У меня на работе возникла проблема (я ИТ-менеджер): пользователи входят в некоторые наши системы, используя учетную запись, которая на самом деле принадлежит кому-то другому.
Мы должны соответствовать стандарту PCI (вам, вероятно, стоит это отметить).
Большинство внутренних систем я разобрался (но советы по этому вопросу тоже всегда приветствуются).
Текущая проблема связана с external email campaignсистемой, содержащей некоторую информацию о клиентах; пользователи используют одну учетную запись, которая фактически предназначена для одного человека.
Я считаю, что каждый пользователь должен входить в систему, используя свое имя пользователя и пароль, независимо от стоимости.
Мне нужна некоторая информация, чтобы подкрепить свои слова, и я задаюсь вопросом, насколько законно входить в систему такого рода под другим именем?
Я бы подумал, что это не соответствует PCI или не законно?
решение1
Конечно, часто можно найти в интернете услуги, где провайдер предлагает совместное использование общего аккаунта для организации или подразделения внутри организации. Ничего конкретно противозаконного в этом нет.
Существуют некоторые системы паролей-кошельков, которые вы можете внедрить в своей организации, так что конечному пользователю никогда не будет предоставлен фактический пароль, вместо этого он будет автоматически заполнен от его имени каким-то плагином/агентом в его браузере.
Надеюсь, кто-то проверил, не нарушает ли ваше использование TOS external email campaign system.
Были некоторые попытки осудить людей занарушение TOS, но дело было отменено в апелляционном порядке.
Поскольку эта система имеет PII, кажется вполне разумным беспокоиться о безопасности. Конечно, есть и другие решения, такие как решения для почтовых рассылок, которые вы могли бы использовать.