我不认为这是发布此内容的正确网站,但我不确定我还能在哪里发布。
无论如何,我的问题很简单。是否有任何联邦法规或州(科罗拉多州)法规存储敏感用户信息,如SSN,账单和联系信息?更具体地说,我目前正在进行数据库审计的公司是当地的一所大学。
他们有很多这样的信息作为数据库中的纯文本,我想告诉他们这不仅是一个坏主意,但如果发现它可能会导致他们的法律问题。
答案 0 :(得分:3)
如果这会产生监管问题,那么假设系统不处理信用卡交易,它会在Family Educational Rights and Privacy Act (FERPA)下这样做。如果它确实处理了信用卡交易,它将属于PCI compliance的主持。我不是FERPA合规方面的专家,但我不认为它要求在数据库中加密数据。
话虽如此,你当然可以指出,如果发生违规(例如,备份磁带在传输过程中丢失)并且基础数据未加密,FERPA可能会发挥作用。不对数据进行加密可能会迫使公开披露发生违规行为的尴尬。如果数据全部加密(假设加密密钥也没有丢失),通常可以避免公开披露。
答案 1 :(得分:3)
除了Justin Cave的回答中的问题,其他州法律可能会影响到您在科罗拉多州。例如,马萨诸塞州有一项法规,其措辞会影响任何存储马萨诸塞州居民个人数据的企业。我不知道它是否已在法庭上进行过测试。
Encryption Laws and Compliance可能有比http://www.echoworx.com更好的摘要,但这个摘要很容易让我找到。搜索“隐私法合规性”或“合规性软件”也可能有所帮助。