Опубликован: 16.10.2006 | Доступ: свободный | Студентов: 2195 / 318 | Оценка: 4.44 / 4.23 | Длительность: 26:41:00
Лекция 12:

Секретность данных в интернете

Законы, связанные с секретностью

Независимо от личного мнения администратора сайта о принципах секретности существуют законы, которым сайт должен соответствовать в обязательном порядке, включая конкретные требования к безопасности. В данном разделе мы определим, выполняет ли сайт обязательства, связанные с секретностью и безопасностью.

В полномочия ответственного за сайт лица может не входить определение законов, которые должны быть применены к сайту. (Проконсультируйтесь у квалифицированного юриста, особенно если предполагаете применить к сайту какие-либо законы. Данная книга не является пособием по юриспруденции, а этот раздел не следует воспринимать как юридическую консультацию.) Разумеется, даже если полномочия администратора ограничиваются только безопасностью веб-сайта, ему полезно знать о том, какие законы применимы к сайту, и как они связаны с его безопасностью. Для получения более подробной информации перейдите на страницу http://eprivacygroup.com/sources.

Акт о защите секретности информации, вводимой в интернете детьми

  • Разместить на веб-сайте четкие и полные сведения о политике секретности, описывающие действия, которые сайт выполняет с информацией, предоставляемой детьми.
  • Разместить на сайте примечание для родителей, а в некоторых случаях получать заверенное согласие родителей ребенка перед началом сбора с него личной информации.
  • Предоставить родителям выбор для разрешения сбора и использования информации о ребенке и наложения запрета на разглашение этой информации сторонним организациям или лицам.
  • Предоставить родителям доступ к личной информации, вводимой их детьми, для просмотра или удаления.
  • Предоставить родителям возможность предотвращения дальнейшего сбора или использования информации.
  • Обеспечить конфиденциальность, безопасность и целостность информации, вводимой детьми на сайте.

Обратите внимание на последний пункт. По существу, закон говорит о том, что сайт должен быть защищенным. Хотя этот закон относится не ко всем веб-сайтам, он подталкивает к принятию более серьезных мер по обеспечению безопасности сайта.

Еще одно условие данного закона олицетворяет принцип "необходимого минимума". Детским веб-сайтам запрещено брать с детей больший объем информации, нежели минимально необходимый, для участия в том или ином действии. Предположим, что вы отвечаете за безопасность сайта, попадающего под закон COPPA. По существу, COPPA требует защиты информации, собираемой сайтом, но разве в обязанности администратора входит отслеживание того, что данные, вводимые в формы на сайте, соответствуют ограничениям COPPA? Ответ на этот вопрос зависит от структуры рассматриваемой организации и разделения полномочий.

Независимо от того, чьей обязанностью является соблюдение закона COPPA, полезно знать о том, что Федеральная торговая комиссия США одобрила несколько программ безопасности Safe Harbor для COPPA. Программы Safe Harbor представляют собой саморегулирующие директивы, в которых говорится о соответствии постановлениям правительства. Программа COPPA Safe Harbor участвует в программе TRUSTe из Entertainmet Software Rating Board (ESRB) (Таблица рейтинга развлекательного программного обеспечения) и в Children’s Advertising Review Unit of the Council of Better Business Bureaus (CARU) (Детский центр рекламного обзора Совета лучших бюро занятости), являющейся пропагандой саморегулирующей индустриальной программы.

Акт Gramm-Leach-Bliley

С лета 2001 г. многие американцы получили большое количество писем с информацией о секретности от банков, компаний кредитных карт и других финансовых институтов. Это стало результатом выхода в свет Акта о модернизации финансового обслуживания в 1999 году, который чаще называют Актом Gramm-Leach-Bliley или G-L-B по фамилиям трех конгрессменов, представивших законопроект. Главной целью G-L-B было выведение из действия регулятивных мер, введенных после депрессии Актом Glass-Steagall в 1933 г. Согласно G-L-B поставщики финансовых услуг, включая банки, охранные агентства и страховые компании, могут взаимодействовать друг с другом и проникать на рынок друг друга (целью является открытая и свободная конкуренция в сфере финансовых услуг). Однако в процессе рассмотрения законопроекта многие высказали свою озабоченность в связи с распространением информации между компаниями различных категорий, например, между страховыми компаниями и банками, которые получат новые возможности для "перекрестных продаж" согласно закону G-L-B.

