Pregunta:
¿Puede una universidad exigirme que utilice autenticación de hardware para pagar facturas?
user15934
2018-03-08 00:38:58 UTC
view on stackexchange narkive permalink

Soy un estudiante de posgrado en una universidad de California. La universidad está planeando un cambio de política que requerirá que use un "token de hardware" (un pequeño dispositivo que genera contraseñas de un solo uso) para iniciar sesión en cualquier recurso en línea de la universidad, incluidos los servicios que me permiten ver y pagar facturas. Encuentro esto bastante preocupante, porque a menudo me encuentro en la necesidad de acceder a los recursos de la universidad en momentos impredecibles y no puedo garantizar que tendré el token de hardware disponible cuando lo necesite. ¿Tengo motivos legales para presentar una queja?

Me parece que si fuera legal exigir a las personas que usen tokens de hardware para acceder y pagar facturas, todos lo harían (por ejemplo, los bancos). Pero no es razonable esperar que las personas tengan tokens de hardware para cada servicio que utilicen.

Para ser claros, no propongo demandar a mi universidad, solo para quejarme y alentarlos a brindar alternativas al token de hardware.

Los tokens de hardware para generar contraseñas de un solo uso han existido durante más de 20 años. (He estado usando uno para conectarme a las VPN en el trabajo desde 2000.) "* Me parece muy preocupante, porque no puedo garantizar que tendré el token de hardware disponible cuando lo necesite. *" ¿Está profundamente preocupado porque ¿No puede garantizar que siempre tendrá las ** llaves del coche ** cuando necesite conducir el coche? ¿O las llaves de su apartamento cuando necesite volver a casa?
Es probable que su universidad requiera que use algún tipo de token (carnet de estudiante, llaves, etc.) para acceder a ciertos edificios, laboratorios, oficinas, etc. Eso es igualmente preocupante, porque no puede garantizar que lo tendrá con cuando lo necesite, pero la universidad espera que lo haga. ¿Por qué no se aplica lo mismo aquí?
@RonJohn Las facturas pueden vencerse cuando estoy fuera de la universidad (por ejemplo, durante las vacaciones de invierno). He usado tokens de hardware antes para acceder a redes internas en el trabajo, y está bien cuando * solo * los necesito para trabajar. Pero en el caso presente, tendría que llevarme la ficha a todas partes.
"* Necesito llevar la ficha conmigo a todas partes. *" ¿Con qué frecuencia tiene que pagar las facturas? (Tal vez nuestras definiciones de "en todas partes" sean diferentes.) "* Las facturas pueden vencerse cuando estoy fuera de la universidad (por ejemplo, durante las vacaciones de invierno). *" Por lo tanto, llévate la ficha a casa. Teléfono, carnet de conducir, llaves del coche, llave del apartamento ... tienes que llevarlos contigo ** a todas partes **. El token (¿RSA?): No tanto. Y si realmente necesitas dar dinero inesperadamente a la Universidad en un abrir y cerrar de ojos ... bueno, llévalo contigo.
Debería estar feliz de que su universidad esté aumentando su perfil de seguridad, ya que usted es un beneficiario directo. Con demasiada frecuencia trato con la vista opuesta a través del telescopio donde las personas son víctimas debido a estándares de seguridad laxos (por ejemplo, Equifax con más de 143 millones de víctimas). También considere que este régimen de fichas es de rigor con muchas instituciones bancarias europeas. El menor inconveniente ya no es percibido por sus clientes debido a la reconocida seguridad mejorada de sus activos e información privada.
Algunos tokens de hardware se pueden reemplazar con una aplicación de teléfono (por ejemplo, Google Authenticator o similar). Podría valer la pena preguntar si esta opción está disponible.
@SteveMelnikoff pero luego OP tiene que ** garantizar ** que se lleva su teléfono con ella ** a todas partes ** ¡Eso es bastante irrazonable!
@GlennW9IQ: "Considere también que este régimen de tokens es de rigor con muchas instituciones bancarias europeas" - sí, cuando quiera conectarse a su banco (o, más a menudo, cuando quiera realizar una operación sensible (una transferencia bancaria, por ejemplo). En el caso de una institución, puede tener un sistema de pago en línea, pero la operación del token la iniciará el banco, si lo hay. La pregunta se hace como si la institución quisiera evitar que alguien pague en mi nombre con su dinero. . Este comentario se refiere estrictamente al aspecto de pago, proteger el acceso general en línea es algo bueno en sí mismo.
