マサチューセッツ州の新しい個人情報保護法に準拠するために、私の会社は(とりわけ)個人情報が電子メールで送信されるときはいつでも暗号化されるようにする必要があります。これを行う最も簡単な方法は何ですか?基本的に、私は受信者の側で最小限の労力を必要とするものを探しています。できれば、プログラムをダウンロードしたり、キーペアを生成するための手順を実行したりする必要がないようにしたいので、コマンドラインのGPGタイプのものはオプションではありません。電子メールシステムとしてExchangeServerとOutlook2007を使用しています。
電子メールを簡単に暗号化してから、キーを使用して受信者にFAXまたは電話をかけるために使用できるプログラムはありますか? (または、受信者がメールを復号化するためにダウンロードできる公開鍵を含むWebサイトへのリンクを電子メールに含めることができますか?)これらの暗号化された電子メールの多くを送信する必要はありませんが、送信者は送信します特に技術的ではないので、できるだけ簡単にしたいと思います。良いプログラムのためのどんな記録も素晴らしいでしょう。ありがとう。
PCIについては、クライアントと同様のことを経験する必要がありました。最良の方法は、PGP/GPGのいくつかのバージョンを使用することです。
言われた今、それは本当にあなたが考えるほど苦痛ではありません。私たちは何百人もの非技術ユーザーでこれを行ってきました。私たちがしたことは、無料のGPG(Kronickの州にはGUIフロントエンドがある)とPGPソフトウェアの有料の2つの製品を選択することでした。クライアントが選択したソフトウェアの使用方法を説明するだけでなく、基本的なトラブルシューティングとソフトウェアの使用方法についてアカウントマネージャーをトレーニングするために、クライアントに送信できる非常に優れたドキュメントをいくつか作成しました。
これにより、クライアントが直面する問題の95%がITキューの外に残りました。残りの5%については、ITリソースを利用して質問に回答したり、最悪の場合は電話でクライアントを支援しました。
別の方法として、組み込みのAES暗号化をパスフレーズで使用できるように、winzipのライセンスもいくつか購入しました。市販のPGPソフトウェアには、パスフレーズによってのみ開かれる暗号化ファイルを作成する機能もあります。正直なところ、PGPの使用は非常にうまくいきましたが、私はこれらのタイプのファイルを年に2、3回しか作成しないと思います。
SSLで暗号化されたデータをウェブサイトでチェックし、データを印刷するボタンを彼らの側に置く方が簡単ではないでしょうか?そうすれば、何も送信せず、データの配布を制御できます。
電子メールを使用するものはすべて、ユーザーにとって難しすぎる可能性があります。キーの生成やキーリングのダウンロードなど、ユーザーが面倒で混乱を招くと感じるものが含まれます。ユーザーが欲求不満で諦めない限り、サポートコストは急上昇します。
転送中(SMTP/TLS)、またはストレージ/エンドポイント(PGPなど)でも暗号化する必要がありますか?
同様の法律を使用して、私は通常、プライベート/保護された情報を頻繁に送受信する2つ以上の組織間でPKI/SMTP/TLSを設定しました。該当する場合はサイト間VPNトンネルを介してメールをルーティングするか、SMTP/TLSを使用してExchangeで転送中のメールを暗号化するために、問題のドメインに一致する各組織でスマートホストをセットアップするだけです。
Exchange Server 2007SP1でのS/MIMEおよびOWAを使用したセキュアメッセージング メッセージを暗号化する場合を確認する必要があります。このソリューションでは、ユーザーが暗号化ボタンを選択する必要があるため、追加の手順も必要です(ユーザー全員が間違いを犯したり、必要な電子メールを暗号化したりしないことを何らかの理由で想定する必要があるため、おそらく合法ではありません)。行う必要があるのは、マサチューセッツPIIを送信する宛先がTLSを使用していることを確認することです(CMR 17.04に従ってMass.PIIを送信する可能性のあるすべての人を精査する必要があるため、その情報が必要です)。また、正規表現を使用してMassPIIを検索するトランスポートルールを作成する必要もあります。マサチューセッツPIIは、居住者の姓名を組み合わせたものとして定義されています。運転免許証番号、クレジットカード番号、または社会保障番号。別のメールボックスでフォローアップするためにこれらのメッセージをBCCするか、単にカウントを維持することをお勧めします。
トピックから外れているが、ゲルマイン...
