Логин и пароль от аккаунта — конфиденциальная информация, которую специалист не должен разглашать третьим лицам. Как юридически защитить эти данные? Поможет ли пресловутый NDA?
Но само по себе NDA не будет работать. Почему?
Привет! Я Наталья Новикова, юрист по договорам, автор книг в жанре фантастики и приключений.
Самая главная причина в том, что в компании не выстроен режим коммерческой тайны. А это целая система охраны информации.
Сначала в компании должно появиться Положение о коммерческой тайне, в котором будут обозначены:
полномочия руководителя в области обеспечения сохранности коммерческой тайны;
критерии и порядок отнесения сведений к коммерческой тайне;
порядок организации доступа к коммерческой тайне;
средства защиты коммерческой тайны;
обязанности сотрудников и иных лиц в области обеспечения защиты коммерческой тайны;
ответственность за нарушение коммерческой тайны;
перечень сведений, составляющих коммерческую тайну.
Затем такое Положение утверждается приказом руководителя.
С приказом ознакамливают под подпись каждого сотрудника, которому предоставляют доступ к конфиденциальной информации.
После того, как сотрудника или подрядчика ознакомили с Положением, об этом должна быть сделана запись в журнале учёта: кому, когда и к какой информации предоставили доступ.
Доступ к информации нужно фиксировать специальным актом, чтобы можно было доказать, что сотрудник получил именно эти данные.
Только в таком случае «Соглашение о коммерческой тайне» с SMM будет работать, и появится возможность реально защитить секретные данные — логин и пароль аккаунта в соцсети.
Вывод у меня такой: самая сложная часть в таких делах — доказать, что именно SMM-щик «слил» информацию о паролях. Но можно сделать то, что зависит от компании: ввести режим коммерческой тайны, фиксировать, кому и когда даётся доступ к информации, чтобы минимизировать риски.
Буду рада видеть в тг-канале «Истории под соусом». Пишу о том, как организовываю время, чтобы успевать читать, как нахожу творчество в «скучной» жизни.
Встречали компании, в которых полностью внедрен режим коммерческой тайны «по красоте»?
Комментарии (14)
blik13
17.05.2024 16:35Но само по себе NDA не будет работать. Почему?
...
Самая главная причина в том, что в компании не выстроен режим коммерческой тайны.
Если кто то решил именно слить явки/пароли, то можно бумажками обложиться хоть в три слоя. Смысла в этом никакого в плане предотвращения. Давным давно существует уголовный кодекс и система тюрем, но преступления никуда не исчезли.
IkaR49
17.05.2024 16:35Я так думаю автор вёл к тому, что юридически даже предъявитель тому, кто слил конфиденциальную информацию, ничего нельзя, если вы не оформили всё как следует. А если оформили - то уже можно и в суд пойти и компенсацию стрясти.
rsashka
17.05.2024 16:35Автор хоть и пишет на ИТ ресурсе, но кажется сам не понимает, что аутентификация пользователя не имеет никакого отношения к NDA. Тем более по описанному в статье примере.
Если SMM передал свой пароль, и на сайте опубликовали левый материал, то за это будет отвечать именно SMM, так как по формальным критериям это сделал именно он сам. Либо ему придется доказывать, что его взломали, пытали и прочее.
А если с помощью этого логина-пароля заходят 10 человек или с помощью логина SMM можно войти в корпоративную сеть для чтения коммерческой информации, то тут проблема не в пароле, а либо к ИТ отделу, либо это неправомерный доступ к компьютерной информации, но опять же NDA тут не причем.
novikovalegal Автор
17.05.2024 16:35Ни тот случай, ни другой. Речь об аккаунте компании в соцсети. SMM входит в аккаунт компании под логином и паролем, которые были установлены кем-то из сотрудников компании. А потом этот пароль передаёт кому-то, кому не должен передавать. Используя пароль, в аккаунте компании постят некую условную дичь, у компании определённый убыток.
rsashka
17.05.2024 16:35+1Используя пароль, в аккаунте компании постят некую условную дичь, у компании определённый убыток.