@WoJ El OP dice: "Me parece que si fuera legal exigir que las personas usen tokens de hardware para acceder y pagar facturas, todos lo harían (por ejemplo, los bancos)". Claramente, mi declaración es una respuesta.
@GlennW9IQ: ah lo siento! Me perdí la referencia bancaria. Entonces sí, por supuesto que los bancos requieren esto, por su propio bien. También están bajo la presión del estándar PCI-DSS que impulsó directamente cosas como VISA 3D Secure
No puedo garantizar que tendré mi billetera, teléfono inteligente o talonario de cheques disponibles en todo momento de todos los días. ¿Es legal que mi universidad exija que pague mis facturas de alguna manera en algún momento? No puedo garantizar que recordaré mi contraseña. ¿Es legal que mi universidad requiera una contraseña para iniciar sesión en sus sistemas?
La autenticación de dos factores basada en hardware tiene un costo asociado. Un costo por el token y un costo por implementar la parte de autenticación del software. El costo es lo que impide que los bancos y otras instituciones grandes implementen, no sea legal o no. Si fuera legal y gratuito, su banco lo haría para detener el fraude. Si cuesta más que el fraude que previene, entonces no tiene sentido financiero implementarlo.
@RonJohn No llevo un teléfono, y consideraría que el requisito de llevar un teléfono continuamente es igualmente irrazonable.
¿Deben pagarse las facturas de UC inmediatamente? La mayoría de las facturas que tengo se pueden pagar en cualquier momento durante un par de días. ¿No puedes dejar tu ficha en tu computadora para poder usarla cuando pagues las facturas? Muy confundido por el problema
Posiblemente esté confundiendo dos cosas por error. Accediendo a su sistema y pagando su factura. ¿Pagar en línea es la única forma de pagar su factura? ¿Hay una oficina en el campus a la que pueda entrar y pagar su factura con cheque / tarjeta de crédito / efectivo? Si ese es el caso, se le pedirá que utilice un token _para el privilegio_ de pagar en línea y no ir a la oficina. Esas son dos cosas diferentes.
1. La universidad está obligada a aceptar pagos en efectivo por cualquier deuda pendiente. 2. La universidad no está obligada a aceptar dinero en efectivo para pagos que no sean deudas. 3. La universidad no está obligada a ofrecerle ningún servicio para que pueda solicitar el número 1 en lugar del número 2. Tiene todo el derecho a rechazar una ficha, pagar sus facturas pendientes en efectivo y dejar de asistir.
Lo siento, solo para ser claro ... usted, un estudiante, ¿está considerando demandar a su universidad por el inconveniente de introducir la autenticación de dos factores en su sistema de facturación? ¿Es eso correcto?
Es difícil ver cómo esto es materialmente diferente de requerir que usted tenga una llave para acceder a un edificio, salón de clases o casillero que podría ser necesario como estudiante, o requerir una tarjeta de acceso para el acceso físico a estos. Simplemente haga lo mismo que está haciendo actualmente con sus llaves y / o licencia de conducir: simplemente adjúntelo a su llavero o guárdelo en su billetera.
-1 esto parece más una pequeña queja por un inconveniente menor que una pregunta seria
Tres respuestas:
user6726
2018-03-08 01:14:21 UTC
view on stackexchange narkive permalink

Hay pocas posibilidades de entablar una demanda por esta medida. La universidad tiene un interés legítimo en verificar que el acceso a los sistemas en línea solo se otorgue a usuarios autorizados, y las contraseñas simples se consideran insuficientes. (No pretendo discutir sobre la tecnología de contraseñas, solo estoy haciendo la observación de que la autenticación de dos factores es mejor que la autenticación de un solo factor). Aún no he encontrado este requisito en los bancos de EE. UU., Pero lo he encontrado en Noruega, donde una transacción en línea siempre requiere una contraseña y un código generado por un dispositivo del tipo al que aludiste.

