Quando si memorizzano informazioni di identificazione private in un'applicazione Web, quali sono le migliori pratiche "standard del settore"? [chiuso]

Naviga le tue risposte
4

Sto costruendo un'applicazione web ospitata (SaaS) che memorizza PII come nome, indirizzo email e datore di lavoro dell'utente. A partire da ora, non intendo mai memorizzare numeri di carta di credito o numeri di conti bancari o numeri di previdenza sociale, ecc.

Vorrei poter affermare che il mio servizio segue le pratiche di sicurezza "standard del settore", ma sono un po 'incerto su cosa significhi oggi. Ad esempio, una password hash di SHA-1 o MD5 correttamente salata è ancora considerata standard di settore e accettabile?

In generale, quali linee guida seguono le persone per determinare le pratiche "standard del settore" da tutti i punti di vista, quindi 1) sei adeguatamente protetto da attività dannose e 2) non verrai perseguitato in tribunale se mai sei interpellato per una perdita di dati .

Inoltre, come cambia questo se memorizzi informazioni personali più sensibili come un codice di sicurezza sociale?

    
posta Michael Berkhart 02.12.2011 - 21:16
fonte

5 risposte

4

Non è consigliabile archiviare le password con hash con MD5 o SHA1. La migliore pratica è quella delle password di hash che utilizzano bcrypt, scrypt o PBKDF2 (vedi anche questa domanda ) o per utilizzare un provider di autenticazione di terze parti, come OpenID o (shudder) Facebook Connect.

I secondo consiglio di @ david6 che OWASP è una buona fonte di informazioni per gli standard di settore per la sicurezza Web.

Raccomando anche di leggere le seguenti due introduzioni per lo sviluppo sicuro del software web:

Forniscono informazioni che penso che ogni sviluppatore web abbia bisogno di sapere. Penso che sia giusto dire che la migliore pratica è che i tuoi sviluppatori abbiano familiarità con i problemi di sicurezza e come scrivere codice sicuro. Per ulteriori informazioni, vedi la mia risposta su questo .

Potresti anche considerare di testare la sicurezza del tuo sito web, utilizzando strumenti per il pentesting automatizzato , o assumendo un tester di penetrazione o servizio di test di penetrazione. Questo probabilmente non è necessario se il tuo sito non raccoglie o memorizza informazioni sensibili. Ma se memorizza informazioni sensibili, allora questa è probabilmente una buona idea.

    
risposta data 03.12.2011 - 07:20
fonte
3

Se non utilizzi carte di credito o informazioni simili, (per fortuna) devi non prendere in considerazione la conformità PCI-DSS.

Per la sicurezza generale "standard di settore" per l'hosting web, guarda a OWASP:

link

    
risposta data 02.12.2011 - 22:58
fonte
1

Lavoro nel governo. Seguiamo la politica dei sistemi informativi sulla giustizia penale dell'FBI. Puoi trovarlo qui .

    
risposta data 03.12.2011 - 03:44
fonte
1

Devi dare un'occhiata alle normative settoriali e nazionali, alcuni esempi importanti sono:

etc

    
risposta data 03.12.2011 - 16:32
fonte
0

Se tutto ciò che stai memorizzando è nome, e-mail e datore di lavoro, allora le cose ti diventeranno molto più facili. Ma OWASP / SANS / WASC è solo una metà dell'immagine. È necessario considerare il modo in cui si memorizzano i dati, non solo come si accede. I problemi di archiviazione riguardano il database, il server e i controlli interni alla tua organizzazione che controllano chi ha accesso a tali dati.

Per quanto riguarda SSN, consulta: link

D'altra parte, ciò che potresti fare per certificarti è ottenere la verifica da parte di terzi della sicurezza del tuo sito assumendo un tester di siti web professionali. In questo modo, invece di dire che rispetti uno standard (che non esiste ancora completamente), puoi dire di aver superato un test di sicurezza esterno. I tester indipendenti possono essere trovati a buon mercato, orientati verso piccoli siti con budget limitati.

    
risposta data 07.12.2011 - 21:20
fonte

Leggi altre domande sui tag

Protezione dei dati su hdd del laptop Devo ignorare l'exploit SSL BEAST e continuare a preferire AES?