คุณควรดูSecure Messaging ด้วย S / MIME และ OWA บน Exchange Server 2007 SP1 หากคุณต้องการเข้ารหัสข้อความ วิธีการแก้ปัญหานี้ยังต้องมีขั้นตอนเพิ่มเติมเนื่องจากผู้ใช้ต้องเลือกปุ่มเข้ารหัส (ซึ่งอาจไม่ถูกกฎหมายเนื่องจากคุณต้องสมมติว่าผู้ใช้ทุกคนจะไม่ทำผิดพลาดและไม่เข้ารหัสอีเมลที่ควรมี) คุณต้องทำคือตรวจสอบให้แน่ใจว่าปลายทางที่คุณต้องการส่ง Massachusetts PII กำลังใช้ TLS (คุณต้องมีข้อมูลนั้นเนื่องจากคุณต้องตรวจทุกคนที่คุณอาจส่ง Mass.PII ไปตาม CMR 17.04) คุณควรเขียนกฎการส่งผ่านที่ใช้ regex เพื่อค้นหา Mass PII Massachusetts PII หมายถึงการรวมกันของชื่อและนามสกุลของผู้พำนักที่เชื่อมต่อกับหนึ่งในสิ่งต่อไปนี้: หมายเลขใบขับขี่, หมายเลขบัตรเครดิตหรือหมายเลขประกันสังคม
นอกหัวข้อ แต่ germaine ...
หมายเหตุสำหรับผู้ที่อ่านบทความนี้และคิดว่าคุณโชคดีที่ไม่ได้อยู่ที่ MA, Suprise! หากคุณเก็บข้อมูลส่วนบุคคลของผู้อยู่อาศัยในรัฐแมสซาชูเซตส์ไม่ว่าคุณจะมีธุรกิจในรัฐแมสซาชูเซตส์หรือไม่ก็ตามคุณจะต้องถูกลงโทษตามที่กำหนดไว้ใน 201 CMR 17.00 ซึ่งอาจทำให้เสียค่าใช้จ่าย $ 100 บันทึกหายไปด้วยสูงสุด $ 50K ต่อ "เหตุการณ์" กฎหมายทั่วไป MA 93H ระบุว่าจะมีการปรับ $ 5,000 ต่อ "การละเมิด" หมายความว่าอะไรกันแน่? ฉันไม่คิดว่าจะมีใครรู้และจะไม่ทำจนกว่าจะมีใครได้รับผลกระทบ
เป็นเรื่องสำคัญที่จะต้องทราบว่านี่ไม่ใช่หัวข้อง่าย ๆ - ที่นี่เป็นแนวคิดของการสนทนาระหว่างฉันกับ Zypher เกี่ยวกับคำตอบของเขา:
ฉัน: การใช้ตัวเลือกผู้ใช้แบบใดก็ตามทำให้คุณมีความรับผิดซึ่งแตกต่างจาก PCI กฎหมายกำหนดให้คุณต้องขอความช่วยเหลือในเรื่องที่สมเหตุสมผล (เช่นผู้ใช้ joe ที่ไม่ได้ใช้เทคโนโลยี)
Zypher: ใช้ pgp หากผู้ใช้ไม่ได้ให้รหัสแก่คุณคุณจะไม่ส่งให้พวกเขา โดยพื้นฐานแล้วพวกเขาถูกบังคับให้ใช้งาน - ในกรณีที่ใช้งานนี้ - ไม่เช่นนั้น A) อย่ารับข้อมูลหรือ B) ไม่สามารถอ่านข้อมูลได้
ฉัน: คุณจะมั่นใจได้อย่างไรว่าผู้ใช้ทุกคนที่ส่งข้อมูลจะเข้ารหัสอีเมลทุกฉบับ? เช่นเดียวกับโซลูชัน SMIME ที่คุณต้องเลือกเข้ารหัสอีเมลของคุณมันไม่สามารถบังคับได้ - หรือว่าฉันทำอะไรหายไป?
