Gotcha legal apa yang harus diketahui oleh sysadmin?

Masalah hukum apa yang harus Anda teliti sebagai sysadmin untuk menghindari Anda, atau majikan Anda, dituduh kelalaian, atau melanggar privasi, dll?

Meskipun undang-undang berbeda dari satu negara ke negara lain dan dari satu negara ke negara lain, itu masih bisa mencerahkan jika Anda memiliki contoh undang-undang yang Anda, atau seseorang yang Anda kenal, telah rusak tanpa menyadarinya.

Ini sangat bervariasi pada beberapa hal seperti apa industri Anda (berikut ini hanya berlaku untuk AS) ...

• Perawatan Kesehatan: HIPAA
• Pendidikan: FERPA
• Jika perusahaan Anda diperdagangkan dengan SEC: Sarbanes Oxley
• Jika perusahaan Anda melakukan transaksi kartu kredit - PCI DSS

Banyak pekerjaan kecil yang saya kerjakan sangat buruk tentang PCI DSS menyimpan info CC dalam plaintext, server database yang dapat diakses publik ... dasar-dasar yang baru saja diabaikan.

Berikut ini hanya berlaku untuk AS;

CIPA: Undang-Undang Perlindungan Internet Anak-Anak

Khususnya jika Anda dipekerjakan oleh lembaga pendidikan negara bagian atau federal: http://www.fcc.gov/cgb/consumerfacts/cipa.html

FOIA: Undang-Undang Kebebasan Informasi

Lagi jika Anda dipekerjakan oleh entitas pemerintah: http://www.fcc.gov/foia/

FERPA: Hak Pendidikan Keluarga dan Undang-Undang Privasi

Pendidikan: http://www.ed.gov/policy/gen/guid/fpco/ferpa/index.html

Waspadai sisi hukum dari analisis jaringan dan deteksi intrusi. Beberapa tempat, penggunaan yang tidak sah nmapdapat dianggap sebagai kejahatan, karena dapat mencoba masuk ke sistem untuk tujuan keamanan (tidak berbahaya).

Waspadai masalah lisensi perangkat lunak, baik untuk pengguna akhir (jika Anda menanganinya) dan untuk server dan sysadmin lainnya. Ketahui konsekuensi yang mungkin terjadi jika Anda memilih untuk menjalankan perangkat lunak bajakan di server bisnis.

Waspadai undang-undang privasi untuk tempat bisnis Anda, pada hukum setempat, negara bagian, dan federal. Ketahui info apa Anda dan tidak diizinkan menyimpan. Ketahuilah juga info apa yang Anda dan tidak boleh dilihat, baik dari segi hukum maupun sebagaimana ditetapkan oleh pedoman perusahaan Anda.

Di sisi lain, perhatikan undang-undang penyimpanan informasi untuk tempat bisnis Anda. Ketahui info apa yang harus Anda simpan, berapa lama Anda harus menyimpannya, dan kepada siapa Anda harus membocorkannya saat diminta. Mampu menarik garis batas antara privasi dan mematuhi peraturan (dan tahu kapan harus membela satu atau yang lain).

Saya di Inggris, dan saya akan mengatakan undang-undang paling penting untuk bisnis ecommerce rata-rata adalah:

• UU Perlindungan Data
• Peraturan Penjualan Jarak Jauh dan Undang-Undang Deskripsi Perdagangan
• Bagian tertentu dari Undang-Undang Perusahaan - misalnya Anda harus memiliki nomor dan alamat perusahaan terdaftar di situs web bisnis, bahkan jika Anda tidak menjual apa pun. Saya telah melihat bahwa satu kali rusak.
• Kepatuhan PCI (ok, bukan hukum tapi penting)

Pertanyaan ini sebenarnya hanya dapat dijawab jika Anda memberi tahu kami di mana Anda berada.

Secara pribadi saya menganggap SysAdmin sebagai orang yang bertanggung jawab atas masing-masing dan setiap bit data, dengan demikian membawa risiko terbesar ketika data hilang / diekspos / dilecehkan (Bahkan jika Anda tidak akan menghadapi konsekuensi hukum bos Anda akan mendatangi Anda dan Anda harus menjelaskan mengapa data bisa keluar dari perusahaan Anda).

