Tengo un problema actual en el trabajo (soy administrador de TI) por el cual los usuarios inician sesión en algunos de nuestros sistemas utilizando una cuenta que en realidad es de otra persona.
Tenemos que ser compatibles con PCI (probablemente deberías tener esto en cuenta).
La mayoría de los sistemas internos los he ordenado (pero los consejos siempre son bienvenidos sobre esto también).
El problema actual se relaciona con un external email campaign
sistema que contiene cierta información del cliente; los usuarios utilizan una única cuenta que en realidad está diseñada para una sola persona.
Creo que cada usuario debería iniciar sesión con su propio nombre de usuario y contraseña, sin importar el costo.
Necesito información que me respalde y me pregunto qué tan legal es iniciar sesión como otra persona en este tipo de sistema.
¿Habría pensado que no es compatible con PCI o no es legal?
Respuesta1
Ciertamente es común encontrar servicios en Internet, donde el proveedor sugiere compartir una cuenta compartida para una organización o una unidad dentro de la organización. Nada de eso es específicamente ilegal.
Hay algunos sistemas de billetera de contraseñas que puede implementar dentro de su propia organización, de modo que al usuario final nunca se le proporcione la contraseña real, sino que algún tipo de complemento/agente dentro de su navegador la completará automáticamente en su nombre.
Espero que alguien verifique para asegurarse de que su uso no viole los TOS de este external email campaign system
.
Ha habido algunos intentos de condenar a personas porviolar un TOS, pero el caso fue anulado en apelación.
Dado que este sistema tiene PII, parece algo razonable preocuparse por la seguridad. Ciertamente, existen otras soluciones, soluciones de listas de correo que puede optar por utilizar.