowywaniu przez CC DSS informacji CC w jawnym tekście, publicznie dostępnym serwerze bazy danych ... podstawy, które zostały po prostu zaniedbane.

Poniższe informacje dotyczą tylko USA;

CIPA: Ustawa o ochronie dzieci w Internecie

Zwłaszcza jeśli jesteś zatrudniony przez stanową lub federalną jednostkę edukacyjną: http://www.fcc.gov/cgb/consumerfacts/cipa.html

FOIA: Ustawa o wolności informacji

Ponownie, jeśli jesteś zatrudniony przez podmiot rządowy: http://www.fcc.gov/foia/

FERPA: Ustawa o prawach edukacyjnych i prywatności rodziny

Edukacja: http://www.ed.gov/policy/gen/guid/fpco/ferpa/index.html

Należy pamiętać o prawnej stronie analizy sieci i wykrywania włamań. W niektórych miejscach nieuprawnione użycie nmapmoże być uznane za przestępstwo, podobnie jak próba włamania się do systemów w celach bezpieczeństwa (innych niż złośliwe).

Pamiętaj o problemach z licencjonowaniem oprogramowania, zarówno dla użytkowników końcowych (jeśli sobie z nimi radzisz), jak i dla swoich serwerów i innych administratorów. Poznaj możliwe konsekwencje, jeśli zdecydujesz się uruchomić pirackie oprogramowanie na serwerze biznesowym.

Należy pamiętać o przepisach dotyczących prywatności obowiązujących w miejscu prowadzenia działalności, w prawie lokalnym, stanowym i federalnym. Dowiedz się, jakie informacje jesteś i nie możesz przechowywać. Dowiedz się również, jakie informacje jesteś i nie możesz przeglądać, zarówno pod względem prawnym, jak i zgodnie z wytycznymi Twojej firmy.

Z drugiej strony należy pamiętać o przepisach dotyczących przechowywania informacji w miejscu prowadzenia działalności. Dowiedz się, jakie informacje musisz przechowywać, jak długo musisz je przechowywać i komu musisz je ujawnić na żądanie. Być w stanie wytyczyć granicę między prywatnością a przestrzeganiem przepisów (i wiedzieć, kiedy stanąć w obronie jednego lub drugiego).

Jestem w Wielkiej Brytanii i powiedziałbym, że najważniejsze przepisy dla przeciętnego biznesu e-commerce to:

• Ustawa o ochronie danych
• Ustawa o sprzedaży na odległość i opisach transakcji
• Niektóre części ustawy o spółkach - na przykład musisz mieć zarejestrowany numer firmy i adres na stronie internetowej firmy, nawet jeśli nic nie sprzedajesz. Widziałem to wiele razy zepsute.
• Zgodność z PCI (ok, nie prawo, ale ważne)

Odpowiedzi na to pytanie można udzielić tylko wtedy, gdy powiesz nam, gdzie się znajdujesz.

Osobiście uważam, że SysAdmin jest osobą odpowiedzialną za każdą część danych, dlatego niesie największe ryzyko w przypadku utraty / ujawnienia / nadużycia danych (nawet jeśli nie poniesiesz konsekwencji prawnych, twój szef do ciebie przyjdzie i będziesz musiał wyjaśnić, dlaczego na ziemi dane mogą wydostać się z Twojej firmy).

Osobiście upewniam się, że:

• W razie potrzeby mogę uzyskać dostęp do każdej informacji ( wszystko , w końcu stoję po niewłaściwej stronie wentylatora, gdy gówno ją uderza)
• Mówię to mojemu szefowi
• Mówię mojemu szefowi, że nie uzyskam dostępu do niczego bez pozwolenia
• Mówię mojemu szefowi, że jeśli nie czuję się komfortowo z żądaniem dostępu do danych, poproszę inną osobę, aby mnie obserwowała i wnioskodawcę
• Chcę, aby wszystkie powyższe zostały podpisane i opatrzone pieczęcią na piśmie

Inne rzeczy, które zapewniam:

• Posłuchaj wszystkiego
• Zobacz wszystko
• Mów o niczym

Te punkty nie dotyczą szperania w plikach ani nic takiego, chodzi tylko o regularne rozmowy z kolegami i współpracownikami i próbowanie dopasowania różnych elementów.

Mów o niczym nic nie znaczy, że od pewnego momentu nie uczestniczysz w czacie, ludzie przychodzą do mnie regularnie z prośbami o utracone hasła, pliki do przywrócenia lub inne rzeczy. To może prowadzić do pewnych opinii na temat ciężko pracujących ludzi, nie chcę tego.

• Powiedz wszystkim o tym, co uzgodniliśmy z szefem

Może to polegać na rozmowach między osobami, firmowych wiadomościach e-mail lub plakatach z przyjaznymi przypomnieniami, że w firmie jest impreza, która może uzyskać dostęp do wszystkich danych.

Nie są to dokładnie przykłady prawników, o których się potknąłem. Ale właśnie w tym momencie zaczyna się „Rozmowa o niczym”. Przepraszam, że cię rozczarowałem przykładami.

Twoje przepisy dotyczące ochrony danych. AUP pracodawcy - to wiem na lewą stronę - dotyczy to ciebie też!

Istnieją różne ustawodawstwa stanowe dotyczące PII (dane osobowe) w przypadku naruszenia danych. Kalifornijska wersja 1386 wymaga, aby każdy, kto został naruszony w wyniku naruszenia ochrony danych (narażenie na szwank ich danych), musi zostać powiadomiony. Wiele innych stanów ma podobne przepisy.

Również jako wyjaśnienie na temat PCI-DSS, które nie jest wymogiem ściśle prawnym, marki kart (MasterCard, Visa, Discover, AmEx) wymagają od swoich banków handlowych, aby wymagali od dostawców przestrzegania PCI-DSS. Jeśli naruszysz PCI, nie będziesz ścigany zgodnie z prawem, jednak możesz zostać ukarany grzywną w wysokości tysięcy dolarów dziennie (lub więcej) przez bank handlowy, gdy naruszasz prawo. Jeśli nie zastosujesz się do przepisów, w końcu stracisz możliwość dokonywania transakcji kartami kredytowymi, co dla większości sprzedawców internetowych byłoby pocałunkiem śmierci.

PCI DSS dla klientów, którzy biorą karty kredytowe, oraz szansa, że ​​za każdym razem, gdy włączysz rejestrowanie, być może będziesz musiał wygenerować te logi w przyszłości. Czasami lepiej nie nagrywać niczego.

E-discovery to duża „gotcha”. Są to wymagania w USA, aby zachować informacje elektroniczne na wypadek procesu sądowego i udostępnić je drugiej stronie.

Administrator systemu powinien spędzić trochę czasu z prawnikami firmy PRZED pierwszym razem, gdy firma zostanie pozwana, abyś miał plan spełnienia tych wymagań, jeśli zajdzie taka potrzeba. Brak zachowania wszystkich niezbędnych zapisów elektronicznych (i we właściwy sposób) natychmiast po zbliżającym się pozwie i ogromnym skrzywdzeniu firmy (w tym przegraniu procesu, który w przeciwnym razie nie zostałby utracony).

W środowisku policji lub rady koronnej należy zachować ostrożność przy przetwarzaniu dowodów cyfrowych. Ostatnią rzeczą, jakiej chcesz, jest obowiązek złożenia zeznań w sądzie, gdy wszystko, co zrobiłeś, to pomoc w konwersji pewnego rodzaju nośnika z jednego formatu na inny.