Saya pribadi memastikan bahwa:

• Jika diperlukan, saya dapat mengakses setiap informasi ( semuanya , lagipula akulah yang berdiri di sisi yang salah dari kipas ketika hal itu terjadi)
• Saya mengatakan ini kepada bos saya
• Saya memberi tahu atasan saya bahwa saya tidak akan mengakses apa pun tanpa izin
• Saya memberi tahu atasan saya bahwa saya akan meminta pihak lain untuk mengawasi saya dan pemohon jika saya tidak merasa nyaman dengan permintaan akses data
• Saya ingin semua yang di atas ditandatangani dan disegel secara tertulis

Hal-hal lain yang saya pastikan:

• Dengarkan semuanya
• Lihat semuanya
• Bicara tentang apa-apa

Poin-poin ini bukan tentang menyelinap di dalam file atau semacamnya, itu hanya tentang obrolan biasa dengan kolega dan rekan kerja dan mencoba untuk menyatukan potongan-potongan yang berbeda.

Berbicara tentang tidak ada apa-apa berarti tidak berpartisipasi dalam obrolan dari titik tertentu, orang-orang datang kepada saya secara teratur dengan permintaan tentang kata sandi yang hilang, file yang akan dipulihkan, atau hal-hal lain. Itu bisa mengarah pada kepastian pendapat tentang orang yang bekerja keras, saya tidak menginginkan hal itu.

• Beritahu semua orang tentang hal-hal yang bos saya dan saya setujui

Ini bisa dalam hal berbicara dari orang ke orang, surat perusahaan atau poster dengan pengingat ramah bahwa ada pihak di perusahaan yang dapat mengakses semua data.

Ini bukan contoh rekan hukum atau saya tersandung. Tapi itulah bagian di mana "Bicara tentang apa-apa" datang untuk bermain. Maaf mengecewakan Anda dengan contoh.

Undang-undang Perlindungan Data Anda. AUP majikan Anda - kenal baik dari dalam - itu juga berlaku untuk Anda!

Ada berbagai peraturan perundang-undangan negara tentang PII (Informasi Identifikasi Pribadi) jika terjadi pelanggaran data. California 1386 mensyaratkan bahwa setiap orang yang terkena dampak pelanggaran data (kompromi informasi mereka) harus diberitahu. Banyak negara bagian lain memiliki ketentuan serupa.

Juga sebagai klarifikasi tentang PCI-DSS, yang bukan merupakan persyaratan hukum yang ketat, merek kartu (MasterCard, Visa, Discover, AmEx) mengharuskan bank pedagang mereka mewajibkan vendor untuk mematuhi PCI-DSS. Jika Anda melanggar PCI, Anda tidak akan dituntut secara hukum, namun Anda dapat didenda ribuan dolar sehari (atau lebih) oleh bank dagang Anda saat Anda melakukan pelanggaran. Jika Anda tidak patuh, pada akhirnya Anda akan kehilangan kemampuan untuk melakukan transaksi kartu kredit, yang akan menjadi ciuman kematian bagi sebagian besar pengecer online.

PCI DSS untuk pelanggan yang mengambil kartu kredit, dan kemungkinan bahwa setiap kali Anda mengaktifkan pencatatan, Anda mungkin diharuskan untuk menghasilkan log tersebut di masa mendatang. Terkadang lebih baik tidak merekam apa pun.

E-discovery adalah "gotcha" yang besar. Ini adalah persyaratan di AS untuk menyimpan informasi elektronik jika terjadi tuntutan hukum, dan untuk membuatnya tersedia bagi pihak lain.

Sysadmin harus meluangkan waktu dengan pengacara perusahaan SEBELUM perusahaan pertama kali digugat sehingga Anda memiliki rencana untuk memenuhi persyaratan ini jika Anda harus melakukannya. Kegagalan untuk melestarikan semua catatan elektronik yang diperlukan (dan dengan cara yang benar) segera setelah gugatan muncul dan sangat merugikan perusahaan (termasuk kehilangan tuntutan hukum yang mungkin tidak hilang).

Di lingkungan kepolisian atau dewan mahkota, Anda harus berhati-hati saat menangani bukti digital. Hal terakhir yang Anda inginkan adalah diminta untuk bersaksi di pengadilan ketika semua yang Anda lakukan adalah membantu mengubah semacam media dari satu format ke format lainnya.