sysadmin ทางกฎหมายแบบใดที่ควรทำความคุ้นเคยกับ?

คุณควรค้นคว้าประเด็นทางกฎหมายในฐานะผู้ดูแลระบบเพื่อหลีกเลี่ยงคุณหรือนายจ้างของคุณถูกกล่าวหาว่าประมาทเลินเล่อหรือละเมิดความเป็นส่วนตัว ฯลฯ

ในขณะที่กฎหมายแตกต่างกันไปในแต่ละประเทศและรัฐต่อรัฐ แต่ก็ยังอาจมีความกระจ่างถ้าคุณมีตัวอย่างของกฎหมายที่คุณหรือคนที่คุณรู้จักได้ทำผิดโดยไม่รู้ตัว

ส่วนใหญ่จะแตกต่างกันไปในบางสิ่งเช่นอุตสาหกรรมที่คุณอยู่ (ต่อไปนี้ใช้กับสหรัฐอเมริกาเท่านั้น) ...

• การดูแลสุขภาพ: HIPAA
• การศึกษา: FERPA
• หาก บริษัท ของคุณซื้อขายกับ SEC: Sarbanes Oxley
• หาก บริษัท ของคุณทำธุรกรรมบัตรเครดิต - PCI DSS

งานเล็ก ๆ น้อย ๆ ที่ฉันเคยทำมานั้นค่อนข้างแย่เกี่ยวกับ PCI DSS ที่เก็บข้อมูล CC ในรูปแบบธรรมดาเซิร์ฟเวอร์ฐานข้อมูลที่เข้าถึงได้โดยทั่วไป ... พื้นฐานที่ถูกละเลย

ข้อมูลต่อไปนี้ใช้กับสหรัฐอเมริกาเท่านั้น

CIPA: พระราชบัญญัติคุ้มครองอินเทอร์เน็ตสำหรับเด็ก

พิเศษถ้าคุณทำงานโดยหน่วยงานการศึกษาของรัฐหรือรัฐบาลกลาง: http://www.fcc.gov/cgb/consumerfacts/cipa.html

FOIA: พระราชบัญญัติเสรีภาพในการให้ข้อมูล

อีกครั้งถ้าคุณมีงานทำโดยหน่วยงานรัฐบาล: http://www.fcc.gov/foia/

FERPA: พระราชบัญญัติการศึกษาและสิทธิส่วนบุคคลของครอบครัว

การศึกษา: http://www.ed.gov/policy/gen/guid/fpco/ferpa/index.html

ระวังด้านกฎหมายของการวิเคราะห์เครือข่ายและการตรวจจับการบุกรุก บางแห่งการใช้งานโดยไม่ได้รับอนุญาตnmapอาจถือเป็นอาชญากรรมได้เช่นเดียวกับการพยายามเจาะเข้าสู่ระบบเพื่อจุดประสงค์ด้านความปลอดภัย (ไม่เป็นอันตราย)

ระวังปัญหาการออกใบอนุญาตซอฟต์แวร์ทั้งสำหรับผู้ใช้ปลายทาง (หากคุณจัดการกับปัญหาเหล่านั้น) และสำหรับเซิร์ฟเวอร์ของคุณและระบบอื่น ๆ รู้ถึงความเป็นไปได้ที่แตกต่างหากคุณเลือกที่จะรันซอฟต์แวร์ละเมิดลิขสิทธิ์บนเซิร์ฟเวอร์ของธุรกิจ

ระวังกฎหมายความเป็นส่วนตัวสำหรับสถานที่ประกอบธุรกิจของคุณตามกฎหมายของท้องถิ่นรัฐและสหพันธรัฐ รู้ว่าคุณเป็นข้อมูลอะไรและไม่ได้รับอนุญาตให้จัดเก็บ และรู้ว่าคุณเป็นใครและไม่ได้รับอนุญาตให้ดูทั้งในแง่กฎหมายและตามแนวทางของ บริษัท ของคุณ

