Quels pièges juridiques un administrateur système doit-il connaître?

20

Quels problèmes juridiques devez-vous rechercher en tant qu'administrateur système pour éviter que vous ou votre employeur ne soyez accusé de négligence ou de violation de la vie privée, etc.?

Bien que les lois varient d'un pays à l'autre et d'un État à l'autre, il peut encore être instructif si vous avez un exemple de loi que vous, ou quelqu'un que vous connaissez, avez enfreinte sans vous en rendre compte.

untagged nom d'utilisateur
la source
btw, j'aurais aimé avoir un bon synonyme de "gotcha" - je déteste ce mot.
nom d'utilisateur

Réponses:

15

Cela varie en grande partie sur certaines choses comme l'industrie dans laquelle vous vous trouvez (ce qui suit s'applique aux États-Unis uniquement) ...

  • Soins de santé: HIPAA
  • Enseignement: FERPA
  • Si votre entreprise est négociée avec la SEC: Sarbanes Oxley
  • Si votre entreprise effectue des transactions par carte de crédit - PCI DSS

Beaucoup de petits travaux sur lesquels j'ai travaillé ont été assez mauvais à propos du stockage PCI DSS des informations CC en texte brut, serveur de base de données accessible au public ... les bases qui ont été négligées.

andyh_ky
la source
1
L'un des défis, en particulier pour les petites entreprises, est que certaines des réglementations mentionnées (HIPAA par exemple) peuvent être déroutantes ou ambiguës. La théorie est que les règles sont écrites pour ne pas forcer les entreprises à s'enfermer dans des solutions particulières, mais prendre cette marge de manœuvre pour acquise pourrait être problématique.
Milner
+1 @Milner, les tentatives dans ces réglementations d'être «agnostiques à la technologie» laissent peu de direction claire, ce qui est à la fois bon et mauvais. Le mieux que la plupart d'entre nous pouvons faire est d'avoir une politique + des procédures claires qui expliquent comment vous abordez les zones grises - et ensuite vous y tenir (ou réviser, puis vous y tenir). Devoir expliquer pourquoi vous n'avez pas suivi votre propre SOP est une mauvaise situation.
nedm
1
Pouvons-nous ajouter des règles fédérales de découverte ( law.com/jsp/legaltechnology/… ) aux États-Unis (conditions de conservation). En outre, des lois sur la notification des violations existent dans de nombreux États et une norme fédérale d'avis de violation des informations sur les soins de santé a été adoptée dans le cadre de l'ARRA et est actuellement en cours de rédaction ( dwt.com/LearningCenter/Advisories?find=79311 )
nedm
7

Ce qui suit s'applique aux États-Unis uniquement;

CIPA: Loi sur la protection d'Internet pour les enfants

Surtout si vous êtes employé par une entité éducative fédérale ou d'État: http://www.fcc.gov/cgb/consumerfacts/cipa.html

FOIA: Loi sur la liberté d'information

Encore une fois, si vous êtes employé par une entité gouvernementale: http://www.fcc.gov/foia/

FERPA: Loi sur les droits éducatifs et la vie privée des familles

Éducation: http://www.ed.gov/policy/gen/guid/fpco/ferpa/index.html

l0c0b0x
la source
3
Pornographie enfantine - votre entreprise peut faire faillite parce que vos serveurs se trouvaient dans un centre de données à côté de certains serveurs qui contenaient de la pornographie enfantine (aux États-Unis). Vous ne pouvez vraiment pas être trop paranoïaque à ce sujet.
Kara Marfia
5

Soyez conscient du côté juridique de l'analyse de réseau et de la détection d'intrusion. Dans certains endroits, une utilisation non autorisée de nmappeut être considérée comme un crime, tout comme le fait de tenter de pénétrer dans des systèmes à des fins de sécurité (non malveillantes).

Soyez conscient des problèmes de licence logicielle, à la fois pour les utilisateurs finaux (si vous les traitez) et pour vos serveurs et autres administrateurs système. Connaissez les ramifications possibles si vous choisissez d'exécuter un logiciel piraté sur un serveur d'entreprise.

Soyez au courant des lois sur la confidentialité de votre établissement, sur les lois locales, étatiques et fédérales. Sachez quelles informations vous êtes et n'êtes pas autorisé à stocker. Sachez également quelles informations vous êtes et n'êtes pas autorisé à consulter, à la fois en termes juridiques et conformément aux directives de votre entreprise.

D'un autre côté, soyez conscient des lois sur la conservation des informations pour votre établissement. Sachez quelles informations vous devez conserver, combien de temps vous devez les conserver et à qui vous devez les divulguer sur demande. Être capable de tracer la ligne entre la confidentialité et le respect des réglementations (et savoir quand défendre l'un ou l'autre).