Zypher: มันค่อนข้างง่ายถ้าคุณส่งอีเมลที่มีข้อมูลที่ต้องเข้ารหัสโดยไม่ต้องเข้ารหัสมันถูกไล่ออกเพราะสาเหตุ ไม่ใช่ทุกสิ่งที่จะต้องเป็นโซลูชันทางเทคนิค จากคำถามนี้จะไม่ทำบ่อยเกินไปดังนั้นวิธีแก้ปัญหาที่เกี่ยวข้องมากขึ้นอาจไม่คุ้มค่าต้นทุน / ผลประโยชน์ หากพวกเขาต้องการทำสิ่งนี้ทุกวันทุกวันฉันจะไม่สนับสนุนอีเมลเลยและย้ายไปที่แบบฟอร์มออนไลน์ผ่าน SSL
ฉัน: IANAL - แต่ฉันติดอยู่กับการฟังกฎหมายระบุอย่างมีประสิทธิภาพว่าจะต้องเป็นวิธีแก้ปัญหาทางเทคนิค - "แต่ฉันมีนโยบาย" เป็นหลักฐานโดยพฤตินัยว่าหนึ่งในประเด็นที่ "คาดการณ์ได้อย่างสมเหตุสมผล" ที่คุณควรจะบรรเทาลง ไม่ได้ลดลง การลงโทษทางวินัยเป็นส่วนหนึ่งของกฎหมายอยู่แล้ว ลองดูที่การสนทนานี้informationweek.com/blog/main/archives/2009/02/…
Zypher: ที่จริงแล้วถ้าคุณอ่าน 17.03.2.b (ที่นี่: mass.gov/Eoca/docs/idtheft/201CMR1700reg.pdf ) ฉันมีนโยบายและฝึกฝนคนของตัวเองรวมถึงมาตรการทางวินัยที่สามารถป้องกันได้อย่างสมบูรณ์ ในความเป็นจริงการกล่าวถึงเพียงวิธีการแก้ปัญหาทางเทคนิคคือการป้องกันไม่ให้พนักงานที่ถูกเลิกจ้างเข้าถึงการบันทึก IAANAL (ฉันไม่ใช่ทนายความ)
ฉัน: - 1,2,3 เป็นเพียงสิ่งที่คาดว่าจะรวมอยู่ในโซลูชันที่ไม่ชัดเจน 2b เป็นคำเฉพาะที่ใช้ (ฉันโกงและถามทนายความ) หากคุณต้องพูดว่า "ฉันสามารถป้องกันได้" ศาลอาจจะบดขยี้คุณ ด้วยปัญหาการปฏิบัติตามคุณต้องพิสูจน์ว่าคุณกำลังติดตาม regs Regs บอกว่า "มองเห็นได้" โดยเฉพาะ หากคุณลุกขึ้นยืนในศาลและพูดว่า "ดีถ้ามีคนทำผิดนโยบายที่พวกเขาโดนไล่ออก" การฟ้องร้องก็แค่จะพูดว่า "ดังนั้นคุณยอมรับว่าคุณเห็นวิธีที่จะละเมิดนโยบายนี้และไม่มีมาตรการที่เหมาะสมในการลบ ปัญหา?"
Zypher: ประณามคุณสำหรับการโกง ตอนนี้เราต้องกำหนดความสมเหตุสมผลเช่นกันเหมาะสมสำหรับ บริษัท ของฉัน (พนักงานข้ามชาติขนาดใหญ่ที่มี 100k + พนักงาน) ไม่เหมือนกับร้านแม่และป๊อป แต่ในโทเค็นเดียวกันนั้นฉันคิดว่าเราห่างไกลจากคำถามและคำตอบของเว็บไซต์ ... ซึ่งโชคร้ายเพราะการสนทนานี้ให้ข้อมูลเชิงลึกที่ดี
ฉัน: มัน "มองเห็นได้อย่างสมเหตุสมผล" ไม่ "ปลอดภัยพอสมควร" หรือมีเหตุผลพอที่จะใช้งาน โปรดจำไว้ว่าการใช้ rot13 กับชื่อบุคคลนั้นถูกต้องตามกฎหมายและไม่มีอะไรอื่นตามมาตรฐานเพราะเป็นรูปแบบของการเข้ารหัส การสนทนานี้มีประโยชน์เต็มดังนั้นฉันจะแก้ไขคำตอบของฉันเพื่อรวมไว้จึงไม่สูญหาย