Estoy especulando sobre el diseño de un sistema que permita el intercambio de información confiable entre dos partes.
Parte A:
- Es una gran corporación.
- Quiere ofrecer acceso a sus empleados a través de un acuerdo de inicio de sesión único a los materiales en poder de la Parte B.
- Los empleados solo tendrán acceso a partes de lo que está disponible por la Parte B.
Parte B:
- Quiere compartir información confidencial con la Parte A.
- No confía por completo en la Parte A para no difundir información más allá de los usuarios autorizados.
- No quiere dar a la Parte A acceso completo a todos sus datos.
- Los datos en cuestión incluyen una variedad de recursos web, archivos, etc. Lo que hace la Parte A con todo esto está más allá del alcance de la pregunta.
Un sistema intermedio (hombre en el centro, tipo de arreglo de la cámara de compensación) debe auditar qué hace la Parte A con la información, mantener registros de quién inició sesión cuando, qué miraron, durante cuánto tiempo, etc.
¿Qué tipo de acuerdo de sistemas tendría sentido para garantizar que el acceso a la información de la Parte B por parte de la Parte A solo ocurra cuando se permita específicamente?