Tim
la source
1
La licence ne se limite pas au piratage. Beaucoup de logiciels que nous tenons pour acquis à la maison et qui ont des licences d'utilisation personnelle libérales sont beaucoup plus restrictifs pour une utilisation commerciale. Il n'est pas sûr de supposer que c'est un logiciel gratuit partout.
pause jusqu'à nouvel ordre.
4

Je suis au Royaume-Uni, et je dirais que les lois les plus importantes pour une entreprise de commerce électronique moyenne seraient:

  • Loi sur la protection des données
  • Règlement sur la vente à distance et Loi sur les descriptions commerciales
  • Certaines parties de la Loi sur les sociétés - par exemple, vous devez avoir votre numéro de société enregistré et votre adresse sur un site Web d'entreprise, même si vous ne vendez rien. J'ai vu celui-là se briser plusieurs fois.
  • Conformité PCI (ok, pas une loi mais important)
Draemon
la source
3

Cette question ne peut en fait être répondue que si vous nous dites où vous vous trouvez.

Personnellement, je considère que le SysAdmin est la personne qui est en charge de chaque bit de données, porte donc le plus grand risque lorsque les données sont perdues / exposées / abusées (même si vous ne subirez pas de conséquences juridiques, votre patron viendra à vous). et vous devrez expliquer pourquoi ces données pourraient sortir de votre entreprise).

Je m'assure personnellement que:

  • Au cas où cela serait nécessaire, je peux accéder à chaque information ( tout , après tout, je suis du mauvais côté du ventilateur lorsque la merde le frappe)
  • Je le dis à mon patron
  • Je dis à mon patron que je n'accéderai à rien sans permission
  • Je dis à mon patron que je demanderai à une autre partie de me surveiller ainsi que le demandeur si je ne me sens pas à l'aise avec la demande d'accès aux données
  • Je veux que tout ce qui précède soit signé et scellé par écrit

Autres choses dont je m'assure:

  • Tout entendre
  • Tout voir
  • Ne parle de rien

Ces points ne concernent pas l'espionnage dans des fichiers ou quelque chose comme ça, il s'agit simplement de bavarder régulièrement avec des collègues et des collègues et d'essayer d'assembler les différentes pièces.

Parler de rien, rien ne veut dire ne pas participer au chat à partir d'un certain point, les gens me viennent régulièrement avec des demandes de mots de passe perdus, de fichiers à restaurer ou d'autres trucs. Cela pourrait ramener à certaines opinions sur des gens qui travaillent autrement, je ne veux pas.

  • Parle à tout le monde de ce que mon patron et moi avons convenu

Cela peut être en termes de parler de personne à personne, de courriers électroniques ou d'affiches avec des rappels amicaux qu'il y a une partie dans l'entreprise qui pourrait accéder à toutes les données.

Ce ne sont pas exactement des exemples de lois collègues ou j'ai trébuché. Mais c'est la partie où "Talk about nothing" vient jouer. Désolé de vous décevoir avec des exemples.

serveurhorror
la source
2

Votre législation sur la protection des données. AUP de votre employeur - sachez-le à fond - cela s'applique aussi à vous!

Maximus Minimus
la source
1

Il existe différentes législations nationales concernant les informations personnelles identifiables (PII) en cas de violation de données. 1386 en Californie exige que toute personne affectée par la violation de données (compromission de ses informations) soit avertie. De nombreux autres États ont des dispositions similaires.

Également à titre de clarification sur PCI-DSS, qui n'est pas une exigence strictement légale, les marques de cartes (MasterCard, Visa, Discover, AmEx) exigent que leurs banques d'affaires exigent des fournisseurs qu'ils adhèrent à PCI-DSS. Si vous violez le PCI, vous ne serez pas poursuivi en justice, mais vous pouvez être condamné à des milliers de dollars par jour (ou plus) par votre banque d'affaires pendant que vous êtes en infraction. Si vous ne vous conformez pas, vous perdrez éventuellement votre capacité à effectuer des transactions par carte de crédit, ce qui serait un baiser de mort pour la plupart des détaillants en ligne.

David Yu
la source
1

PCI DSS pour les clients qui acceptent les cartes de crédit, et la possibilité qu'à chaque fois que vous activez la journalisation que vous soyez amené à produire ces journaux à l'avenir. Parfois, il vaut mieux ne rien enregistrer.

nray
la source
1

La découverte électronique est un gros "piège". Il s'agit des exigences aux États-Unis pour préserver les informations électroniques en cas de litige et les mettre à la disposition de l'autre partie.

L'administrateur système devrait passer du temps avec les avocats de la société AVANT la première fois que la société est poursuivie afin que vous ayez un plan en place pour vous conformer à ces exigences si jamais vous deviez le faire. Le fait de ne pas conserver tous les enregistrements électroniques nécessaires (et de la bonne manière) immédiatement après une action en justice et de nuire énormément à l'entreprise (y compris la perte d'une action en justice qui n'aurait pas autrement été perdue).

Will M
la source
0

Dans un environnement de police ou de conseil de la Couronne, vous devez être prudent lorsque vous manipulez des preuves numériques. La dernière chose que vous voulez, c'est être obligé de témoigner devant le tribunal quand tout ce que vous avez fait était d'aider à convertir une sorte de média d'un format à un autre.

Matt Hanson
la source