Con quali aspetti legali dovrebbe avere familiarità un amministratore di sistema?

20

Quali questioni legali dovresti ricercare come amministratore di sistema per evitare che tu o il tuo datore di lavoro veniate accusati di negligenza o di violazione della privacy, ecc.?

Mentre le leggi variano da paese a paese e da stato a stato, potrebbe comunque essere illuminante se hai un esempio di una legge che tu, o qualcuno che conosci, hai infranto senza accorgertene.

untagged 
nome utente
fonte
tra l'altro, vorrei avere un buon sinonimo di "gotcha" - odio quella parola.
nome utente

Risposte:

15

Dipende in gran parte da alcune cose come il settore in cui ti trovi (quanto segue vale solo per gli Stati Uniti) ...

  • Assistenza sanitaria: HIPAA
  • Istruzione: FERPA
  • Se la tua azienda è quotata alla SEC: Sarbanes Oxley
  • Se la tua azienda effettua transazioni con carta di credito - PCI DSS

Molti dei lavori minori che ho svolto sono stati piuttosto negativi riguardo alla memorizzazione PCI DSS di informazioni CC in un server di database in chiaro, accessibile al pubblico ... elementi di base che sono stati appena trascurati.

andyh_ky
fonte
1
Una delle sfide, in particolare per le piccole imprese, è che alcune delle normative citate (HIPAA per esempio) possono essere confuse o ambigue. La teoria è che i registri sono scritti per non costringere le aziende a rinchiudersi in soluzioni particolari, ma dare per scontato che lo spazio di manovra per scontato potrebbe essere problematico.
Milner,
+1 @Milner, in questi regolamenti i tentativi di essere "tecnologici" lasciano una direzione poco chiara, che è sia buona che cattiva. Il meglio che la maggior parte di noi può fare è avere una chiara Policy + Procedure che spieghi come si affrontano le aree grigie - e quindi attenersi ad essa (o rivedere, quindi attenersi ad essa). Dover spiegare perché non hai seguito il tuo SOP è una brutta situazione.
nedm,
1
Possiamo aggiungere regole federali di scoperta ( law.com/jsp/legaltechnology/… ) negli Stati Uniti (requisiti di conservazione). Inoltre, in molti stati esistono leggi sulla notifica delle violazioni e uno standard federale di notifica delle violazioni delle informazioni sanitarie è stato approvato nell'ambito di ARRA ed è attualmente in fase di elaborazione ( dwt.com/LearningCenter/Advisories?find=79311 )
nedm
7

Quanto segue si applica solo agli Stati Uniti;

CIPA: Legge sulla protezione di Internet per bambini

Soprattutto se sei impiegato da un'entità educativa statale o federale: http://www.fcc.gov/cgb/consumerfacts/cipa.html

FOIA: legge sulla libertà di informazione

Ancora una volta se sei impiegato da un'entità governativa: http://www.fcc.gov/foia/

FERPA: Legge sui diritti educativi familiari e sulla privacy

Istruzione: http://www.ed.gov/policy/gen/guid/fpco/ferpa/index.html

l0c0b0x
fonte
3
Child Porn: la tua attività può andare in crisi perché i tuoi server si trovavano in un datacenter SUCCESSIVO ad alcuni server con pornografia infantile (negli Stati Uniti). Non puoi davvero essere troppo paranoico su questo.
Kara Marfia,
5

Essere consapevoli del lato legale dell'analisi della rete e del rilevamento delle intrusioni. In alcuni luoghi, un uso non autorizzato nmappuò essere considerato un crimine, così come il tentativo di irrompere nei sistemi per scopi di sicurezza (non malevoli).

Fai attenzione ai problemi di licenza del software, sia per gli utenti finali (se li gestisci) sia per i tuoi server e altri amministratori di sistema. Conoscere le possibili ramificazioni se si sceglie di eseguire software piratato su un server aziendale.

Essere consapevoli delle leggi sulla privacy per la propria sede di attività, sulla legge locale, statale e federale. Scopri quali informazioni sei e non puoi memorizzare. Sapere anche quali informazioni si sono e non sono autorizzati a guardare, sia in termini legali che secondo le linee guida della propria azienda.

Il rovescio della medaglia, essere consapevoli delle leggi sulla conservazione delle informazioni per la propria sede di attività. Scopri quali informazioni devi conservare, per quanto tempo devi conservarle e a chi devi divulgarle quando richiesto. Essere in grado di tracciare il confine tra privacy e rispetto delle normative (e sapere quando difendere l'una o l'altra).