ในอีกด้านให้ระวังกฎหมายการเก็บรักษาข้อมูลสำหรับสถานที่ประกอบธุรกิจของคุณ รู้ว่าคุณต้องเก็บรักษาข้อมูลใดนานเท่าไรคุณต้องเก็บรักษาไว้และคุณต้องเปิดเผยข้อมูลเมื่อได้รับการร้องขอ สามารถวาดเส้นแบ่งระหว่างความเป็นส่วนตัวและการปฏิบัติตามกฎระเบียบ (และรู้ว่าเมื่อใดควรยืนหยัดเพื่อสิ่งใดสิ่งหนึ่ง)

ฉันอยู่ในสหราชอาณาจักรและฉันจะบอกว่ากฎหมายที่สำคัญที่สุดสำหรับธุรกิจอีคอมเมิร์ซโดยเฉลี่ยคือ:

• พระราชบัญญัติคุ้มครองข้อมูล
• พระราชบัญญัติระเบียบการขายทางไกลและคำอธิบายทางการค้า
• พระราชบัญญัติ บริษัท บางส่วน - ตัวอย่างเช่นคุณต้องมีหมายเลข บริษัท และที่อยู่ที่จดทะเบียนในเว็บไซต์ธุรกิจแม้ว่าคุณจะไม่ได้ขายอะไรก็ตาม ฉันเคยเห็นว่ามีคนเสียหลายครั้ง
• มาตรฐาน PCI (ตกลงไม่ใช่กฎหมาย แต่สำคัญ)

คำถามนี้สามารถตอบได้จริงถ้าคุณบอกเราว่าคุณอยู่ที่ไหน

โดยส่วนตัวฉันถือว่า SysAdmin เป็นบุคคลที่รับผิดชอบข้อมูลแต่ละบิตดังนั้นจึงมีความเสี่ยงมากที่สุดเมื่อข้อมูลสูญหาย / ถูกเปิดเผย / ถูกทารุณกรรม (แม้ว่าคุณจะไม่เผชิญกับผลทางกฎหมายก็ตามเจ้านายของคุณจะมาหาคุณ และคุณจะต้องอธิบายว่าทำไมบนโลกนี้ถึงข้อมูลจะออกจาก บริษัท ของคุณ

โดยส่วนตัวฉันต้องแน่ใจว่า:

• ในกรณีที่จำเป็นต้องใช้ฉันสามารถเข้าถึงข้อมูลแต่ละส่วนได้ ( ทุกอย่างฉันยืนอยู่บนด้านผิดของแฟนเมื่อมันฮิต)
• ฉันบอกเรื่องนี้กับเจ้านายของฉัน
• ฉันบอกหัวหน้าของฉันว่าฉันจะไม่เข้าถึงสิ่งใดโดยไม่ได้รับอนุญาต
• ฉันบอกหัวหน้าของฉันว่าฉันจะขอให้อีกฝ่ายหนึ่งมาดูฉันและผู้ร้องขอหากฉันรู้สึกไม่สะดวกใจกับคำขอเข้าถึงข้อมูล
• ฉันต้องการทั้งหมดข้างต้นลงนามและประทับตราในลักษณะที่เป็นลายลักษณ์อักษร

สิ่งอื่น ๆ ที่ฉันแน่ใจ:

• ได้ยินทุกอย่าง
• ดูทุกสิ่ง
• ไม่ต้องพูดอะไร

ประเด็นเหล่านี้ไม่ได้เกี่ยวกับการสอดแนมในไฟล์หรืออะไรทำนองนั้นมันเป็นเรื่องเกี่ยวกับการแชทกับเพื่อนร่วมงานและเพื่อนร่วมงานเป็นประจำ

พูดคุยเกี่ยวกับสิ่งใดไม่มีความหมายในการไม่เข้าร่วมการสนทนาจากจุดหนึ่งผู้คนมาหาฉันเป็นประจำด้วยคำขอเกี่ยวกับรหัสผ่านที่หายไปไฟล์ที่จะกู้คืนหรือสิ่งอื่น ๆ นั่นอาจนำกลับไปสู่ความคิดเห็นที่แน่นอนเกี่ยวกับคนที่ทำงานหนักฉันไม่ต้องการมัน