これを読んで、MAに住んでいないのは幸運だと思っている人には注意してください、サプライズ!マサチューセッツ州の居住者の個人情報を保存する場合、マサチューセッツ州に事業所があるかどうかに関係なく、201 CMR17.00に規定されている罰則の対象となります。これは、「インシデント」ごとに最大5万ドルで、100ドルのレコードが失われる可能性があります。マサチューセッツ州一般法93Hは、「違反」ごとに5,000ドルの罰金が科せられると述べています。それは正確にはどういう意味ですか?私は誰もがそれを知っているとは思いませんし、誰かがそれに当たるまで知りません。
これは簡単なトピックではないことに注意することが重要です。ここに、彼とその回答に関する私とZypherの間の議論の同意があります。
私:あらゆる種類のエンドユーザーオプションを使用すると、責任を問われる可能性があります。PCIとは異なり、法律では、合理的な問題(joeユーザーがテクノロジーを使用していないなど)に対応する必要があります。
Zypher:ユーザーがキーを提供しない場合にpgpを使用すると、キーを送信しません。基本的に、彼らはそれを使用することを余儀なくされます-このユースケースでは-そうでなければ、A)データを取得しないか、B)データを読み取ることができません。
私:データを送信するすべてのユーザーがすべてのメールを確実に暗号化できるようにするにはどうすればよいですか? SMIMEソリューションと同じように、メールを暗号化することを選択する必要があります。強制することはできません。または、何か不足していますか?
Zypher:非常に簡単です。暗号化せずに暗号化する必要のある情報を含む電子メールを送信すると、正当な理由で解雇されます(これは失業がないことを意味します)。すべてが技術的な解決策である必要はありません。質問から、これはあまり頻繁に行われないので、より複雑なソリューションはおそらくコスト/利益の価値がありません。彼らが毎日これを一日中行う必要がある場合、私は電子メールをまったく使用せず、SSLを介してオンラインフォームに移行することを提唱します。
私:IANAL-しかし、私はそれらを聞いて立ち往生している、法律はそれが技術的な解決策でなければならないことを効果的に述べている-「しかし私は方針を持っていた」はあなたが軽減することになっているそれらの「合理的に予測可能な」問題の1つであることの事実上の証拠である軽減されませんでした。違反者を懲戒することもすでに法律の一部です。この議論を見てください informationweek.com/blog/main/archives/2009/02/…
Zypher:実際に17.03.2.b(ここ: mass.gov/Eoca/docs/idtheft/201CMR1700reg.pdf )を読んだ場合、私はポリシーを持っており、それについて人々を訓練しました。懲戒処分は実際には完全に防御可能です。実際、技術的な解決策についての唯一の言及は、解雇された従業員が記録にアクセスするのを防ぐことです。 IAANAL(私も弁護士ではありません)。
私:-1、2、3は、決定的な解決策ではなく、含まれることが予想されるものであり、2bは、適用される具体的な表現です(私は不正行為をして弁護士に尋ねました)。あなたが「私はそれを守ることができる」と言わなければならないなら、裁判所はおそらくあなたを押しつぶすでしょう。コンプライアンスの問題については、規制を遵守していることを証明する必要があります。登録者は具体的に「予測可能」と言っています。あなたが法廷に立ち、「誰かが解雇されたポリシーに違反した場合」と発言した場合、検察は単に「このポリシーに違反する方法を予見し、削除するための合理的な措置を講じなかったことを認めます。問題?"
