スタッフが自分に属さないログイン詳細を使用することは、PCI 準拠システムでは合法ですか?

スタッフが自分に属さないログイン詳細を使用することは、PCI 準拠システムでは合法ですか?

現在、職場で問題が発生しています (私は IT マネージャーです)。つまり、ユーザーが実際には他人のアカウントを使用して一部のシステムにログインしているということです。

PCI に準拠する必要があります (この点は留意しておく必要があります)。

内部システムのほとんどは整理しました (ただし、これに関するアドバイスもいつでも歓迎します)。

現在の問題は、external email campaign一部の顧客情報を含むシステムに関連しており、ユーザーは実際には 1 人のユーザー用に設計された単一のアカウントを使用しています。

コストに関係なく、すべてのユーザーは自分のユーザー名とパスワードを使用してログインする必要があると思います。

自分を裏付ける情報が必要なのですが、この種のシステムに他人としてログインすることがどの程度合法なのか疑問に思いました。

PCI 準拠または合法ではないと思いますか?

答え1

インターネット上では、プロバイダーが組織または組織内のユニットの共有アカウントの共有を提案するサービスがよく見られます。これには特に違法な点はありません。

組織内に実装できるパスワード ウォレット システムがいくつかあります。これにより、エンド ユーザーに実際のパスワードが提供されることはありませんが、代わりにブラウザー内の何らかのプラグイン/エージェントによってエンド ユーザーに代わってパスワードが自動入力されます。

あなたの使用方法がこのサイトの利用規約に違反していないことを誰かが確認してくれたらと思いますexternal email campaign system

有罪判決を下そうとする試みがいくつかあった。利用規約に違反するしかし、この訴訟は控訴により覆された。

このシステムには個人情報が含まれているため、セキュリティについて懸念するのは当然のことです。メール リスト ソリューションなど、他にも選択できるソリューションは確かにあります。

関連情報