Supongo que su universidad exige que todos los pagos se realicen en línea, lo que significa que debe tener acceso a una computadora para pagar una factura. No es razonable esperar que las personas tengan una computadora que esté conectada a Internet en todo momento, pero es razonable (y a menudo lo hacen las universidades) esperar que las personas puedan conectarse algunas del tiempo. Por lo tanto, no es razonable esperar que las personas tengan su dispositivo de autenticación disponible en todo momento, pero estará disponible algunas del tiempo y, por lo tanto, no existe un impedimento insuperable para pagar la factura ( o acceder a la biblioteca, o leer el correo electrónico ...).

Sin embargo, estos gadgets pueden entrar en conflicto con la ADA, pero presumiblemente lo saben y pueden hacer modificaciones.

Sinceramente, dudo que la universidad exija que todos los pagos se realicen en línea. Es casi seguro que haya una oficina en la que se pueda pagar la cuenta, por ejemplo, un cheque. De lo contrario, una gran respuesta +1.
Prácticamente todos los bancos del Reino Unido requieren algún tipo de autenticación de dos factores, aunque el método exacto varía de un banco a otro.
Tenemos un sistema similar en Dinamarca para los sitios que también requieren identificación: todos los sitios web del gobierno, todos los sitios web de los bancos y muchos otros sitios web de servicio público utilizan un sistema de inicio de sesión que requiere que usted tenga una lista de códigos únicos del tamaño de una tarjeta de crédito ( con la opción de utilizar un generador de código como se describe en OP).
Harper - Reinstate Monica
2018-03-09 09:36:04 UTC
view on stackexchange narkive permalink

Estoy bastante seguro de que cualquier juez les dará un amplio margen de maniobra al negocio para que ellos mismos determinen la manera en la que protegen sus sistemas electrónicos.

¿Dónde El argumento se desintegra (o se fusiona) es lo que puede estar engañándote: Hay más de una forma de pagar una factura . O debería haberlo.

El sistema judicial es una entidad que se ejecuta en papel . Y se ejecuta en un servicio físico. La corte no va a tener ninguna simpatía por el argumento (de la universidad o de un millennial) de que "en línea es la única forma de pagar una factura". Eso se verá como una preferencia inactiva y ciertamente no se puede hacer cumplir la corte.

Menciono esto porque esta es la perspectiva desde la cual la Corte verá su problema :

Durante más de un siglo, la forma normal de realizar la facturación es que una empresa envíe por correo una factura en papel (normalmente una vez al mes en fechas específicas) y conceda entre 20 y 30 días para que el destinatario lo pague por correo postal. El tiempo es para el tránsito postal en ambos sentidos y para permitir que el cliente recoja su correo y se siente y pague las facturas a intervalos razonables (por ejemplo, dos veces al mes). Si observa de cerca los mecanismos de facturación electrónica, verá que son abstracciones de esto.

Como tal, tomarse un año sabático de 15 días no es un problema, solo verifique su correo y pague todas las facturas que tenga, luego hágalo de nuevo inmediatamente al regresar. Puede extender esto a 45 días si sabe qué facturas está esperando. ¡No saber qué facturas esperar es un poco alarmante!

Si paga de más una factura de servicio, como una factura de gas o de seguro, el dinero sigue siendo tuya. Se lleva como crédito en su cuenta y se aplica a facturas futuras. La universidad debería hacer exactamente lo mismo. (Solo pago mi factura de gas una vez al año).

Además, una vez que se convierta en estudiante e ingrese la facturación normal, es probable que la factura venza después de que haya iniciado el servicio . Eso lo convierte en una deuda . El efectivo es moneda de curso legal para todas las deudas públicas y privadas, lo que significa que la universidad no puede negarse.