ザイファー:ごまかしてくれて気にしないで。さて、私たちも合理的に定義する必要があります。私の会社(大規模な多国籍企業、10万人以上の従業員)は、ママやポップショップと同じではありません。しかし、同じことを言えば、サイトのQ&Aの義務から遠く離れすぎていると思います...この議論がいくつかの良い洞察を提供したので、残念です。
私:それは「合理的に予見可能」であり、「合理的に安全」ではなく、実装するのも合理的です。法的には、個人の名前にrot13を使用するだけで、暗号化の形式である標準的な理由に準拠することはできません。このディスカッションは役に立ちますので、失われないように回答を編集して追加します。
GPGには、電子メールクライアント(主にOutlookとeudora)用のウィンドウとプラグイン用のユーティリティがあります: http://openpgp.vie-privee.org/gnupg-win.htm 右クリックして「暗号化」するだけで済み、CLIは不要なので、私はあなたのニーズを満たします。
Djigzo電子メール暗号化ゲートウェイを試すことができます(免責事項:私はDjigzoの作者です)。 Djigzo Email Encryption Gatewayは、ゲートウェイレベルで送受信メールを暗号化および復号化する、オープンソース標準に基づくオープンソースの集中管理メールサーバー(MTA)です。 Djigzo Email Encryption Gatewayは現在、S/MIMEとPDF暗号化されたメールの2つの暗号化標準をサポートしています。S/ MIMEは、認証、メッセージの整合性、否認防止(X.509証明書を使用)およびメッセージに対する保護を提供します。傍受。S/ MIMEは暗号化と署名に公開鍵暗号化(PKI)を使用します。PDF暗号化はS/MIME暗号化の軽量な代替手段として使用できます。PDF =暗号化されたドキュメントを復号化して読み取ることができますPDFドキュメント。PDFドキュメントには、暗号化されたPDF内に埋め込まれた添付ファイルを含めることもできます。PDFは受信者ごとに手動で設定するか、パスワードをランダムに生成してSMSテキストメッセージを介して受信者に送信できます。
Djigzo Email Encryption Gatewayには、内部および外部ユーザーにX.509証明書を発行するために使用できるCAが組み込まれています。外部ユーザーは、Outlook、Outlook Express、Lotus Notes、Thunderbird、GmailなどのS/MIME対応の電子メールクライアントで証明書を使用できます。
Djigzo Email Encryption Gatewayは一般的なSMTP電子メールサーバーとして機能するため、Microsoft ExchangeやLotus Notesなどの既存の電子メールインフラストラクチャと互換性があります。 Djigzoは、Ubuntu Linux、Debian、Red Hat、およびCentOS用に提供されているパッケージのいずれかを使用してインストールできます。 VMware ESXおよびWorkstation用の「仮想アプライアンス」をすぐに実行できます。
オープンソースなので自由に使えます。ソースとバイナリパッケージは、当社のWebサイト(www.djigzo.com)からダウンロードできます。
実際、法律では、必ずしもメッセージではなく、機密データを暗号化するように定められています。データがファイルである場合(そして通常はそうです)、はるかに簡単な方法はファイルを暗号化することです。
あなたの目標が非常に使いやすく、さまざまな顧客ベースで機能するソリューションを展開すると仮定します。
米国空軍研究所の暗号化Wizard( http://spi.dod.mil/ewizard.htm )は無料で、国防総省認定のシンプルなファイル暗号化ツールです。パスワード、スマートカード、および証明書を処理します。そのセキュア削除により、機密ファイルを公共のコンピューターから消去できます。
Javaを使用する以外に、どちらのコンピューターにもインストールまたは構成するものはありません。jarファイルを実行するだけです。暗号化Wizard Mac、Windows、Linux、Sun、およびOracleJavaを実行するその他のOSで実行されます。
EWを使用すると、ゼロから1分以内にファイルを暗号化して送信でき、レシピエントは同じ時間で復号化できます(証明書を使用するか、パスワードを使用して相手に電話をかけると仮定します)。
より優れた大規模な企業内ソリューションがありますが、いつでもどこでもほとんどすべての人に役立つ、これ以上優れたソリューションはありません。