Tenho um problema atual no trabalho (sou gerente de TI), em que os usuários fazem login em alguns de nossos sistemas usando uma conta que, na verdade, é de outra pessoa.
Temos que ser compatíveis com PCI (você provavelmente deve observar isso).
Classifiquei a maioria dos sistemas internos (mas conselhos também são sempre bem-vindos).
O problema atual está relacionado a um external email campaignsistema que contém algumas informações do cliente; os usuários estão usando uma única conta que, na verdade, é projetada para uma pessoa.
Acredito que cada usuário deve fazer login com seu próprio nome de usuário e senha, independentemente do custo.
Preciso de algumas informações para me apoiar e me perguntei até que ponto é legal fazer login como outra pessoa neste tipo de sistema.
Eu teria pensado que não é compatível com PCI ou é legal?
Responder1
Certamente é comum encontrar serviços na internet, onde o provedor sugere o compartilhamento de uma conta compartilhada para uma organização, ou uma unidade dentro da organização. Nada sobre isso é especificamente ilegal.
Existem alguns sistemas de carteira de senha que você pode implementar em sua própria organização, para que o usuário final nunca receba a senha real; em vez disso, ela será preenchida automaticamente em seu nome por algum tipo de plugin/agente em seu navegador.
Espero que alguém tenha verificado se seu uso não viola os Termos de Serviço deste arquivo external email campaign system.
Houve algumas tentativas de condenar pessoas porviolando um TOS, mas o caso foi anulado em recurso.
Como este sistema possui PII, parece razoável se preocupar com a segurança. Certamente existem outras soluções que você pode escolher para usar.