आपको Exchange Server 2007 SP1 पर S / MIME और OWA के साथ सुरक्षित मैसेजिंग पर एक नज़र रखना चाहिए अगर आप मैसेज को एन्क्रिप्ट करना चाहते हैं। इस समाधान के लिए एक अतिरिक्त चरण की भी आवश्यकता होती है क्योंकि उपयोगकर्ताओं को एन्क्रिप्ट बटन का चयन करना होगा (यह भी संभवत: कानूनी नहीं है क्योंकि आपको किसी तरह यह मानना होगा कि आप सभी उपयोगकर्ता कभी गलती नहीं करेंगे और ईमेल को एन्क्रिप्ट नहीं करेंगे जो उनके पास होना चाहिए।) अन्यथा सभी आपको यह सुनिश्चित करने की आवश्यकता है कि आप मैसाचुसेट्स पीआईआई को जिन गंतव्यों को भेजना चाहते हैं, वे टीएलएस का उपयोग कर रहे हैं (आपको यह जानकारी होना आवश्यक है कि आप सभी को एमटीआरआई के अनुसार भेज सकते हैं। सीएमआर 17.04 के अनुसार)। आपको संभवतः एक परिवहन नियम भी लिखना चाहिए जो मास पीआईआई की खोज करने के लिए एक रेक्सक्स का उपयोग करता है। मैसाचुसेट्स PII को एक निवासी के पहले और अंतिम नाम के संयोजन के रूप में परिभाषित किया गया है, जो निम्न में से एक से जुड़ा है: एक चालक का लाइसेंस नंबर, एक क्रेडिट कार्ड नंबर, या एक सामाजिक सुरक्षा नंबर।
ऑफ-टॉपिक लेकिन गार्मिन ...
इसे पढ़ने वालों के लिए ध्यान दें और सोचें कि आप भाग्यशाली नहीं हैं कि आप MA, Suprise में रहें! यदि आप मैसाचुसेट्स के निवासी की व्यक्तिगत जानकारी संग्रहीत करते हैं, भले ही आपके पास मैसाचुसेट्स में व्यावसायिक उपस्थिति है या नहीं, तो आप 201 सीएमआर 17.00 में निर्धारित दंड के अधीन हैं। जिसकी कीमत $ 100 रिकॉर्ड हो सकती है, अधिकतम $ 50K प्रति "घटना"। एमए जनरल लॉ 93H में कहा गया है कि प्रति उल्लंघन 5,000 डॉलर का जुर्माना होगा। पूरी तरह से इसका क्या मतलब है? मुझे नहीं लगता कि कोई भी जानता है और तब तक नहीं करेगा जब तक कि कोई इसके साथ नहीं मारा जाता।
यह ध्यान रखना महत्वपूर्ण है कि यह एक आसान विषय नहीं है- यहाँ अपने और ज़ीरोफ़र के बीच अपने उत्तर के बारे में चर्चा की गई है:
मुझे: किसी भी प्रकार के अंतिम उपयोगकर्ता विकल्प का उपयोग करने से आप दायित्व के लिए खुल जाते हैं, पीसीआई के विपरीत कानून में आपको किसी भी उचित समस्या के लिए हुक पर रहने की आवश्यकता होती है (जैसे कि joe उपयोगकर्ता प्रौद्योगिकी का उपयोग नहीं कर रहा है)
Zypher: pgp का उपयोग करके यदि उपयोगकर्ता आपको कुंजी नहीं देता है, तो आप उन्हें नहीं भेजते हैं। मूल रूप से वे इसका उपयोग करने के लिए मजबूर हैं - इस उपयोग के मामले में - अन्यथा वे या तो ए) डेटा प्राप्त नहीं करते हैं या बी) डेटा को नहीं पढ़ सकते हैं।
मुझे: आप यह कैसे सुनिश्चित कर सकते हैं कि डेटा भेजने वाला प्रत्येक उपयोगकर्ता हर ईमेल को एन्क्रिप्ट करेगा? एक SMIME समाधान की तरह आपको अपने ईमेल को एन्क्रिप्ट करने के लिए चुनना होगा जो इसे मजबूर नहीं कर सकता है - या क्या मुझे कुछ याद आ रहा है?
