Quali caratteristiche e qualifiche di sicurezza dovremmo cercare in un provider di backup online per un server Web esposto a Internet che memorizza dati sensibili?
-
Nei backup stessi - tipo di crittografia, metodo di trasporto, qualifiche del centro dati?
-
Nel software client che viene eseguito sul nostro server: cosa cerchiamo per determinare se il software client creerà vulnerabilità di attacco nel server. Sto pensando in particolare a un caso in cui un utente malintenzionato finge di essere il servizio del fornitore di backup e "ripristina" un file dannoso sul nostro sistema o ottiene una copia di qualcosa di sensibile. Quali domande dovremmo chiedere per mitigare questa possibilità? vale a dire. il client dovrebbe autenticare il server del provider?
-
È una cattiva pratica utilizzare un servizio di backup che può (facilmente) ripristinare i file sul tuo server? vale a dire. dove puoi selezionare i file su un pannello di controllo basato sul web e ripristina quei file "su richiesta"?
Nel nostro caso, si tratta di un server Web di produzione che gestisce un sito di e-commerce e raccoglie informazioni sulla carta di credito. Dobbiamo 1.) Mantenere la conformità PCI e 2.) prevenire tempi di inattività e cattiva pubblicità.