Come gestire le informazioni personali identificabili (PII) come avvio?

Naviga le tue risposte
6

La mia startup si trova finalmente di fronte alla potenziale responsabilità della gestione delle PII, e ci preoccupiamo di farlo correttamente dal punto di vista del rischio ma anche di farlo correttamente.

Quale sarebbe l'approccio migliore se volessimo farlo da soli?

Al momento non abbiamo un ingegnere della sicurezza, ma stiamo operando in modo relativamente sicuro e nella piattaforma cloud di Google. Abbiamo preso buone decisioni di progettazione in merito al funzionamento della nostra sicurezza per le app, ma potremmo dover iniziare a gestire le PII, quindi vogliamo assicurarci che, se mai dovesse accadere, siamo coperti.

So che Google offre certificazioni e white paper sulla loro sicurezza, ma suppongo che avremmo anche bisogno di ottenere il nostro, da un auditor di terze parti.

Qualsiasi descrizione su come procedere sarebbe estremamente utile, dalle migliori pratiche e considerazioni alle implementazioni obbligatorie.

    
posta redband 25.09.2017 - 20:07
fonte

3 risposte

1

Questa è una domanda molto ampia, quindi suggerisco una risposta generica. Consulta il NIST Cybersecurity Framework , che è un piano completo che puoi seguire per aiutarti a coprire tutte le basi.

    
risposta data 25.09.2017 - 21:18
fonte
0

So we want to make sure that if it ever is at-rest we are covered.

Se si memorizzano le PII, è necessario assicurarsi che i dati vengano crittografati quando vengono archiviati utilizzando algoritmi crittografici avanzati come AES con una chiave di crittografia supportata dall'algoritmo e di cui la tua azienda ha bisogno. Se utilizzi la crittografia per archiviare i tuoi dati, è fondamentale archiviare in modo sicuro le chiavi di decrittografia / crittografia in modo sicuro. Idealmente le chiavi di decrittografia dovrebbero essere archiviate come separate dai dati protetti. Se la tua applicazione è in grado di supportare l'utilizzo di un modulo di sicurezza hardware (HSM), utilizzalo in ogni caso.

Hai chiesto alcune best practice per proteggere i dati a riposo. Alcune best practice quando si utilizza la crittografia per proteggere i dati a riposo, si potrebbe voler pensare all'implementazione:

  • Non provare a coltivare in casa il tuo metodo di crittografia crittografico
  • Utilizza sempre algoritmi di crittografia avanzati come AES 256 o RSA
  • se necessario memorizza le password utilizzando in formato hash con un salt
  • Cambia periodicamente le chiavi di crittografia

L'elenco sopra è solo un suggerimento di alcune buone pratiche e non intende essere esaustivo. Soprattutto, se non hai bisogno di memorizzare le PII, quindi non memorizzarle.

    
risposta data 26.09.2017 - 00:30
fonte
-1

Come @Robert Mennel specificato nei commenti, la risposta alla tua domanda dipende strongmente dal tipo di informazioni di identificazione personale che stai gestendo.

Per quanto ne so, se stai gestendo:

  • Informazioni sulla salute personale di cui si richiede a livello federale conforme HIPAA .

  • Informazioni sulla carta di credito: devi essere conforme PCI DSS .

  • Informazioni di carattere generale: esamina la certificazione ISO o la conformità SOC1.

risposta data 25.09.2017 - 23:06
fonte

Leggi altre domande sui tag

Modello di progettazione API - Crittografia lato client Come è stato ignorato Google recaptcha v2 più volte?