Это скорее ущерб деловой репутации, неправомерный доступ и т.д. но никак не относится ни к NDA, ни к коммерческой тайне. И юридически правильно это называется не
убыток, а упущенная выгода или недополученная прибыль.
pyrk2142
17.05.2024 16:35+1Вывод у меня такой: самая сложная часть в таких делах — доказать, что именно SMM-щик «слил» информацию о паролях. Но можно сделать то, что зависит от компании: ввести режим коммерческой тайны, фиксировать, кому и когда даётся доступ к информации, чтобы минимизировать риски.
Тут возникает вопрос, а какой в этом смысл в большинстве случаев? Если у сервиса один аккаунт, то тот, кто давал SMMшику доступ, может так же этот пароль передать кому-то ещё.
Если архитектурой системы не предусмотрены явно разные эксклюзивные аккаунты сотрудников без возможности для администратора получить к ним доступ, то на все вопросы сотрудник может отвечать «Не я, ничего не знаю»
rsashka
17.05.2024 16:35+3Коммерческая тайна — это информация, которую компания не разглашает, чтобы увеличить доходы, избежать неоправданных расходов, сохранить или улучшить своё положение на рынке либо получить любую другую коммерческую выгоду.
Логин и пароль - это способ аутентификации пользователя в компьютерной системе или на сайте.
Наталья, Вы точно уверены, что логин и пароль попадают под категорию "коммерческой тайны" и для его использования нужно расписываться в журнале ознакомления с коммерческой тайной компании?
novikovalegal Автор
17.05.2024 16:35Да. Нужно установить в отношении этих сведений режим коммерческой тайны.
Из определения ФЗ "О комм. тайне" информация, составляющая коммерческую тайну, обладает следующими признаками:
1. это любая информация, за исключением перечисленной в ст.5 закона.
2. в отношении нее установлен режим ком. тайны
она ценна, пока неизвестна третьим лицам и к ней нет доступа.
rsashka
17.05.2024 16:35Мда... Я же вам даже специально процитировал, что такое логин и пароль.
А вы в курсе, что при нормально настроенной политике безопасности в компании, пароль пользователя не знает даже системный администратор (это такой самый главный человек по компьютерам), да и пользователь может поменять пароль в любой момент? Другими словами, даже если бы использование логина и пароля для аутентификации пользователей требовался режим коммерческой тайны, то расписываться было бы не за что?
novikovalegal Автор
17.05.2024 16:35Я видела цитату, да. Но логин и пароль отвечают признакам, которые указаны в законе. И передача информации должна же фиксироваться документально, о том, кто получает доступ к аккаунту в соцсети.
select26
17.05.2024 16:35+1Поэтому, для критических ресурсов выдают one-time password. После смены которого никто, кроме установившего его, его извлечь из системы не может.
Я согласен с коллегами выше - вы не понимаете о чем пишете. Процедуры безопасности заменить бумагами нельзя. Только создать иллюзию или найти козла отпущения.novikovalegal Автор
17.05.2024 16:35+1Когда есть такое решение - прекрасно. Но как быть с аккаунтлм в соц. сети? Тоже изменяют? Я вижу это с юридической стороны, когда такую инфу передают по актам, чем фиксируют факт передачи информации в документе. Да, чтобы найти козла отпущения, для этого и существует процедура.
veryboringman
17.05.2024 16:35+2Будет уголовка тому, кто воспользовался логином, а SMM пойдет как соучастник.
Это если нужно его будет наказать.
А так то - NDA тут вообще не причем.
Batalmv
Вот мне стало интересно, как бумажка защитит организацию, если
Вы хоть тонну бумажек напишите, толку с этого ноль :)
Также:
Чем больше бумажек, тем сложнее будет процедуры обновления/получения пароля. И в итоге, все будет просто работать медленнее, и все. Ну и формально у руководителя будет прикрыта 5ая точка, но если проихойдет "инцидент безопасности", то бумажками он все равно будет разве что подтираться
Компроментация пароля может произойти кучей способов, в том числе банально украден. Что дальше?
Намного проще, если ресурс поддерживает, закрыть аутентификацию вторым фактором, чем пытаться "юридически" создать иллюзию безопасности
Ну и надо понимать, что это все давно изобретено уже давно и изюется всеми. Ну разве что мелкие конторки