• บอกทุกคนเกี่ยวกับสิ่งที่เจ้านายของฉันและฉันเห็นด้วย

นี่อาจเป็นการพูดคุยจากคนสู่คนจดหมาย บริษัท หรือโปสเตอร์พร้อมการแจ้งเตือนที่เป็นมิตรว่ามีบุคคลใน บริษัท ที่สามารถเข้าถึงข้อมูลทั้งหมดได้

นี่ไม่ใช่ตัวอย่างของกฎหมายที่เพื่อนร่วมงานหรือฉันสะดุด แต่นั่นคือส่วนที่ "พูดถึงไม่มีอะไร" มาเล่น ขออภัยที่ทำให้คุณผิดหวังด้วยตัวอย่าง

กฎหมายคุ้มครองข้อมูลของคุณ AUP ผู้ว่าจ้างของคุณ - รู้ข้างใน - มันใช้ได้กับคุณด้วย!

มีกฎหมายของรัฐหลายฉบับที่เกี่ยวข้องกับข้อมูล PII (ข้อมูลระบุตัวบุคคล) ในกรณีที่มีการละเมิดข้อมูล 1386 ของรัฐแคลิฟอร์เนียกำหนดให้ทุกคนที่ได้รับผลกระทบจากการฝ่าฝืนข้อมูล (ประนีประนอมข้อมูล) ต้องได้รับแจ้ง รัฐอื่น ๆ อีกหลายแห่งมีบทบัญญัติที่คล้ายคลึงกัน

นอกจากนี้สำหรับการชี้แจงเกี่ยวกับ PCI-DSS ซึ่งไม่ใช่ข้อกำหนดทางกฎหมายอย่างเคร่งครัดแบรนด์การ์ด (MasterCard, Visa, Discover, AmEx) กำหนดให้ธนาคารพาณิชย์ของพวกเขาต้องการให้ผู้ขายปฏิบัติตาม PCI-DSS หากคุณละเมิด PCI คุณจะไม่ถูกดำเนินคดีตามกฎหมายอย่างไรก็ตามคุณสามารถปรับได้หลายพันดอลลาร์ต่อวัน (หรือมากกว่า) โดยธนาคารผู้ค้าของคุณในขณะที่คุณละเมิด หากคุณไม่ปฏิบัติตามกฎระเบียบในที่สุดคุณจะสูญเสียความสามารถในการทำธุรกรรมบัตรเครดิตซึ่งจะเป็นความตายสำหรับผู้ค้าปลีกออนไลน์ส่วนใหญ่

PCI DSS สำหรับลูกค้าที่รับบัตรเครดิตและโอกาสที่ทุกครั้งที่คุณเปิดใช้งานการบันทึกที่คุณอาจต้องใช้ในการผลิตบันทึกเหล่านั้นในอนาคต บางครั้งมันจะดีกว่าที่จะไม่บันทึกอะไรเลย

E-Discovery เป็น "gotcha" ที่ยิ่งใหญ่ เหล่านี้เป็นข้อกำหนดในสหรัฐอเมริกาในการเก็บรักษาข้อมูลทางอิเล็กทรอนิกส์ในกรณีที่มีการฟ้องร้องและเพื่อให้สามารถใช้ได้กับอีกฝ่าย

ดูแลระบบควรใช้เวลากับทนายความของ บริษัท ก่อนที่ บริษัท จะถูกฟ้องร้องเป็นครั้งแรกเพื่อให้คุณมีแผนปฏิบัติตามข้อกำหนดเหล่านี้หากคุณจำเป็นต้องทำ ความล้มเหลวในการเก็บรักษาบันทึกทางอิเล็กทรอนิกส์ที่จำเป็นทั้งหมด (และในวิธีที่ถูกต้อง) ทันทีที่มีการฟ้องร้องดำเนินคดีและทำให้ บริษัท เสียหายอย่างมาก (รวมถึงการฟ้องร้องคดีที่อาจไม่สูญหาย)

ในสภาพแวดล้อมการรักษาหรือสภามงกุฎคุณต้องระวังเมื่อจัดการหลักฐานดิจิทัล สิ่งสุดท้ายที่คุณต้องการคือการให้การเป็นพยานในศาลเมื่อสิ่งที่คุณทำคือช่วยแปลงสื่อบางประเภทจากรูปแบบหนึ่งไปอีกรูปแบบหนึ่ง