Quali caratteristiche e qualifiche di sicurezza dovremmo cercare in un provider di backup online?

4

Quali caratteristiche e qualifiche di sicurezza dovremmo cercare in un provider di backup online per un server Web esposto a Internet che memorizza dati sensibili?

  1. Nei backup stessi - tipo di crittografia, metodo di trasporto, qualifiche del centro dati?

  2. Nel software client che viene eseguito sul nostro server: cosa cerchiamo per determinare se il software client creerà vulnerabilità di attacco nel server. Sto pensando in particolare a un caso in cui un utente malintenzionato finge di essere il servizio del fornitore di backup e "ripristina" un file dannoso sul nostro sistema o ottiene una copia di qualcosa di sensibile. Quali domande dovremmo chiedere per mitigare questa possibilità? vale a dire. il client dovrebbe autenticare il server del provider?

  3. È una cattiva pratica utilizzare un servizio di backup che può (facilmente) ripristinare i file sul tuo server? vale a dire. dove puoi selezionare i file su un pannello di controllo basato sul web e ripristina quei file "su richiesta"?

Nel nostro caso, si tratta di un server Web di produzione che gestisce un sito di e-commerce e raccoglie informazioni sulla carta di credito. Dobbiamo 1.) Mantenere la conformità PCI e 2.) prevenire tempi di inattività e cattiva pubblicità.

    
posta Nick 13.03.2012 - 15:12
fonte

1 risposta

6

Direi che l'aspetto della conformità PCI complicherà le cose più di un po 'e che dovresti davvero parlare al tuo QSA dei requisiti. Anche se non sono un QSA, mi sembra che se si esegue il backup dei dati delle carte, quel servizio di backup diventerebbe effettivamente parte dell'ambiente dei dati dei titolari di carta.

A parte quella cosa che cerco sempre per le strutture di backup online è se i tuoi dati vengono crittografati quando vengono archiviati con loro.

Sfortunatamente non è così semplice come se fosse crittografato o meno, come tutti i provider diranno che lo è. alcuni provider utilizzano una chiave comune per la crittografia, il che significa che possono ottenere l'accesso ai dati senza la password, il che significa che se la loro sicurezza è compromessa potrebbe portare a una compromissione dei dati

Quindi una cosa importante da considerare è se i tuoi dati sono crittografati in modo tale che compromettere i loro sistemi non comprometterà i tuoi dati.

Un servizio che ho usato per i backup è SpiderOak e il loro modello è quello di gestire la crittografia lato client in modo che la chiave di crittografia non debba essere disponibile sul loro server. Il rovescio della medaglia qui è che se si dimentica la password non c'è modo per loro di recuperare i dati.

La domanda sul servizio che è in grado di ripristinare i dati sui tuoi server sembra essere un problema di sicurezza per ottenere che sembrerebbe che il provider abbia bisogno di un accesso permanente in scrittura al tuo server.

    
risposta data 13.03.2012 - 16:02
fonte

Leggi altre domande sui tag