PDF遵守合规性
置之不理并非选项。
ERIC ALLMAN, SENDMAIL
“嘿,合规性很无聊。真的,非常无聊。而且,我又不在金融行业,也不在医疗保健行业工作。我为什么要关心SOX和HIPAA?”
是的,您说的完全正确。您编写工资单应用程序、操作系统、用户界面,或者(天哪)电子邮件服务器。您为什么要担心合规性问题?
合规性是关于那个最无聊且难以理解的话题:法律和法规。而且它并没有完全明确的定义。合规性涵盖了从确保个人财务信息不落入坏人之手到执行性骚扰政策的一切。
我们当中只有少数人可以对这个话题置之不理。我们中的一些人确实编写屏幕保护程序软件,它不与任何其他东西交互。我认识一个人,他制造机器人玩具,这些玩具存在安全问题,但至少在本篇文章的意义上,不存在合规性问题。许多研究人员需要他们的代码运行足够长的时间来完成论文,届时代码就可以进入伟大的比特垃圾桶。然而,我们大多数人确实需要担心合规性。
无论您是应用程序程序员、系统开发人员还是系统管理员,您都可能会迟早遇到合规性问题。很可能很快就会遇到。
我们大多数人都生活在现实世界中
人们常说,如果只需要处理用户,编写软件会容易得多。的确如此。然而,现实情况(无论多么令人遗憾)是,我们大多数人必须或想要编写在类似“真实”世界中工作的软件。开源?好吧,如果您不希望其他人使用您的代码,那么您首先为什么要开源您的代码呢?——而且您无法预测他们将如何使用它。邮件程序、操作系统、网络堆栈、应用程序库?它们可能(应该说:将会)在金融行业、医疗保健、政府以及您能想到的任何行业中使用(也就是说,如果您成功了;如果您计划您所做的一切都会失败,您可以忽略所有这些)。这意味着您至少应该了解基本知识。
一个好的经验法则是这样的:如果您的代码可能在商业环境中使用,并且会直接或间接地与公众互动,或者如果它将被受监管行业或上市公司中的公司使用,您可能需要认真对待合规性。这被广义地解释;例如,身份验证和授权模块可能会受到影响,即使它们没有明确地操作业务数据,因为它们可以在敏感的环境中使用。当然,也有明显的例子:如果您正在编写金融应用程序,您将需要遵守SEC法规;如果您的应用程序管理、处理、存储或以任何方式接触美国上市公司的业务敏感数据,您必须关注SOX(2002年萨班斯-奥克斯利法案);如果您的应用程序将在欧洲运行,您应该了解适当的EC(欧盟委员会)法规;还有巴塞尔协议II等国际协议,为银行业提供资本监管;健康病人记录管理系统需要遵守HIPAA(健康保险可携性和责任法案);等等。
假设您编写一个数据库库。财务和健康记录都保存在数据库中,因此您可能需要考虑如何在多个法规中实现合规性。如果您从事任何与通信相关的工作——无论是网络、电子邮件、即时消息还是Web应用程序——您的代码都可能在某个时候用于传输敏感数据。
合规性组成部分
如果您正在编写有一天、以某种方式在受监管公司中使用的软件,您需要担心什么?
隐私。 合规性法规最基本的要素之一是保护私人记录的隐私。现在几乎不可能打开报纸而不读到一些组织丢失或被盗数据的新闻。除了造成合规性问题外,这些事件对组织来说既昂贵又令人尴尬。
需要保密的信息包括账号、社会安全号码、财务数据(账户余额等)、治疗和处方数据、金融工具、地址和电话号码,以及您能想到的任何东西。也许一个好的衡量标准是问问自己,“如果这些数据被公开关于我,我会介意吗?如果这些数据是关于我的朋友,他们会介意吗?它会帮助试图窃取我身份的人吗?”
更复杂的是,隐私法规因地而异,有时甚至以不兼容的方式存在。除了美国联邦政府之外,还有更多需要考虑的。一些州有地方法律,当然,欧盟也有自己的法规。例如,《泰晤士报》(2006年6月10日)报道,英国平等机会委员会建议所有公司都需要扫描电子邮件,以查找可能的性骚扰。
需要考虑的问题示例包括
- 我是否存储了实际上不需要存储的数据?
- 我是否加密了我确实需要存储的所有数据?
- 我是否采取了充分的预防措施,以确保只有经过适当授权的人员才能访问这些数据?
- 我的备份是否已加密?
