軟件開發(fā)生命周期規(guī)劃階段的一個重要部分是了解哪些法規(guī)將適用于您的軟件。如果你是一個獨立的程序員，希望建立自己的創(chuàng)業(yè)公司，你需要了解這些規(guī)定，這樣你就可以避免高額罰款，刑事訴訟，或潛在的暫停你的業(yè)務。

如果您在一家公司工作，這將幫助您構建符合設計的應用程序。這樣，您和您的主管將節(jié)省大量的時間，因為您不必回去對應用程序的第一個版本做那么多更改。

記住，您是作為業(yè)務的一部分工作的，因此了解您編寫的軟件的業(yè)務需求將有助于使您成為更有價值的程序員。根據(jù)您所在的世界位置、客戶所在的位置以及應用程序將用于的行業(yè)，這將影響控制應用程序必須如何處理消費者信息的法規(guī)。

如果你不知道這些法律或你不遵守，你和你的公司可能會面臨罰款，潛在的牢獄之災，你可能會被迫停業(yè)，直到你得到遵守。

現(xiàn)在，在應用程序生命周期的開始階段對處理信息的方式進行更改相對容易，但是如果您有成百上千的用戶，并且您必須回去解決這些問題，那么這可能要困難得多。

在這篇文章中，我為您提供了一個清單，列出了程序員在構建應用程序時需要注意的一些主要行業(yè)規(guī)則。這并不是一份詳盡的清單，但這些法規(guī)由于具有國際管轄權而影響到大量企業(yè)。

此外，我還列出了影響大量北美（美國和加拿大）和歐洲企業(yè)的法規(guī)。如果你想更多地了解對你有影響的業(yè)務，可以考慮按你的位置、行業(yè)和預期客戶的位置進行搜索，這樣你就可以找到所有適用的法規(guī)。您可以單擊任何法規(guī)的名稱以獲得該法規(guī)的詳細分類。

支付卡行業(yè)數(shù)據(jù)安全標準（PCI-DSS）

這項規(guī)定影響到全球所有接受或處理信用卡或接受、傳輸或存儲持卡人信息的公司。一旦數(shù)據(jù)泄露，所有這些公司都要直接向卡公司和處理交易中涉及資金的銀行負責。

這意味著您的合規(guī)要求的具體內(nèi)容以及您收到的任何罰款/處罰將受到您使用的卡公司的影響。你可以在這里看到一家零售商通過PCI-DSS從Visa收到1320萬美元的罰款。持卡人信息包括持卡人姓名、到期日期、磁條數(shù)據(jù)、主帳號（PAN）和卡PIN。

遵守PCI-DSS要求合規(guī)性證明、每季度網(wǎng)絡掃描和經(jīng)批準的PCI評估。如果你是一個獨立的程序員或在一家小公司工作，你需要進行內(nèi)部和外部漏洞掃描，這將測試你的應用程序和它所在的網(wǎng)絡的安全級別。

如果掃描發(fā)現(xiàn)任何嚴重的安全漏洞，您將需要修復它們才能通過這部分符合性測試。如果你是一名程序員，你的職責就是確保你的應用程序能夠通過漏洞掃描，但是如果你是一名獨立的程序員，你將被要求完成一份合規(guī)性證明。

這意味著，除了證明符合PCI-DSS之外，如果您每年有超過600萬筆交易，您還需要進行外部審計。如果你沒有那么多，你可以填寫一份自我評估問卷。

健康保險便攜性和責任法案（HIPAA）

國會于1996年通過了HIPAA。HIPAA的隱私方面由美國衛(wèi)生和公眾服務部（HHS）辦公室監(jiān)督和執(zhí)行。HIPAA影響收集或處理來自美國公民的任何受保護健康信息（PHI）的所有公司，以及這些公司的業(yè)務伙伴

PHI是由受保實體或業(yè)務伙伴以任何形式或通過任何媒介持有或傳輸?shù)娜魏慰蓡为氉R別的健康信息。未能滿足HIPAA合規(guī)性可能導致罰款100至50000美元之間的每違反或每記錄。

最高的經(jīng)濟處罰是每年150萬美元，但你也可能面臨監(jiān)禁，這取決于違規(guī)行為的嚴重程度。總部位于田納西州的管理公司CHSPSC因違反包括600多萬條記錄在內(nèi)的5項違規(guī)行為而被處以HIPAA歷史上最高的230萬美元罰款。

一些可算作PHI的項目包括患者姓名、電話號碼、地理位置、社會保障號碼和生物識別碼。如果您的應用程序將在醫(yī)療保健行業(yè)中使用，HIPAA將是一個需要了解的重要法規(guī)。

