Hai assolutamente la responsabilità di mantenere la riservatezza dei registri finanziari.
A seconda delle leggi e dei precedenti legali del tuo paese (dichiarazione di non responsabilità: IANAL ) può accadere che tu (come società) potrebbe essere perseguito o citato in giudizio per negligenza in caso di violazione. Vedo che il tuo profilo dice che sei nel Regno Unito, quindi organizzazioni governative come ICO e FSA può essere coinvolto se si verifica una violazione e i clienti finiscono per essere truffati a causa di esso. Hanno una storia di distribuire pesanti multe a società che agiscono in modo irresponsabile con i dettagli finanziari dei loro clienti. Inoltre, i singoli clienti possono farti causa separatamente, in base alle perdite individuali.
Ricorda che una violazione che perde le informazioni personali di un cliente a causa di misure di sicurezza insufficienti ti mette automaticamente in violazione della Legge sulla protezione dei dati 1988 , che è qualcosa a cui l'ICO può perseguire.
In effetti, la tua banca o il tuo elaboratore di schede potrebbe richiedere che tu sia conforme PCI nei casi in cui memorizzi credenziali finanziarie, quindi se questo è il caso, potresti essere in violazione del contratto che hai con loro. In tal caso, possono revocare i tuoi servizi, ammonirti o persino denunciarti in giudizio.
Il mio consiglio è il seguente:
- Guarda attraverso il tuo sistema e identifica quali informazioni devono essere protette e quale è il metodo migliore per proteggerle. Per le password, dovresti utilizzare un algoritmo di derivazione della chiave come PBKDF2 o bcrypt, non un hash come SHA1. Per informazioni finanziarie come numeri di conto e codici di ordinamento, dovresti utilizzare un HSM , o almeno una crittografia simmetrica con un -Memoria chiave. È possibile esternalizzare la memorizzazione delle credenziali e / o l'elaborazione dei pagamenti a un fornitore di terze parti? Costruisci un elenco di suggerimenti e tempi di sviluppo previsti e dai loro priorità in base alla gravità. Sii realistico: dire che tutto è critico farà spegnere il tuo capo.
- Vai dal tuo capo e spiega che l'attuale modo in cui la tua azienda archivia le informazioni finanziarie è negligente e che le tue attuali misure di sicurezza non sono sufficienti. Spiegare perché è male, quale sia la legislazione appropriata attorno ad esso (in particolare DPA 1998 e altri regolamenti ICO) e gli standard a cui si attendono la maggior parte delle aziende (PCI-DSS, ISO / IEC 27000 , ecc.). Assicurati di riconoscere pienamente il potenziale di gravi sanzioni finanziarie (e potenzialmente legali) in caso di violazione.
- Fagli parlare con una società di sicurezza delle informazioni specializzata in PCI-DSS o simili regolamenti finanziari. Spesso daranno una consulenza gratuita (o economica) per risolvere eventuali dubbi che ha e dargli qualche consiglio. Da lì può decidere quali sono i rischi. Potrebbe valere la pena eseguire un test di penetrazione completo sulla tua web-app, poiché memorizza i dettagli finanziari. Questa è una spesa, ma è molto più economica di essere denunciata.
- Agisci in base alle informazioni che ottieni e assicurati che i risultati siano controllati da un professionista.
Se, dopo tutto ciò, il tuo capo decide ancora di ignorare i gravi problemi di sicurezza e privacy della tua web-app, chiedigli di mettere per iscritto che non puoi e non sarai ritenuto responsabile per eventuali problemi legali relativi alla sicurezza dei dati violazioni durante il tuo impiego. Se rifiuta di farlo, consiglio vivamente di trovare un altro lavoro e segnalarli all'ICO. Non vale i potenziali problemi legali.