Bạn nên xem Tin nhắn an toàn với S / MIME và OWA trên Exchange Server 2007 SP1 Nếu bạn muốn mã hóa tin nhắn. Giải pháp này cũng yêu cầu thêm một bước vì người dùng phải chọn nút mã hóa (có lẽ cũng không hợp pháp vì bạn phải bằng cách nào đó cho rằng tất cả người dùng của bạn sẽ không bao giờ mắc lỗi và không mã hóa email mà họ nên có.) bạn cần làm là đảm bảo rằng các điểm đến mà bạn muốn gửi Massachusetts PII đang sử dụng TLS (bạn bắt buộc phải có thông tin đó vì bạn phải kiểm tra mọi người mà bạn có thể gửi Mass.PII theo CMR 17.04). Bạn cũng có thể nên viết một quy tắc vận chuyển sử dụng biểu thức chính quy để tìm kiếm Mass PII. Massachusetts PII được định nghĩa là sự kết hợp giữa tên và họ của một cư dân được kết nối với một trong những điều sau đây: Số bằng lái xe, số thẻ tín dụng hoặc số An sinh Xã hội.
Không có chủ đề nhưng mầm ...
Lưu ý cho những người đọc điều này và nghĩ rằng bạn thật may mắn khi không sống ở MA, Supawn! Nếu bạn lưu trữ thông tin cá nhân của một cư dân Massachusetts, bất kể bạn có sự hiện diện kinh doanh ở Massachusetts hay không, bạn phải chịu các hình phạt được quy định trong 201 CMR 17.00. có thể mất 100 đô la kỷ lục, với tối đa 50 nghìn đô la cho mỗi "sự cố". MA General Law 93H tuyên bố rằng sẽ có khoản tiền phạt 5.000 đô la cho mỗi lần "vi phạm". Nó chính xác nghĩa là gì? Tôi không nghĩ có ai biết và sẽ không cho đến khi ai đó bị nó tấn công.
Điều quan trọng cần lưu ý rằng đây không phải là một chủ đề dễ dàng - đây là ý kiến của một cuộc thảo luận giữa tôi và Zypher về câu trả lời của anh ấy:
tôi: Sử dụng bất kỳ loại tùy chọn người dùng cuối nào sẽ mở ra cho bạn trách nhiệm pháp lý, không giống như PCI, luật pháp yêu cầu bạn phải nắm bắt mọi vấn đề hợp lý (như người dùng joe không sử dụng công nghệ)
Zypher: sử dụng pgp nếu người dùng không cung cấp cho bạn khóa, bạn không gửi cho họ. Về cơ bản, họ buộc phải sử dụng nó - trong trường hợp sử dụng này - nếu không thì họ A) Không nhận được dữ liệu hoặc B) không thể đọc dữ liệu.
tôi: làm thế nào bạn có thể đảm bảo rằng mọi người dùng gửi dữ liệu sẽ mã hóa mọi email? Giống như một giải pháp SMIME bạn phải chọn để mã hóa email của mình, nó không thể bị ép buộc - hoặc tôi đang thiếu thứ gì đó?
Zypher: Nó khá đơn giản, nếu bạn gửi một email chứa thông tin cần được mã hóa mà không mã hóa nó, bạn sẽ bị đuổi việc (theo ý muốn, điều này có nghĩa là không có thất nghiệp). Không phải tất cả mọi thứ cần phải là một giải pháp kỹ thuật. Từ câu hỏi này sẽ không được thực hiện quá thường xuyên nên một giải pháp liên quan hơn có lẽ không đáng giá / chi phí. Nếu họ cần làm điều này cả ngày mỗi ngày, tôi sẽ ủng hộ việc không sử dụng email, và chuyển sang các biểu mẫu trực tuyến qua SSL.
tôi: IANAL - nhưng tôi bế tắc lắng nghe họ, luật pháp nói rõ rằng đó phải là một giải pháp công nghệ - "nhưng tôi đã có một chính sách" là bằng chứng thực tế cho thấy một trong những vấn đề "có thể thấy trước được" mà bạn phải giảm thiểu không được giảm nhẹ. Kỷ luật người vi phạm cũng là một phần của pháp luật. Hãy xem thông tin thảo luận nàyweek.com/blog/main/archives/2009/02/
Zypher: Trên thực tế nếu bạn đọc 17.03.2.b (ở đây: mass.gov/Eoca/docs/idtheft/201CMR1700reg.pdf ) Tôi có một chính sách và đào tạo người của mình về nó, cũng như có các biện pháp kỷ luật thực sự hoàn toàn có thể phòng thủ được. Trong thực tế, đề cập duy nhất về một giải pháp kỹ thuật là để ngăn chặn nhân viên bị chấm dứt truy cập hồ sơ. IAANAL (Tôi cũng không phải là luật sư).
tôi: - 1,2,3 chỉ đơn giản là những thứ được dự kiến sẽ không bao gồm các giải pháp dứt khoát, 2b là từ ngữ cụ thể được áp dụng (tôi đã lừa dối và hỏi luật sư). Nếu bạn phải nói "Tôi có thể bảo vệ điều đó" thì tòa án có thể sẽ nghiền nát bạn. Với các vấn đề tuân thủ, bạn phải chứng minh rằng bạn đang theo dõi regs. Các reg đặc biệt nói "có thể thấy trước". Nếu bạn đứng trước tòa và nói "tốt nếu ai đó vi phạm chính sách mà họ sẽ bị sa thải" thì việc truy tố chỉ đơn giản là nói "Vì vậy, bạn thừa nhận rằng bạn đã thấy trước một cách để chính sách này bị vi phạm và không có biện pháp hợp lý nào để loại bỏ vấn đề?"
Zypher: Chết tiệt bạn vì gian lận. Bây giờ chúng tôi phải xác định hợp lý là tốt, hợp lý cho công ty của tôi (nhân viên đa quốc gia lớn với 100 nghìn nhân viên) không giống như đối với một cửa hàng mẹ và cửa hàng pop. Nhưng trên cùng một mã thông báo đó, tôi nghĩ rằng chúng ta đang đi quá xa so với nhiệm vụ Hỏi và Đáp của trang web ... thật không may vì cuộc thảo luận này đã cung cấp một số hiểu biết tốt.
tôi: đó là "hợp lý có thể thấy trước" không "an toàn hợp lý" hoặc thậm chí hợp lý để thực hiện. Hãy nhớ rằng về mặt pháp lý, sử dụng rot13 trên tên người và không có gì khác tuân theo becuase tiêu chuẩn là một hình thức mã hóa. Cuộc thảo luận này rất hữu ích vì vậy tôi sẽ chỉnh sửa câu trả lời của mình để đưa nó vào để nó không bị mất.