Непосредственно к веб-сайтам относится раздел закона под названием "Разглашение непубличной частной информации". В данном разделе говорится: "Каждый финансовый институт имеет необходимое и постоянное обязательство защищать секретность своих клиентов… Финансовый институт имеет необходимое и постоянное обязательство обеспечивать безопасность и конфиденциальность непубличной частной информации о своих клиентах". Основное применение закона аналогично применению COPPA: когда тип данных, обрабатываемых сайтом, попадает под категорию, о которой говорится в законопроекте, то защита этих данных обязательна на основании закона. В действительности закон G-L-B стал сводом стандартов безопасности, которым должны отвечать финансовые институты (ссылки на эти стандарты расположены по адресу http://eprivacygroup.com/sources).

Согласно G-L-B финансовым институтам запрещается разглашение непубличной частной информации несвязанным с ними третьим сторонам (либо напрямую, либо через партнера), если данный финансовый институт четко и конкретно:

  • не оповестил клиента о том, что его информация может быть разглашена какой-либо третьей стороне;
  • не предоставил клиенту возможность запретить разглашение информации;
  • не предоставил описание метода, с помощью которого клиент может запретить разглашение.

Отдельная часть законодательного акта ставит вне закона получение непубличной персональной информации посредством жульничества (этот вид незаконной деятельности называется доступом под предлогом, когда злоумышленник выдает себя за авторизованное лицо для доступа к личным данным). Имейте в виду, что закон G-L-B применим не только к банкам и страховым компаниям. Данный законодательный акт говорит о "финансовом институте" в широком смысле, включая любые организации, участвующие в процессах, по определению являющихся финансовыми, а также подразумевается любая другая активность, которая может быть зафиксирована федеральными органами. В число этих организаций входят компании, занимающиеся ипотечным кредитованием, выплатами по чекам, электронной передачей денежных средств, туристические агентства, осуществляющие денежные операции, сборщики налогов, консультанты по кредитам, компании по подготовке данных о налогах и т.д.

Любая организация, попадающая под действие закона G-L-B, в обязательном порядке должна четко определить свою политику и действия по обеспечению секретности, особенно, если речь идет о разглашении непубличных персональных данных партнерам компании и лицам, которые в прошлом были клиентами данного финансового института; также должны четко определяться категории непубличной личной информации, собираемой организацией, меры защиты, обеспечивающие конфиденциальность и безопасность непубличной персональной информации.

G-L-B требует использования полнофункциональной программы по защите информации, включающей в себя административные, технические и физические меры по обеспечению безопасности записей и информации клиента в соответствии с размером и сложностью организации, ее природой и областью деятельности. Совет директоров организации должен одобрить и вести наблюдение за процессом разработки, применения и управления программой по обеспечению безопасности информации. Организация должна уделять особое внимание выбору и отслеживанию работы поставщиков услуг, которые обеспечивают соответствующие меры безопасности, для удовлетворения установленным директивам. Другими словами, если вы отвечаете за веб-сайты, принадлежащие финансовым организациям или компаниям по обслуживанию таких организаций, защита этих сайтов является обязательной по закону.

ПРОБЛЕМА

Руководство компании приняло решение обновить веб-сайт IIS, чтобы клиенты могли заказывать товары и осуществлять платежи по кредитным картам. Какие меры предпринять для обеспечения секретности? Требуется ли соответствие положениям закона G-L-B? Какие другие законы, связанные с секретностью, будут относиться к сайту?

Во-первых, необходимо задать эти вопросы юридическому консультанту, чтобы получить точную и самую свежую информацию для принятия решений, связанных с секретностью.

Если прием платежей по кредитным картам будет реализован самостоятельно, то сайт не попадает под действие закона G-L-B. Однако в случае поэтапной оплаты, когда с кредитной карты клиента первоначально снимается только часть стоимости дорогого товара, а остальная сумма погашается в рассрочку, сайт попадает под действие Акта G-L-B.

Независимо от положений Акта G-L-B администратор может обновить определение секретности сайта, чтобы отразить в нем сбор персональных данных (адреса и номера телефонов), необходимых для обработки платежей по кредитным картам. Необходимо убедить покупателей в том, что их личная информация не попадет к третьим лицам и не будет использована в рекламных целях без их личного разрешения. Администратору необходимо также обеспечить меры безопасности для защиты информации о кредитных картах при ее передаче, обработке и хранении.