如果我为后来被黑客入侵的客户编写登录系统,我或我的公司是否可以对他们声称的任何损害负责?
对不起,如果这已经被问过了。我进行了搜索,没有找到相关的答案。
我建议您就此类法律问题咨询律师。这是一个技术论坛,而不是法律咨询的地方。
软件保修和法院是一个模糊的领域。这实际上取决于您提供的保证。通常,对于软件,会明确拒绝任何保证,并且该软件是尽最大努力,但是在美国,任何人都可以就几乎任何事情起诉其他任何人。仅仅试图为诉讼辩护可能在财务上是毁灭性的,这就是为什么房屋承包商倾向于拥有多家注册公司,这些公司对建造的房屋承担责任并将承包商的个人资产与任何诉讼隔离开来。
你没有说你的行业是什么。不同的行业会有不同的标准。例如,在销售点,有来自 VISA 等的关于卡帐户信息安全标准的 PCI 标准。
根据行业和安全漏洞的类型,是的,您可能需要承担责任。
您确实应该在您的软件目标行业获得安全专家和律师的服务来讨论这个和其他法律问题。
要记住的要点是,当出现违规行为时,尤其是具有财务影响的违规行为,您的客户很可能会寻找责任人。所以你真的希望有一些书面的东西来表明谁对违反造成的任何责任负责。作为其中的一部分,可能应该对使用该软件的人认为最低可接受的安全实践进行一些描述。
也就是说,您应该遵循的一组最少的必要实践将类似于以下内容。我没有声称这些在任何地方都是完整的,因为我并不精通计算机安全。
尽可能减少特权和可以做的事情。这有望减少有人破坏系统时可能造成的损害。
始终假设输入可能受到污染,因此请注意标准入侵实践,例如在 REST 或其他意外修改输入数据的情况下的 SQL 注入或 URL 修改。
永远不要认为仅仅因为某些东西被隐藏就不会被发现和利用。
记录所有可能的信息,以便在发生违规行为时,取证团队将获得调查所需的数据。
密码是一种相当糟糕的身份验证机制,因此您希望尽可能地加强它们。因此密码老化对于强制更改密码很重要。应使用密码难度检查,以鼓励更复杂的密码,这些密码因更改而异。密码不应以明文形式保存,也不应以明文形式传输。加密是您的朋友和帮手。
生物特征信息可以提供更好的身份验证机制,但是有些人可能具有不能很好地与某些类型的生物特征系统配合使用的功能,例如指纹不能正常工作的人。也可以使用某些类型的独特设备,例如与中央设备同步的验证码生成器,或者当您尝试登录时通过短信向您的手机发送验证码的中央设备。
使用该系统可能需要在某些敏感操作时重新输入密码,尤其是对于可以从公共终端访问的系统。
确保某人可以轻松注销,以便他们更有可能在关闭会话时这样做。
使用户可以轻松地被主管禁用,并提供一种方法使主管可以轻松生成报告,说明谁有权访问什么、他们何时使用了他们的访问权限以及他们在获得访问权限时做了什么。
从 Gmail 和其他电子邮件系统借用一个页面,以通过电子邮件通知其帐户的用户以及经理或主管任何看似不寻常或具有敏感性质的访问。如果进行了任何用户帐户类型更改(例如密码更改)以及记录此类活动,还可以通过电子邮件通知。