Entonces, las preguntas que surgirán en los tribunales:

  • ¿Por qué no puede actuar dentro de los ciclos de facturación normales (como describo anteriormente)? ​​
  • ¿Por qué no puede pagar por adelantado las facturas esperadas (nuevamente como describí anteriormente)? ​​
  • ¿Por qué las facturas lo sorprenden con frecuencia (no se da cuenta cuando contrata servicios)? Esto le hace parecer ajeno.
  • ¿Por qué no puede recibir facturas por correo postal y pagar con cheque? (sin autenticación de 2 factores).
  • ¿Por qué no puede ir a la oficina de facturación, pedir una copia impresa de su factura y dejar o enviar por correo un cheque o efectivo?

No creo que tenga respuestas creíbles para esas preguntas. Si es así, diría que tiene un caso.

Walter
2018-03-08 08:18:10 UTC
view on stackexchange narkive permalink

Como estudiante de posgrado en una escuela de la UC, usted es un cliente privado de una empresa administrada en nombre del estado de California. Dada la ley de contratos privados y el marco general en los EE. UU. Y California, creo que pueden exigir que los clientes paguen las facturas mediante la autenticación de dos factores, ya que no existen leyes que lo prohíban explícitamente.

En general, para demandar debe estar legitimado y demostrar daños. No veo cómo el riesgo de olvidar su token de hardware se convierte en un reclamo procesable. Hasta que haya demostrado los daños, no hago ninguna reclamación razonable aquí. Espero que los tribunales pregunten si fue una política tan sólida y razonable y desestimen el reclamo.

Su segundo párrafo no sigue. Configurar la autenticación de dos factores cuesta dinero, por lo que no todas las originaciones querrían hacerlo. Puede resultar más económico pagar los costos del fraude de autenticación o trasladar los riesgos y costos a otra persona. Vea cómo la industria de las tarjetas de crédito se ocupa de esto. Los titulares de tarjetas de crédito tienen poca o ninguna responsabilidad por las tarjetas / números robados (el banco lo compensa). También tenga en cuenta que muchas compañías de tarjetas de crédito harán que el proveedor que tomó la tarjeta les reembolse los cargos incorrectos si el proveedor no puede probar que el cargo fue del titular real de la tarjeta.

Además, para su información, demandar en casos como este son costosos y una distracción. Hay muchas mejores formas de resolver problemas que demandar a su escuela porque le preocupa que la política de seguridad sea demasiado estricta. ¿Ha hablado con alguien de la administración de la escuela sobre este tema?

* "Puede ser más barato pagar los costos o pasar los riesgos a otra persona". * Creo que tiene algunos errores tipográficos en esa oración. Sugeriría una edición, pero no estoy seguro de lo que quisiste decir. (¿Quizás "asumir los riesgos" y "trasladar los costos a otra persona"?)
* Puede ser más barato pagar los costos o trasladar ** los ** riesgos a otra persona. * Creo, @Wildcard.
Espero que @Walter tenga claro su derecho de la Segunda Enmienda a los brazos desnudos: la garantía constitucional de las camisetas.
@TRiG: "** asumir ** los costes" - ("desnudar" es "hacer desnudo", "soportar" es "llevar").
@MartinBonner: Esa redacción proviene de la respuesta de Walter, no de TRiG.
Para ampliar su respuesta, solo puede demandar después de daños y perjuicios, lo que significa que podría demandar por un cargo por pago atrasado, y en ese caso estaría argumentando que con el requisito de hardware, no se le dio el tiempo suficiente para pagar la factura. En tal caso, una llamada telefónica para obtener la exención del cargo por mora puede ser suficiente.
Oración reescrita para que sea más clara (y para eliminar el error tipográfico).
@CortAmmon Dado que es probable que la factura sea de NET 10 a NET 30, hay mucho tiempo para pagarla. Incluso si tiene una falla de hardware, debería haber tiempo suficiente para reparar el token de hardware. Como estoy seguro de que hay una forma de pago en persona, un cargo por pago atrasado por perder su token de hardware no sería un daño que sufrió por las acciones de la UC. Sería un costo que tendría que pagar por ser demasiado lento.


Esta pregunta y respuesta fue traducida automáticamente del idioma inglés.El contenido original está disponible en stackexchange, a quien agradecemos la licencia cc by-sa 3.0 bajo la que se distribuye.
Loading...