La nostra organizzazione è stata storicamente molto negligente con la protezione dei dati e la conformità, e abbiamo un certo numero di posizioni di vendita POS che servono il pubblico e che effettuano pagamenti; transazioni in contanti, chip e pin e debito / credito attraverso un portale elettronico.
Poiché siamo nel Regno Unito, il GDPR Act in corso del 2018 avrà enormi conseguenze sulla sicurezza dei dati e delle informazioni per noi e in quanto reparto IT. una delle maggiori sfide è la preparazione dell'organizzazione per le modifiche e l'applicazione delle best practice per il nostro personale.
Recentemente è emerso che alcuni fornitori sono spesso collegati a più di un computer, con un utente diverso che esegue transazioni finanziarie mentre "prende in prestito" le credenziali di un collega (il collega in questione ne è a conoscenza, apparentemente è cose su 'quando sono occupati).
Ovviamente ciò rimuove la nostra capacità di tracciare e controllare le transazioni, ma in senso stretto, è illegale ?
Se sì, quale parte sarebbe perseguita per questo? L'individuo "prende in prestito" le credenziali, il collega che ha "prestato" le proprie credenziali di accesso o noi come società (anche se non siamo consapevoli della pratica)?
Sono consapevole che questo incrocia con 'Law', ma è più generalmente incentrato sulle pratiche di protezione IT, quindi ho pensato di postarlo qui (non voglio cross-post). Se la community ritiene questo fuori tema per questo stack, potrebbe un amministratore migrare gentilmente verso Law for me?