系统管理员应该熟悉哪些法律陷阱?


20

您应以系统管理员的身份研究哪些法律问题,以免您或您的雇主被指控过失或侵犯隐私权等?

尽管各个国家/地区的法律有所不同,但如果您拥有自己或您认识的某人违反了法律却没有意识到的法律示例,那么它仍然可能会有所启发。


顺便说一句,希望我有个“ gotcha”的好同义词-我讨厌这个词。
用户名2009年

Answers:


15

它在某些方面有很大不同,例如您所从事的行业(以下内容仅适用于美国)...

我从事的许多较小的工作对于PCI DSS将CC信息以纯文本,可公开访问的数据库服务器进行存储非常糟糕,而基础知识只是被忽略了。


1
挑战之一,尤其是对于小型企业而言,是其中提到的某些法规(例如HIPAA)可能令人困惑或模棱两可。从理论上讲,该法规的编写并不是要强迫公司锁定特定的解决方案,但将这种摆动空间视为理所当然是有问题的。
米尔纳2009年

+1 @Milner,在这些法规中尝试“与技术无关”,这几乎没有明确的方向,无论好坏。我们大多数人最能做的就是有一个清晰的“政策和程序”,其中解释了您如何解决灰色区域-然后坚持执行(或修订,然后坚持执行)。必须说明为什么不遵循自己的SOP是一种糟糕的情况。
nedm

1
我们可以在美国添加联邦发现规则(law.com/jsp/legaltechnology/…)(保留要求)。此外,违反通告制度在许多国家存在和联邦医疗保健信息违反通知标准被作为ARRA的一部分通过,目前正在起草(dwt.com/LearningCenter/Advisories?find=79311
nedm

7

以下仅适用于美国;

CIPA:《儿童互联网保护法》

特别是如果您是由州或联邦教育机构雇用的,则:http : //www.fcc.gov/cgb/consumerfacts/cipa.html

FOIA:信息自由法

同样,如果您受政府机构雇用:http : //www.fcc.gov/foia/

FERPA:《家庭教育权和隐私权法》

教育:http//www.ed.gov/policy/gen/guid/fpco/ferpa/index.html


3
儿童色情-您的业务可能会倒闭,因为您的服务器位于数据中心内,而在某些服务器上(美国)某些服务器上存在儿童色情。您真的不能对此太偏执。
卡拉·马菲亚

5

请注意网络分析和入侵检测的法律方面。在某些地方,未经授权的使用nmap会被视为犯罪,试图出于安全(非恶意)目的闯入系统也可能被视为犯罪。

请注意最终用户(如果与他们打交道)以及服务器和其他系统管理员的软件许可问题。如果您选择在企业服务器上运行盗版软件,请了解可能的后果。

请注意您的营业地点,地方,州和联邦法律的隐私法。知道您是什么信息,并且不允许存储。同时,无论是法律条款还是公司准则所规定的信息,您都知道您是什么样子,也不允许他们查看。

另一方面,请注意您的营业地点的信息保留法律。知道需要保留哪些信息,需要保留多长时间以及在需要时将信息透露给谁。能够在隐私和遵守法规之间划清界限(并知道何时为彼此辩护)。


1
许可不仅限于盗版。我们在家里想当然地认为拥有自由使用许可的许多软件,对于商业用途的许可要严格得多。到处都假定它是免费软件并不安全。
暂停,直到另行通知。

4

我在英国,对于一般的电子商务企业来说,最重要的法律是:

  • 数据保护法
  • 远程销售法规和商品说明法
  • 公司法的某些部分-例如,你必须有一个商业网站,即使你不卖任何您注册的公司号码和地址。我已经看到一个坏了很多次。
  • PCI合规性(好的,不是法律,而是重要的)

3

实际上,只有您告诉我们您的位置,才能回答这个问题。

我个人认为SysAdmin是负责每一个数据位的人,因此在数据丢失/暴露/滥用时承担最大的风险(即使您不会面对法律后果,老板也会找您并且您将不得不解释为什么地球上的数据可能会从您的公司中移出)。

我个人确保:

  • 万一需要,我可以访问每条信息(所有信息,毕竟当狗屎撞到我时,我站在风扇的反面)
  • 我告诉老板
  • 我告诉老板,未经允许,我将不会访问任何内容
  • 我告诉老板,如果我对数据访问请求不满意,我将要求另一方监视我和请求者
  • 我希望以上所有内容均以书面形式签字并盖章

我确定的其他事项:

  • 听到一切
  • 看到一切
  • 什么都不说

这些要点与侦听文件或类似内容无关,而只是与同事和同事定期聊天,并试图将不同的部分组合在一起。

一无是处谈论从某种意义上说不参与聊天,人们经常向我提出有关丢失密码,要还原的文件或其他内容的请求。这可能会导致人们对本来努力工作的人有某些意见,我不希望那样。

  • 告诉大家我和老板达成的共识

这可以用人与人交谈,公司邮件或海报来进行,并带有友好的提示,即公司中存在可以访问所有数据的一方。

这些并不是法律同事的确切例子,或者我偶然发现。但这就是“无话可说”发挥作用的部分。很抱歉让您失望的例子。



1

发生数据泄露事件时,有许多有关PII(个人身份信息)的州立法。加利福尼亚的1386年法案要求,必须通知所有受到数据泄露(信息受损)影响的人。其他许多州也有类似规定。

另外,作为对PCI-DSS的一种澄清(不是严格的法律要求),卡品牌(万事达(MasterCard),维萨(Visa),发现(Discover),美国运通(AmEx))要求其商家银行要求供应商遵守PCI-DSS。如果您违反PCI,则不会受到法律起诉,但是,如果违反PCI,则每天可能被商人银行罚款数千美元(或更多)。如果您不遵守规定,最终将失去进行信用卡交易的能力,这对于大多数在线零售商来说都是致命的一击。


1

针对使用信用卡的客户的PCI DSS,以及每次启用日志记录的机会,将来可能需要您生成这些日志。有时最好不要记录任何东西。


1

电子发现是一个很大的“陷阱”。这些是美国在发生诉讼时保留电子信息并将其提供给另一方的要求。

在首次起诉公司之前,系统管理员应在公司律师上花一些时间,以便在有需要时制定符合这些要求的计划。诉讼出现后,未能立即(以正确的方式)保留所有必要的电子记录,这给公司造成了极大的伤害(包括败诉,否则可能不会败诉)。


0

在警务或官方理事会环境中,处理数字证据时需要小心。您要做的最后一件事是,当您所做的一切只是帮助将某种媒体从一种格式转换为另一种格式时,就需要在法庭上作证。

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.