存储感官信息的规则？

Question

我认为这不是发布这篇文章的正确网站，但我不确定我还能去哪里。

不管怎样，我的问题很简单。是否有任何联邦法规或州(科罗拉多州)法规来存储敏感的用户信息，如SSN、帐单和联系信息？更具体地说，我目前正在为其做数据库审计的公司是当地一所大学。

他们在数据库中有很多这样的纯文本信息，我想告诉他们，这不仅是一个坏主意，而且如果被发现，可能会引起法律问题。

Answer 1

在一定程度上，这将造成监管问题，它将在Family Educational Rights and Privacy Act (FERPA)下这样做，假设系统不处理信用卡交易。如果它真的处理信用卡交易，它将落入PCI compliance的监管之下。我不是FERPA遵从性方面的专家，但我不认为它要求在数据库中对数据进行加密。

话虽如此，您当然可以指出，如果存在漏洞(例如，备份磁带在传输过程中丢失)，并且底层数据未加密，则FERPA可能会发挥作用。如果不对数据进行加密，可能会迫使公众尴尬地披露已经发生了入侵。如果数据都是加密的(假设加密密钥没有丢失)，通常可以避免公开披露。

Answer 2

除了贾斯汀·凯夫回答的问题外，科罗拉多州的其他州法律可能会影响到你。例如，马萨诸塞州有一项法规，其措辞将影响任何存储马萨诸塞州居民个人数据的企业。我不知道它有没有在法庭上测试过。

可能有比来自http://www.echoworx.com的Encryption Laws and Compliance更好的摘要，但这一条对我来说很容易找到。搜索“隐私法合规性”或“合规性软件”可能也会有所帮助。