问责制。 公司对不当使用数据或系统负责。例如,有一个案例,一家大型金融机构的分析师与同一公司的交易员串通“拉高出货”某些股票。一份电子邮件记录显示,一些分析师公开吹捧某只股票,但私下里却称其为“垃圾”。重点不是您永远不应该保存您的电子邮件,以免被抓住,而是要确保麻烦一开始就不会发生。许多公司创建了“中国墙”,以防止公司相对立部门的人员交换敏感信息。
可审计性。 监管机构越来越要求信息系统留下虚拟的纸质记录,记录它们所做的一切,以防信息泄露。例如,许多金融机构被要求保留公司所有进出邮件的副本:实体邮件、电子邮件、即时消息、电话录音等。
如果信息确实泄露,您需要知道是谁泄露的以及传播范围有多广。您还必须假设一些员工的行为不当,无论是出于无知还是恶意;重要的是能够找到他们并对他们进行培训或解雇,这取决于违规行为的性质。审计跟踪也有助于保护您自己:如果您发现自己身处法庭,不得不向陪审团保证您没有通过电子邮件向客户发送热门股票提示,您需要一份您发送的所有电子邮件的完整记录。
值得指出的是,可审计性并不意味着“永远保留所有数据”。除了不切实际之外,这还可能产生政策和法律影响。但是,公司不应随机删除数据,而应制定明确的保留政策,并在整个组织中遵守该政策。
政策。 公司应制定明确的书面政策,说明如何处理数据。当然,创建或编写这些政策不是您的工作,但确保您的代码能够适应不同公司的不同政策是您的工作。
其中一些政策可能超越了明显的法规。一些公司因为他们的电子邮件系统被用来传递被认为是性骚扰的材料而成功地被起诉。这意味着公司越来越希望扫描内部邮件,以查找可能表明问题的词语。例如,包含[已删除 –ed.]、[已删除] 或 [已删除] 等词语的电子邮件可能不应通过公司电子邮件传输——而捕获这些词语是电子邮件系统的工作。
可管理性。 合规性通常要求管理层能够确定信息的状态。代码的编写应适应监控——例如,通过包含对MIB(管理信息库)的可扩展支持。应用程序和库的设计应考虑到这些要求。
文档。 能够记录您所做的事情通常比您记录什么更重要。事实上,许多合规性法规并不要求您做特定的事情,而是要求您的公司清楚地记录它所做的事情,实际遵循这些政策,并根据需要提供这些政策。
例如,您可能已经收到了您选择的金融机构的隐私政策。其中许多政策或多或少地写道:“我们可以自行决定将您的数据提供给我们任何有价值的营销合作伙伴。” 但重要的是他们已经记录下来了。同样,您的代码应该具有清晰、文档化的接口和行为。
总结
我在这里所说的大部分内容都是乌托邦式的。不幸的是,大多数备份磁带都没有加密(但可能应该加密),即使有最好的意图,很多代码的文档记录也不充分——我当然必须将我自己的许多代码也包括在内。然而,在所有可能性中,这些类型的合规性要求将随着时间的推移变得更加严格,而不是更宽松,并且这些将成为更大的问题。
坏消息是,这些法规非常庞大、复杂,坦率地说,对于任何没有专门领域法律学位的人来说都是难以理解的。好消息是,这些法规的绝大部分与问题的计算机化部分无关,因此不会成为您的问题。
免责声明: 我不是合规性专家,只是另一位被拖入这个世界并尖叫和挣扎的技术专家。这只是我在这个非常令人困惑的领域学到的一点东西。—EA
ERIC ALLMAN是Sendmail的联合创始人兼首席科学官,Sendmail是最早的基于开源的公司之一。他之前是加州大学伯克利分校猛犸象项目的首席程序员。这是他在伯克利的第二次经历,因为他是INGRES数据库管理项目的首席程序员。除了分配的任务外,他还参与了伯克利的早期Unix工作。他最早接触Unix是在第4版。多年来,他编写了许多实用程序,这些实用程序出现在BSD的各种版本中,包括-me宏、tset、trek、syslog、vacation,当然还有sendmail。在伯克利两次经历之间的几年里,他在Britton Lee(后来的Sharebase)从事数据库用户和应用程序接口工作,并在国际计算机科学研究所为基于神经网络的语音识别的环形阵列处理器项目做出贡献。他还与人合著了《Unix Review》杂志的“C Advisor”专栏多年。他曾是Usenix协会的董事会成员。
最初发表于Queue vol. 4, no. 7—
在数字图书馆中评论本文
更多相关文章
Jatinder Singh, Jennifer Cobbe, Do Le Quoc, Zahra Tarkhani - 云端飞地
随着组织数据实践受到越来越多的审查,对于可以帮助组织履行其数据管理义务的机制的需求正在增长。TEE(可信执行环境)提供基于硬件的机制,具有各种安全属性,用于辅助计算和数据管理。TEE关注数据、代码和相应计算的机密性和完整性。由于主要安全属性来自硬件,因此即使主机特权软件堆栈存在漏洞,也可以提供某些保护和保证。
Tracy Ragan - IT合规性游戏中的记分
让开发人员接受用于管理从开发到发布的应用程序的标准化程序是当今组织面临的最大障碍之一。建立标准化的开发到发布工作流程(通常称为ALM(应用程序生命周期管理)流程)对于组织努力满足严格的IT合规性要求尤为重要。这说起来容易做起来难,因为不同的开发团队创建了自己的独特程序,这些程序没有文档记录、不明确且不可追踪。
J. C. Cannon, Marilee Byers - 合规性解构
合规性主题每年都变得越来越复杂。数十项监管要求可能会影响公司的业务流程。此外,这些要求通常含糊不清且令人困惑。当负责合规性的人员被问及他们的业务流程是否符合合规性时,他们自然很难简洁而自信地回应。本文着眼于公司如何解构合规性,以系统的方式处理合规性,并将技术应用于自动化与合规性相关的业务流程。它还专门研究了微软如何应对SOX合规性。
John Bostick - 击败SOX
数据对于任何大型组织来说都是宝贵的资源。组织越大,它就越有可能在某种程度上依赖第三方供应商和合作伙伴来帮助其管理和监控其关键任务数据。在新颁布的上市公司法规(例如SOX第404条)之后,财富1000强公司的IT部门负责人越来越需要知道,当涉及到对其关键数据交易进行24/7/365监控时,他们拥有具有周密计划和完善记录程序的业务合作伙伴。为了响应验证第三方控制和程序日益增长的需求,一些公司坚持要求某些供应商接受SAS 70 Type II审计。
© 保留所有权利。