Históricamente, nuestra organización ha sido muy laxa con la protección de datos y el cumplimiento, y tenemos varios puestos de ventas de POS que sirven al público y aceptan pagos; Transacciones en efectivo, con chip y PIN y débito / crédito a través de un portal electrónico.
Como estamos en el Reino Unido, la Ley de GDPR de 2018 pendiente tendrá enormes consecuencias en la seguridad de los datos y la información para nosotros, y como departamento de TI. Uno de nuestros mayores desafíos es preparar a la organización para los cambios y aplicar las mejores prácticas a nuestro personal.
Recientemente ha salido a la luz que ciertos proveedores a menudo inician sesión en más de una máquina, con un usuario diferente que realiza transacciones financieras mientras 'toma prestadas' las credenciales de un compañero (el colega en cuestión es consciente de esto, aparentemente 'acelera las cosas suben 'cuando están ocupadas).
Por supuesto, esto elimina nuestra capacidad para rastrear y auditar transacciones, pero estrictamente hablando, ¿esto es ilegal ?
Si es así, ¿qué parte sería procesada por esto? ¿El individuo 'tomando prestadas' las credenciales, el colega que ha 'prestado' sus credenciales de inicio de sesión o nosotros como compañía (incluso si no conocemos la práctica)?
Soy consciente de que esto se cruza con 'Ley', pero en general está más centrado en las prácticas de protección de TI, por lo que pensé que lo publicaría aquí (no quiero realizar una publicación cruzada). Si la comunidad considera este tema ajeno a esta pila, ¿podría un administrador migrarlo a la ley para mí?