Tim
fonte
1
C'è di più nelle licenze oltre alla semplice pirateria. Molti software che diamo per scontati a casa con licenze liberali per uso personale hanno una licenza molto più restrittiva per uso commerciale. Non è sicuro supporre che sia freeware ovunque.
In pausa fino a nuovo avviso.
4

Sono nel Regno Unito e direi che le leggi più importanti per un'azienda di e-commerce media sarebbero:

  • La legge sulla protezione dei dati
  • Regolamento sulle vendite a distanza e legge sulle descrizioni commerciali
  • Alcune parti di The Companies Act - ad esempio, devi avere il numero e l'indirizzo della tua azienda registrati su un sito web aziendale anche se non vendi nulla. L'ho visto rotto molte volte.
  • Conformità PCI (ok, non una legge ma importante)
DRAEMON
fonte
3

A questa domanda si può effettivamente rispondere solo se ci dici dove ti trovi.

Personalmente ritengo che l'amministratore di sistema sia la persona responsabile di ogni singolo dato, quindi comporta il rischio maggiore quando i dati vengono persi / esposti / abusati (anche se non dovrete affrontare conseguenze legali il vostro capo verrà da voi e dovrai spiegare perché mai i dati potrebbero uscire dalla tua azienda).

Mi assicuro personalmente che:

  • Nel caso sia necessario, posso accedere a ogni informazione ( tutto , dopotutto sono la parte sbagliata della ventola quando la merda lo colpisce)
  • Dico questo al mio capo
  • Dico al mio capo che non accederò a nulla senza permesso
  • Dico al mio capo che chiederò a un'altra parte di sorvegliare me e il richiedente se non mi sento a mio agio con la richiesta di accesso ai dati
  • Voglio che tutto quanto sopra firmato e sigillato in modo scritto

Altre cose che mi assicuro:

  • Ascolta tutto
  • Vedi tutto
  • Non parlare di niente

Questi punti non riguardano il curiosare nei file o qualcosa del genere, si tratta solo di chattare regolarmente con colleghi e colleghi e cercare di mettere insieme i diversi pezzi.

Parlare di niente, niente significa non partecipare alla chat da un certo punto, le persone vengono regolarmente da me con richieste di password perse, file da ripristinare o altro. Ciò potrebbe ricondurre ad alcune opinioni su persone che altrimenti lavorano duramente, non lo voglio.

  • Racconta a tutti delle cose che il mio capo e io abbiamo concordato

Questo può essere in termini di parlare da persona a persona, mail aziendali o poster con promemoria amichevoli sul fatto che esiste una festa in azienda che può accedere a tutti i dati.

Questi non sono esattamente esempi di colleghi di legge o mi sono imbattuto in. Ma questa è la parte in cui "Talk about nothing" inizia a suonare. Mi dispiace deluderti con esempi.

serverhorror
fonte
2

La tua legislazione sulla protezione dei dati. AUP del datore di lavoro - sapere che dentro e fuori - si applica anche a te!

Maximus Minimus
fonte
1

Esistono varie leggi statali relative alle PII (informazioni di identificazione personale) in caso di violazione dei dati. La California 1386 richiede che tutti coloro che sono interessati dalla violazione dei dati (compromissione delle loro informazioni) debbano essere informati. Molti altri stati hanno disposizioni simili.

Inoltre, come chiarimento su PCI-DSS, che non è un requisito strettamente legale, i marchi di carte (MasterCard, Visa, Discover, AmEx) richiedono alle loro banche commerciali di richiedere ai fornitori di aderire a PCI-DSS. Se violi PCI, non sarai perseguito legalmente, tuttavia puoi essere multato per migliaia di dollari al giorno (o più) dalla tua banca mercantile mentre sei in violazione. Se non si ottiene la conformità, alla fine si perderà la capacità di effettuare transazioni con carta di credito, il che sarebbe un bacio mortale per la maggior parte dei rivenditori online.

David Yu
fonte
1

PCI DSS per i clienti che accettano carte di credito e la possibilità che ogni volta che si abilita la registrazione potrebbe essere necessario produrre tali registri in futuro. A volte è meglio non aver registrato nulla.

nray
fonte
1

La scoperta elettronica è un grande "gotcha". Questi sono i requisiti negli Stati Uniti per conservare le informazioni elettroniche in caso di azione legale e renderle disponibili per l'altra parte.

Il amministratore di sistema dovrebbe trascorrere un po 'di tempo con gli avvocati della società PRIMA della prima volta che la società viene citata in giudizio, in modo da disporre di un piano per conformarsi a tali requisiti, se necessario. La mancata conservazione di tutti i registri elettronici necessari (e nel modo giusto) immediatamente all'arrivo di una causa e ha ferito enormemente l'azienda (inclusa la perdita di una causa che altrimenti non avrebbe potuto essere persa).

Will M
fonte
0

In un ambiente di polizia o del consiglio della corona, è necessario fare attenzione quando si maneggiano prove digitali. L'ultima cosa che vuoi è che ti sia richiesto di testimoniare in tribunale quando tutto ciò che hai fatto è stato aiutare a convertire una sorta di media da un formato all'altro.

Matt Hanson
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.