程序员合规性指南

软件开发生命周期规划阶段的一个重要部分是了解哪些法规将适用于您的软件。如果你是一个独立的程序员，希望建立自己的创业公司，你需要了解这些规定，这样你就可以避免高额罚款，刑事诉讼，或潜在的暂停你的业务。

如果您在一家公司工作，这将帮助您构建符合设计的应用程序。这样，您和您的主管将节省大量的时间，因为您不必回去对应用程序的第一个版本做那么多更改。

记住，您是作为业务的一部分工作的，因此了解您编写的软件的业务需求将有助于使您成为更有价值的程序员。根据您所在的世界位置、客户所在的位置以及应用程序将用于的行业，这将影响控制应用程序必须如何处理消费者信息的法规。

如果你不知道这些法律或你不遵守，你和你的公司可能会面临罚款，潜在的牢狱之灾，你可能会被迫停业，直到你得到遵守。

现在，在应用程序生命周期的开始阶段对处理信息的方式进行更改相对容易，但是如果您有成百上千的用户，并且您必须回去解决这些问题，那么这可能要困难得多。

在这篇文章中，我为您提供了一个清单，列出了程序员在构建应用程序时需要注意的一些主要行业规则。这并不是一份详尽的清单，但这些法规由于具有国际管辖权而影响到大量企业。

此外，我还列出了影响大量北美（美国和加拿大）和欧洲企业的法规。如果你想更多地了解对你有影响的业务，可以考虑按你的位置、行业和预期客户的位置进行搜索，这样你就可以找到所有适用的法规。您可以单击任何法规的名称以获得该法规的详细分类。

支付卡行业数据安全标准（PCI-DSS）

这项规定影响到全球所有接受或处理信用卡或接受、传输或存储持卡人信息的公司。一旦数据泄露，所有这些公司都要直接向卡公司和处理交易中涉及资金的银行负责。

这意味着您的合规要求的具体内容以及您收到的任何罚款/处罚将受到您使用的卡公司的影响。你可以在这里看到一家零售商通过PCI-DSS从Visa收到1320万美元的罚款。持卡人信息包括持卡人姓名、到期日期、磁条数据、主帐号（PAN）和卡PIN。

遵守PCI-DSS要求合规性证明、每季度网络扫描和经批准的PCI评估。如果你是一个独立的程序员或在一家小公司工作，你需要进行内部和外部漏洞扫描，这将测试你的应用程序和它所在的网络的安全级别。

如果扫描发现任何严重的安全漏洞，您将需要修复它们才能通过这部分符合性测试。如果你是一名程序员，你的职责就是确保你的应用程序能够通过漏洞扫描，但是如果你是一名独立的程序员，你将被要求完成一份合规性证明。

这意味着，除了证明符合PCI-DSS之外，如果您每年有超过600万笔交易，您还需要进行外部审计。如果你没有那么多，你可以填写一份自我评估问卷。

健康保险便携性和责任法案（HIPAA）

国会于1996年通过了HIPAA。HIPAA的隐私方面由美国卫生和公众服务部（HHS）办公室监督和执行。HIPAA影响收集或处理来自美国公民的任何受保护健康信息（PHI）的所有公司，以及这些公司的业务伙伴

PHI是由受保实体或业务伙伴以任何形式或通过任何媒介持有或传输的任何可单独识别的健康信息。未能满足HIPAA合规性可能导致罚款100至50000美元之间的每违反或每记录。

最高的经济处罚是每年150万美元，但你也可能面临监禁，这取决于违规行为的严重程度。总部位于田纳西州的管理公司CHSPSC因违反包括600多万条记录在内的5项违规行为而被处以HIPAA历史上最高的230万美元罚款。

一些可算作PHI的项目包括患者姓名、电话号码、地理位置、社会保障号码和生物识别码。如果您的应用程序将在医疗保健行业中使用，HIPAA将是一个需要了解的重要法规。

HIPAA合规性有三个组成部分：保护消费者权利的隐私规则、规定公司必须如何保护消费者信息的安全规则，以及规定违规后果的实施规则。为了遵守此法规，如果您要将用户的信息用于治疗、支付或医疗保健操作以外的任何其他用途，则必须征得用户的同意。

