我在工作中遇到了一个当前的问题(我是IT经理),用户使用一个实际上是某个人的帐户login到我们的一些系统。
我们必须符合PCI(你应该注意到这一点)。
大多数内部系统我已经sorting(但build议总是欢迎这一点)。
目前的问题涉及一个包含一些客户信息的external email campaign系统,用户正在使用一个实际为一个人devise的帐户。
我相信每个用户都应该使用自己的用户名和密码login,不pipe成本如何。
我需要一些信息来支持我,并想知道如何以其他方式login这种系统是合法的?
我会认为这不符合PCI或合法?
在互联网上find服务是非常常见的,在这种情况下,提供商build议共享一个组织的共享帐户,或者是组织内的一个单位。 没有什么是特别违法的。
有一些密码钱包系统可以用你自己的组织来实现,这样最终用户永远不会得到实际的密码,而是会在浏览器中通过某种插件/代理自动填充它们。
我希望有人检查,以确保您的使用不违反这个external email campaign system的服务条款。
曾有人企图将人定罪为违反服务条款 ,但案件在上诉中被推翻。
由于该系统确实具有PII,因此担心安全性似乎有些合理。 当然还有其他解决scheme,可以select使用的邮件列表解决scheme。