HIPAA合規(guī)性有三個組成部分：保護消費者權利的隱私規(guī)則、規(guī)定公司必須如何保護消費者信息的安全規(guī)則，以及規(guī)定違規(guī)后果的實施規(guī)則。為了遵守此法規(guī)，如果您要將用戶的信息用于治療、支付或醫(yī)療保健操作以外的任何其他用途，則必須征得用戶的同意。

此外，HIPAA安全規(guī)則要求您具有某些適當?shù)陌踩δ?，例如唯一的用戶標識、加密和解密以及正確的用戶身份驗證。您可以在這里找到完整的需求列表。

個人信息保護和電子文件法（PIPEDA）

這一監(jiān)管要求適用于在加拿大收集個人信息的私營部門組織。其目的是確保在商業(yè)經(jīng)營過程中對個人信息的保護。

例如，它要求公司以清晰易懂的方式向用戶傳達他們收集信息的目的，以便人們知道他們注冊的是什么。不遵守PIPEDA可能導致高達100000美元的罰款，在嚴重的情況下，如果您試圖隱瞞您的違規(guī)行為或強迫員工違規(guī)，可能會被監(jiān)禁。

PIPEDA由加拿大隱私專員辦公室監(jiān)管。合規(guī)性要求您遵守以下10項公平原則，這些原則管理個人信息的收集、使用和披露，并提供對個人信息的訪問。

• 責任-您必須承認遵守這些原則的責任，并指定一個人對此負責。

• 確定目的-您從用戶處收集的每一條信息都必須有明確的目的。

• 同意-您必須獲得用戶的同意，才能為其收集信息一個特定的目的。如果您收集信息并希望以后將其用于新的用途，則必須獲得新的同意。

• 限制收集-信息的收集必須限于您公司確定的用途。

• 限制使用、披露，保留-個人信息只能出于收集目的而披露，并且只能保留為實現(xiàn)該目的所需的時間。

• 準確性-個人信息必須盡可能保持最新。允許用戶根據(jù)需要更新信息。

• 安全措施-個人信息應受到安全措施的保護，與信息的敏感程度相關。

• 開放性-您必須使公眾能夠輕松獲得有關保護個人信息的政策和做法的詳細信息。

• 個人訪問-個人應能夠訪問其完整的數(shù)據(jù)配置文件（您在其上收集的所有信息），并能夠質疑這些信息的準確性。這應是免費的，并應在收到請求后30天內(nèi)完成。

• 質疑合規(guī)性-個人應能夠質疑您的企業(yè)是否遵守這些原則中的任何一項，并由直接負責貴公司合規(guī)性的人員解決（規(guī)則1）。

通用數(shù)據(jù)保護條例（GDPR）

GDPR是由歐盟（EU）制定的隱私法。GDPR是一個關于處理消費者信息的法規(guī)清單。

它影響到所有總部設在歐盟的公司或從任何歐盟居民那里收集信息的公司，無論該企業(yè)在哪個國家運營。它的重點是讓公司負責保護客戶的信息，并讓客戶對其私人信息有更大程度的控制。

GDPR由信息專員辦公室（ICO）監(jiān)管，ICO是一個獨立的英國機構，旨在維護信息權利。不遵守這些要求可能導致高達2000萬歐元或違規(guī)公司年收入4%的罰款，以較大者為準。

如果罪行較輕，罰款將減半，即1000萬歐元或高達年收入的2%。程序員要遵從GDPR，應該注意六個要點。

• 您必須獲得收集信息的許可，并允許人們隨時撤回該許可。

• 您必須允許消費者免費請求其完整的數(shù)據(jù)配置文件（您在他們身上擁有的所有信息），并且必須允許他們更新該信息。

• 用戶必須能夠獲得來自您的信息并將其用于其他地方。

• 及時的違規(guī)通知：您有72小時的時間通知任何受影響的用戶。

• 被遺忘的權利：用戶有權要求刪除您在他們身上擁有的任何信息。

• 設計隱私：您的應用程序必須具有內(nèi)置于應用程序和任何與之相關的系統(tǒng)。

通過了解這些規(guī)則來避免麻煩

無論您是希望創(chuàng)建公司的獨立程序員，還是為公司開發(fā)軟件的受薪員工，對法規(guī)要求有很好的了解都將使您受益匪淺。

監(jiān)管要求在每種情況下都是不同的，基于位置、消費者的位置和給定的行業(yè)。常見的要求包括具有內(nèi)置的安全功能、收集用戶同意以及盡可能匿名的個人信息。

如果不遵守這些規(guī)定，可能會導致在應用程序啟動后花費大量時間對其進行更改，支付高額罰款，在最壞的情況下，還可能導致業(yè)務暫停和監(jiān)禁。

如果你花時間熟悉那些影響你作為一名程序員的法規(guī)要求，你將大大增加你對任何一家公司的價值，你將為你的經(jīng)理節(jié)省大量的時間和麻煩，他們也會因此喜歡你。