Zypher: यह बहुत आसान है, अगर आप एक ऐसी ईमेल भेजते हैं जिसमें जानकारी होती है जिसे एन्क्रिप्ट किए बिना इसे एन्क्रिप्ट करने की आवश्यकता होती है, तो आपके कारण के लिए निकाल दिया जाता है (इसमें कहा जाएगा कि इसका अर्थ बेरोजगारी नहीं है)। नहीं सब कुछ एक तकनीकी समाधान की जरूरत है। इस सवाल से यह बहुत बार नहीं किया जाएगा इसलिए एक अधिक शामिल समाधान शायद लागत / लाभ के लायक नहीं है। यदि उन्हें हर दिन ऐसा करने की आवश्यकता होती है, तो मैं ईमेल का उपयोग न करने की वकालत करूँगा, और एसएसएल पर ऑनलाइन फॉर्म में जा रहा हूँ।
मुझे: IANAL - लेकिन मैं उन्हें सुन रहा हूं, कानून प्रभावी रूप से यह कहकर टाल रहा है कि इसे एक टेक्निनिकल सॉल्यूशन होना चाहिए- "लेकिन मेरी एक नीति थी" वास्तविक तथ्य यह है कि उन "उचित रूप से पूर्वाभास" मुद्दों में से एक जिसे आप मिटाना चाहते हैं कम नहीं किया गया था। उल्लंघन करने वाले उल्लंघनकर्ता पहले से ही कानून का हिस्सा हैं। इस चर्चा पर एक नजर डालें informationweek.com/blog/main/archives/2009/02/...
Zypher: वास्तव में यदि आप 17.03.2.b (यहां: mass.gov/Eoca/docs/idtheft/201CMR1700reg.pdf ) पढ़ते हैं, तो मेरी एक नीति है और उस पर मेरे लोगों को प्रशिक्षित किया है, साथ ही अनुशासनात्मक उपाय करना वास्तव में पूरी तरह से रक्षात्मक है। वास्तव में एक तकनीकी समाधान का एकमात्र उल्लेख समाप्त कर्मचारियों को रिकॉर्ड तक पहुंचने से रोकने के लिए है। IAANAL (I Am Not Not A Lawyer)।
मुझे: - 1,2,3 केवल ऐसी चीजें हैं, जिनके लिए निश्चित समाधान शामिल नहीं होने की उम्मीद है, 2 बी विशिष्ट शब्दांकन है जो लागू होता है (मैंने धोखा दिया और एक वकील से पूछा)। यदि आपको कहना है कि "मैं इसका बचाव कर सकता हूं" तो अदालतें आपको कुचल देगी। अनुपालन मुद्दों के साथ आपको साबित करना होगा कि आप रजिस्टरों का पालन कर रहे हैं। रेज विशेष रूप से "पूर्वाभास" कहते हैं। यदि आप अदालत में खड़े होते हैं और कहते हैं, "अच्छी तरह से अगर किसी ने नीति को तोड़ दिया तो उन्हें निकाल दिया जाएगा" अभियोजन बस कहने वाला है "तो आप स्वीकार करते हैं कि आप इस नीति का उल्लंघन करने का एक तरीका निकालते हैं, और हटाने के लिए कोई उचित उपाय नहीं करते हैं समस्या?"
Zypher: आपको धोखा देने के लिए लानत है। खैर अब हमें उचित परिभाषित करना होगा, मेरी कंपनी (बड़े बहु-राष्ट्रीय w / 100k + कर्मचारियों) के लिए उचित एक माँ और पॉप शॉप के लिए समान नहीं है। लेकिन उसी टोकन पर मुझे लगता है कि हम साइट के क्यू एंड ए जनादेश से बहुत दूर हो रहे हैं ... जो दुर्भाग्यपूर्ण है क्योंकि इस चर्चा ने कुछ अच्छी जानकारी प्रदान की है।
मुझे: यह "यथोचित पूर्वाभास" है "यथोचित रूप से सुरक्षित" या लागू करने के लिए उचित नहीं है। याद रखें कि कानूनी तौर पर, व्यक्तियों के नामों पर रोट 13 का उपयोग करना और कुछ भी नहीं है क्योंकि यह एनक्रिप्शन का एक मानक है। यह चर्चा उपयोगी है इसलिए मैं इसे शामिल करने के लिए अपने उत्तर को संपादित करूंगा ताकि यह खो न जाए।