此外，HIPAA安全规则要求您具有某些适当的安全功能，例如唯一的用户标识、加密和解密以及正确的用户身份验证。您可以在这里找到完整的需求列表。

个人信息保护和电子文件法（PIPEDA）

这一监管要求适用于在加拿大收集个人信息的私营部门组织。其目的是确保在商业经营过程中对个人信息的保护。

例如，它要求公司以清晰易懂的方式向用户传达他们收集信息的目的，以便人们知道他们注册的是什么。不遵守PIPEDA可能导致高达100000美元的罚款，在严重的情况下，如果您试图隐瞒您的违规行为或强迫员工违规，可能会被监禁。

PIPEDA由加拿大隐私专员办公室监管。合规性要求您遵守以下10项公平原则，这些原则管理个人信息的收集、使用和披露，并提供对个人信息的访问。

• 责任-您必须承认遵守这些原则的责任，并指定一个人对此负责。

• 确定目的-您从用户处收集的每一条信息都必须有明确的目的。

• 同意-您必须获得用户的同意，才能为其收集信息一个特定的目的。如果您收集信息并希望以后将其用于新的用途，则必须获得新的同意。

• 限制收集-信息的收集必须限于您公司确定的用途。

• 限制使用、披露，保留-个人信息只能出于收集目的而披露，并且只能保留为实现该目的所需的时间。

• 准确性-个人信息必须尽可能保持最新。允许用户根据需要更新信息。

• 安全措施-个人信息应受到安全措施的保护，与信息的敏感程度相关。

• 开放性-您必须使公众能够轻松获得有关保护个人信息的政策和做法的详细信息。

• 个人访问-个人应能够访问其完整的数据配置文件（您在其上收集的所有信息），并能够质疑这些信息的准确性。这应是免费的，并应在收到请求后30天内完成。

• 质疑合规性-个人应能够质疑您的企业是否遵守这些原则中的任何一项，并由直接负责贵公司合规性的人员解决（规则1）。

通用数据保护条例（GDPR）

GDPR是由欧盟（EU）制定的隐私法。GDPR是一个关于处理消费者信息的法规清单。

它影响到所有总部设在欧盟的公司或从任何欧盟居民那里收集信息的公司，无论该企业在哪个国家运营。它的重点是让公司负责保护客户的信息，并让客户对其私人信息有更大程度的控制。

GDPR由信息专员办公室（ICO）监管，ICO是一个独立的英国机构，旨在维护信息权利。不遵守这些要求可能导致高达2000万欧元或违规公司年收入4%的罚款，以较大者为准。

如果罪行较轻，罚款将减半，即1000万欧元或高达年收入的2%。程序员要遵从GDPR，应该注意六个要点。

• 您必须获得收集信息的许可，并允许人们随时撤回该许可。

• 您必须允许消费者免费请求其完整的数据配置文件（您在他们身上拥有的所有信息），并且必须允许他们更新该信息。

• 用户必须能够获得来自您的信息并将其用于其他地方。

• 及时的违规通知：您有72小时的时间通知任何受影响的用户。

• 被遗忘的权利：用户有权要求删除您在他们身上拥有的任何信息。

• 设计隐私：您的应用程序必须具有内置于应用程序和任何与之相关的系统。

通过了解这些规则来避免麻烦

无论您是希望创建公司的独立程序员，还是为公司开发软件的受薪员工，对法规要求有很好的了解都将使您受益匪浅。

监管要求在每种情况下都是不同的，基于位置、消费者的位置和给定的行业。常见的要求包括具有内置的安全功能、收集用户同意以及尽可能匿名的个人信息。

如果不遵守这些规定，可能会导致在应用程序启动后花费大量时间对其进行更改，支付高额罚款，在最坏的情况下，还可能导致业务暂停和监禁。

如果你花时间熟悉那些影响你作为一名程序员的法规要求，你将大大增加你对任何一家公司的价值，你将为你的经理节省大量的时间和麻烦，他们也会因此喜欢你。