Ich habe derzeit auf der Arbeit ein Problem (ich bin IT-Manager), bei dem sich Benutzer mit einem Konto bei einigen unserer Systeme anmelden, das eigentlich jemand anderem gehört.
Wir müssen PCI-konform sein (das sollten Sie wahrscheinlich beachten).
Die meisten internen Systeme habe ich sortiert (aber auch hierzu sind Ratschläge immer willkommen).
Das aktuelle Problem betrifft ein external email campaignSystem, das einige Kundeninformationen enthält. Benutzer verwenden ein einziges Konto, das eigentlich für eine Person bestimmt ist.
Ich bin der Meinung, dass sich jeder Benutzer unabhängig von den Kosten mit seinem eigenen Benutzernamen und Passwort anmelden sollte.
Ich brauche einige Informationen zur Absicherung und frage mich, wie legal es ist, sich bei einem solchen System als jemand anderes anzumelden?
Ich hätte gedacht, dass es nicht PCI-konform oder legal ist?
Antwort1
Es ist durchaus üblich, im Internet auf Dienste zu stoßen, bei denen der Anbieter vorschlägt, ein gemeinsames Konto für eine Organisation oder eine Einheit innerhalb der Organisation zu nutzen. Nichts davon ist ausdrücklich illegal.
Es gibt einige Kennwort-Wallet-Systeme, die Sie in Ihrer eigenen Organisation implementieren könnten, sodass der Endbenutzer nie das eigentliche Kennwort erhält, sondern es stattdessen von einer Art Plug-In/Agent in seinem Browser automatisch ausgefüllt wird.
Ich hoffe, dass jemand überprüft hat, ob Ihre Nutzung die Nutzungsbedingungen verletzt external email campaign system.
Es gab einige Versuche, Menschen zu verurteilen fürVerstoß gegen die Nutzungsbedingungen, aber der Fall wurde in der Berufung aufgehoben.
Da dieses System über PII verfügt, ist es durchaus sinnvoll, sich um die Sicherheit zu sorgen. Es gibt sicherlich andere Lösungen als Mailinglistenlösungen, die Sie verwenden könnten.