Quali azioni dovrebbero essere intraprese dal sito in base alle normative sulla protezione dei dati?

Una risposta precedente ha fatto riferimento al sito web di ICO, dove è possibile conoscere le regole applicabili nel Regno Unito (che sono essenzialmente le stesse di quelle di altri paesi dell'UE), dal momento che il Data Protection Act è il Regno Unito attuazione della direttiva UE).

Volevo solo aggiungere, tuttavia, che come con molte altre cose simili, la legislazione sulla protezione dei dati è generalmente usata come un bastone per batterti quando qualcosa è già andato storto. Cioè, qualunque misura tu metti in atto, se perdi le informazioni private dei clienti in qualche modo, sarai colpevole di una violazione e molto probabilmente riceverai (almeno) dei "consigli" su come dovresti aver evitato la violazione in questione.

In altre parole, la legge sulla protezione dei dati non impone tanto le cose come la crittografia quanto i principi generali, di cui si avrà la rottura se si perdono informazioni private . A quel punto, ti potrebbe essere chiesto di accettare ad es. crittografare i dati in futuro (supponendo, secondo il parere del funzionario dell'esecuzione probabilmente non tecnico-esperto, che avrebbe aiutato).

Infine, poiché lo chiedi a proposito, come per la crittografia dei dati memorizzati, dovresti prendere in considerazione

• Quanto è probabile che la chiave di decodifica venga compromessa nello stesso momento in cui un utente malintenzionato ha ottenuto l'accesso ai dati (se entrambi sono compromessi insieme, non ha senso) oltre a soddisfare la mentalità delle caselle di controllo di qualcuno, laddove applicabile - crittografare le cose) .
• Quanto sono sensibili i dati e se esistono altri requisiti che impongono la crittografia (ad esempio PCI-DSS).
• Con quale frequenza si accede ai dati (che influisce sulle implicazioni delle prestazioni e sulla probabilità che la chiave possa essere facilmente individuata da un utente malintenzionato).
• Come ti proponi di crittografare i dati. La crittografia del disco, ad esempio, può mitigare i problemi di sicurezza fisica alcuni , ma non protegge contro compromissioni del server.
• Dove vengono archiviati i dati e in che modo viene effettuato l'accesso. per esempio. Crittografare le colonne in una tabella SQL potrebbe renderle difficili da interrogare, oppure no (a seconda di come sono crittografate).
• Sicurezza fisica del tuo server, incluso, per configurazioni virtualizzate, sicurezza delle immagini del disco.
• Sicurezza dei tuoi back-up. Talvolta può essere utile crittografare i backup anche quando la crittografia per i dati in tempo reale è indesiderabile ...
• Quanto sai della crittografia. Se decidi di crittografare le cose, devi farlo correttamente. Non ha molto senso aggiungere la crittografia se si rompe facilmente, e se non sai cosa stai facendo, è facile commettere errori che rendono molto più facile leggere i dati di quanto dovrebbe essere.

In sostanza, per ottenere protezione dalla crittografia dei dati, è necessario comprendere la minaccia che si sta tentando di proteggere, i compromessi che si faranno in cambio della crittografia e come utilizzare correttamente le primitive di crittografia stanno impiegando.

Su una nota correlata, vorrei sempre raccomandare l'hashing di qualsiasi campo password, preferibilmente usando una moderna funzione di hash sicura come bcrypt , anche se al molto minimo con SHA256 salato. Qualunque cosa tu faccia, non usare MD5 o storico UNIX crypt() , e non dimenticare di aggiungere sale. Non solo protegge da compromissione della password, significa che gli utenti non possono accusarti di accedere al proprio conto bancario utilizzando la password che hanno stupidamente utilizzato sia sul tuo sito che sulla loro banca.

Quando si parla di leggi sulla protezione dei dati, la prima cosa da notare è che si tratta di leggi, quindi dovresti verificare con un avvocato in caso di dubbio.

Tuttavia, con cose come le leggi del Regno Unito (che a quanto pare ti stanno chiedendo in modo più specifico) la guida che il commissario per le informazioni ha sul loro sito web è piuttosto semplice e racchiude in sé molti dei principi che troverai in altri leggi sulla protezione dei dati nell'UE (poiché la legge sulla protezione dei dati è la consacrazione nello statuto del Regno Unito della direttiva sulla protezione dei dati dell'UE).

link

Per il Regno Unito, ci sono un paio di suggerimenti rapidi che dovresti prendere in considerazione (e ci sono ulteriori informazioni sul sito web che ho citato. Ecco gli 8 "principi" creati dall'atto, copiati senza vergogna dal sito web dell'ICO.

1. Personal data shall be processed fairly and lawfully and, in particular, shall not be processed unless –

   • (a) at least one of the conditions in Schedule 2 is met, and
   • (b) in the case of sensitive personal data, at least one of the conditions in Schedule 3 is also met.
2. Personal data shall be obtained only for one or more specified and lawful purposes, and shall not be further processed in any manner incompatible with that purpose or those purposes.
3. Personal data shall be adequate, relevant and not excessive in relation to the purpose or purposes for which they are processed.
4. Personal data shall be accurate and, where necessary, kept up to date.
5. Personal data processed for any purpose or purposes shall not be kept for longer than is necessary for that purpose or those purposes.
6. Personal data shall be processed in accordance with the rights of data subjects under this Act.
7. Appropriate technical and organisational measures shall be taken against unauthorised or unlawful processing of personal data and against accidental loss or destruction of, or damage to, personal data.
8. Personal data shall not be transferred to a country or territory outside the European Economic Area unless that country or territory ensures an adequate level of protection for > the rights and freedoms of data subjects in relation to the processing of personal data.

Questo è un argomento molto profondo e ampio. Come minimo, dovresti considerare le migliori pratiche generali come OWASP e requisiti specifici del settore come le linee guida PCI-DSS, HIPPA, ecc. A seconda del tuo settore.

È difficile rispondere a questa domanda in termini generali che si applicano ovunque, a meno delle migliori pratiche citate. Il più elementare sarebbe non memorizzare le password in forma chiara / reversibile (cioè dovrebbero essere salate e sottoposte a hash e archiviate in forma hash, questo protegge i tuoi utenti dalle loro password che vengono divulgate se il tuo sito è compromesso), ma questo è solo uno esempio.

Gran parte della guida è intorno alla protezione appropriata (vedi il principio 7 che @webtoe ha elencato), ma non è molto proscrizionale su ciò che dovrebbe essere.

La sfida che avrai è definire cosa si trova all'interno di ciascun livello di sensibilità. È generalmente accettato che i dati relativi alle retribuzioni dei dipendenti siano sensibili e che i loro dati medici siano altamente sensibili, pertanto la prassi commerciale consueta utilizzare la crittografia, i controlli di accesso, la registrazione, i controlli periodici ecc. Al livello che soddisfa i requisiti relativi ai livelli di sensibilità dei dati .

Una politica sulla privacy è generalmente considerata essenziale per questo processo, in quanto senza di essa non è possibile imporre facilmente i controlli sui dati.

Ulteriori requisiti obbligatori provengono da elementi come PCI-DSS, che si concentra in particolare sui dettagli delle carte di credito, quindi alcune organizzazioni li costruiscono nei loro requisiti di protezione dei dati.