如果我为后来被黑客入侵的客户编写登录系统,我或我的公司是否可以对他们声称的任何损害负责?
打扰一下,如果已经提出这个问题。我做了一个搜索,发现没有相关的答案。
答案 0 :(得分:1)
我建议您咨询律师以了解此类法律问题。这是一个技术论坛,而不是法律咨询的地方。
软件保修和法院是一个阴暗的地方。这实际上取决于您提供的保修。通常使用软件明确拒绝任何保证,并且该软件是最好的努力,但是在美国,任何人都可以起诉任何其他人几乎任何事情。只是试图为诉讼辩护可能会造成财务上的破坏,这就是为什么住房承包商倾向于有多家注册公司承担建造房屋的责任,并将承包商的个人资产与任何诉讼隔离开来。
你没有说你的行业是什么。不同的行业将有不同的标准。例如,在销售点,有关于卡账户信息安全标准的VISA等PCI标准。
根据行业和安全漏洞的类型,是的,您可能需要承担责任。
您真的应该获得软件目标行业的安全专家和律师的服务,以讨论此问题和其他法律问题。
要记住的要点是,如果存在违规行为,特别是有财务影响的行为,那么您的客户很可能会寻找责任人。所以你真的想要写一些东西,表明由于违规而由谁负责。作为其中的一部分,可能应该对使用该软件的人员的最低可接受安全实践进行一些描述。
那就是说你应该遵循的一套最小的必要实践将是以下几点。我没有声称这些都是完整的,因为我不熟悉计算机安全。
尽可能减少特权和可以做的事情。这有望减少有人违反系统时可能造成的损害。
始终假设输入可能受到污染,因此请注意标准的入侵实践,例如在REST情况下对SQL注入或URL修改或对输入数据进行其他意外修改。
永远不要假设只是因为某些东西被隐藏而不会被发现和利用。
记录所有可能的内容,以便在发生违规时,法医团队将获得调查所需的数据。
密码是一种相当差的身份验证机制,因此您希望尽可能地加强密码。因此,密码老化对于强制更改密码非常重要。应使用密码难度检查,以鼓励更复杂的密码,这些密码会随着更改而变化。密码永远不应以明文形式保存,也不应以明文形式传输密码。加密是你的朋友和助手。
生物识别信息可以提供更好的身份验证机制,但有些人可能具有某些类型的生物识别系统(例如指纹效果不佳的人)无法正常工作的功能。还可以使用某种类型的唯一设备,例如同步到中央设备的认证代码生成器,或者可能是当您尝试登录时通过文本消息向您的手机发送认证代码的中央设备。
使用该系统可能需要在某些敏感操作时重新输入密码,特别是对于可以从公共终端访问的系统。
确保某人很容易退出,以便他们更有可能在结束会话时这样做。
让主管很容易被主管禁用,并提供一种方法,让主管可以轻松生成一份报告,告知谁有权访问哪些内容,何时使用他们的访问权限,以及他们在访问时做了什么?有权访问。
借用Gmail和其他电子邮件系统中的页面,通过电子邮件通知其帐户以及经理或主管的任何访问,这些访问似乎不常见或具有敏感性。如果更改了任何用户帐户类型,也会通过电子邮件通知,例如更改密码以及记录此类活动。