システム管理者はどのような法的な落とし穴に精通している必要がありますか？

Question

あなたやあなたの雇用主が過失やプライバシーの侵害などで告発されるのを避けるために、システム管理者としてどのような法的問題を調査する必要がありますか？

法律は国や州によって異なりますが、自分や知り合いが気付かずに破った法律の例があれば、それでも啓蒙的である可能性があります。

andyhky · Accepted Answer

それはあなたがどの業界にいるかのようないくつかの事柄によって大きく異なります（以下は米国にのみ適用されます）...

ヘルスケア： [〜＃〜] hipaa [〜＃〜]
教育： [〜＃〜] ferpa [〜＃〜]
あなたの会社がSECと取引されている場合： Sarbanes Oxley
あなたの会社がクレジットカード取引を行う場合- PCI DSS

私が働いた小さな仕事の多くは、PCI DSS CC情報をプレーンテキストの公的にアクセス可能なデータベースサーバーに保存することについてかなり悪いものでした...基本は無視されていました。

l0c0b0x · Answer

以下は米国にのみ適用されます。

CIPA：子供のインターネット保護法

特に、州または連邦の教育機関に雇用されている場合： http://www.fcc.gov/cgb/consumerfacts/cipa.html

FOIA：情報公開法

繰り返しますが、政府機関に雇用されている場合： http://www.fcc.gov/foia/

FERPA：家族教育の権利とプライバシー法

教育： http://www.ed.gov/policy/gen/guid/fpco/ferpa/index.html

Tim · Answer

ネットワーク分析と侵入検知の法的側面に注意してください。一部の場所では、nmapの不正使用は犯罪と見なされる可能性があり、セキュリティ（悪意のない）目的でシステムに侵入しようとする可能性もあります。

エンドユーザー（対処する場合）とサーバーおよび他のシステム管理者の両方のソフトウェアライセンスの問題に注意してください。海賊版ソフトウェアをビジネスサーバーで実行することを選択した場合に起こりうる影響を把握してください。

事業所のプライバシー法、地方、州、および連邦法に注意してください。あなたがどのような情報であり、保存が許可されていないかを知ってください。また、法的な観点からも、会社のガイドラインで定められているとおりにも、自分がどのような情報を閲覧することを許可されているかを把握してください。

反対に、事業所の情報保持法に注意してください。保持する必要のある情報、保持する必要のある期間、要求されたときに誰に開示する必要があるかを把握します。プライバシーと規制の遵守の間に線を引くことができます（そして、どちらか一方を支持する時期を知ることができます）。

Draemon · Answer

私は英国にいます。平均的なeコマースビジネスにとって最も重要な法律は次のとおりです。

データ保護法
遠隔販売規制および貿易記述法
会社法の特定の部分-たとえばあなた持っているあなたが何も売っていなくてもあなたの登録された会社番号と住所をビジネスウェブサイトに載せること。私はそれが何度も壊れているのを見てきました。
PCIコンプライアンス（わかりました、法律ではありませんが重要です）

serverhorror · Answer

この質問に実際に答えることができるのは、あなたがどこにいるのかを教えてくれた場合だけです。

個人的には、SysAdminがデータのすべてのビットを担当していると考えているため、データが失われたり、公開されたり、悪用されたりした場合に最大のリスクが発生します（法的な結果に直面しなくても、上司があなたのところに来るでしょう）そして、なぜデータがあなたの会社から流出する可能性があるのかを説明する必要があります）。

私は個人的にそれを確認します：

必要な場合は、各情報にアクセスできます（すべて、結局、たわごとがファンに当たったとき、私はファンの反対側に立っています）
これを上司に伝えます
私は上司に許可なく何にもアクセスしないと言います
私は上司に、データアクセス要求に不安がある場合は、私と要求者を監視するために別の当事者に依頼することを伝えます
上記のすべてに書面で署名して封印してほしい

私が確認する他のこと：

すべてを聞く
すべて見る
何も話さない

これらのポイントは、ファイルなどを覗き見することではなく、同僚や同僚と定期的にチャットし、さまざまな部分を組み合わせようとすることです。

ある時点からチャットに参加しないという意味は何もありません。パスワードの紛失やファイルの復元などのリクエストが定期的に寄せられます。それは、そうでなければ勤勉な人々についての特定の意見に戻る可能性があります、私はそれを望んでいません。

教えてくださいみんな上司と私が同意したものについて

これは、人から人への会話、会社のメール、またはすべてのデータにアクセスできるパーティーが会社にあることを友好的に思い出させるポスターの観点から行うことができます。

これらは、法律の同僚や私がつまずいた例ではありません。しかし、それが「何も話さない」という部分が出てくる部分です。例であなたを失望させて申し訳ありません。

Maximus Minimus · Answer

あなたのデータ保護法。あなたの雇用主のAUP-それを知っている裏返し-それはあなたにも当てはまります！

David Yu · Answer

データ漏えいが発生した場合のPII（個人情報）に関するさまざまな州の法律があります。カリフォルニアの1386は、データ侵害（情報の侵害）の影響を受けたすべての人に通知する必要があることを要求しています。他の多くの州にも同様の規定があります。

また、厳密な法的要件ではないPCI-DSSの明確化として、カードブランド（MasterCard、Visa、Discover、AmEx）は、マーチャントバンクにベンダーにPCI-DSSの順守を要求しています。 PCIに違反した場合、法的に起訴されることはありませんが、違反している間は、マーチャントバンクから1日数千ドル（またはそれ以上）の罰金が科せられる可能性があります。コンプライアンスに従わないと、最終的にクレジットカード取引を行うことができなくなります。これは、ほとんどのオンライン小売業者にとって死のキスとなるでしょう。

nray · Answer

PCI DSSクレジットカードを使用する顧客の場合、およびログを有効にするたびに、将来それらのログを作成する必要がある可能性があります。何も記録しない方がよい場合があります。

Will M · Answer

電子情報開示は大きな「落とし穴」です。これらは、訴訟の際に電子情報を保存し、それを相手方が利用できるようにするための米国の要件です。

Sysadminは、会社が最初に訴えられる前に、会社の弁護士としばらく時間を過ごして、必要に応じてこれらの要件に準拠するための計画を立てる必要があります。訴訟が発生した直後に必要なすべての電子記録を（そして正しい方法で）保存しなかったため、会社に多大な損害を与えました（他の方法では失われなかったかもしれない訴訟を失うことを含む）。

Matt Hanson · Answer

警察や王冠評議会の環境では、デジタル証拠を扱うときに注意する必要があります。あなたがしたいのは、ある種のメディアをある形式から別の形式に変換するのを手伝うことだけだったときに、法廷で証言することを要求されることです。