Numeri di sicurezza sociale e conto bancario in testo normale nell'app Web

Naviga le tue risposte
3

Sono in una "discussione" con la mia azienda su di loro che mostra la sicurezza sociale di tutti i dipendenti e il routing completo bancario / numero di conto in chiaro su un'applicazione software di gestione delle risorse umane ospitata. Hanno la capacità di nasconderlo, come ogni altra applicazione che abbia mai visto, ma si rifiutano di farlo per la loro comodità. Citano cose come se fossero ospitate nella stessa server farm della CIA.

Non mi preoccupo troppo della sicurezza nei sistemi di back-end, ma solo del fatto che presentano i dati a un utente che accede al sistema nella parte frontale dell'applicazione in testo semplice (anche se crittografato). So che è una cattiva pratica farlo, ma non riesco a farli muovere.

Credo che l'applicazione abbia l'autenticazione a 2 fattori configurata per i report e più funzioni vulnerabili ai dati. L'applicazione utilizza RSA 2048 / sha256RSA.

Ho raccolto gli hack di Sony, White House, Anthem e OPM, ma hanno comunque scrollato la spina.

Qualcuno ha qualche suggerimento su come convincerli a attivare la mascheratura di questi campi (XXX-XX-1234)?

Esistono leggi, cause legali o altri tipi di indicazioni che potrei citare per contribuire a garantire la sicurezza di queste informazioni (come la conformità PCI DSS)?

Credo che la vera domanda dovrebbe essere: Come posso spiegare elegantemente questo a "persone che non capiscono il rischio reale"? (questo era gestito dal "risk manager")

Richiesto per ramificazioni legali qui

    
posta Lucky Lindy 26.10.2016 - 15:52
fonte

2 risposte

4

Ci sono 2 cose qui, memorizzano i dati in un formato leggibile e li mostrano. Hanno bisogno che i dati siano in un formato leggibile (dal programma) perché è necessario per inviare denaro alle persone e per motivi fiscali o per mettere in palio i salari.

Tuttavia, non dovrebbero mostrarti informazioni sensibili che non hai bisogno di vedere. Se lo volessi, potresti usare tutte queste informazioni per attività dannose. È loro responsabilità ridurre i vettori di attacco senza ridurne la funzionalità, offrendoti queste informazioni è un vettore di attacco non necessario per funzionalità ridotte o nulle.

Il fatto che la server farm sia la stessa della CIA non significa nulla. È come dire che vivi vicino a una stazione di polizia per non essere derubato. Inoltre, non dovrebbero sapere che si trovano nella stessa fattoria della CIA perché ora ti dicono in un posto che la CIA ha dei server e che sono informazioni che la CIA non vuole che nessuno sappia a causa di possibili attacchi contro di loro. Infine, non mi fiderei di alcun ente governativo con i miei dati, la maggior parte delle violazioni dei dati da parte di informatori sono di dati a cui il fischietto non dovrebbe avere accesso (Edward Snowden, Chelsea Manning, Harold Martin)

    
risposta data 26.10.2016 - 16:30
fonte
-1

Se comprendo correttamente il tuo punto, sei preoccupato per il fatto che le tue informazioni sono presentate a tu quando tu accedi

Se è così, si tratta di discutibili "cattive pratiche" (eccetto se esiste una legge che costringe un fornitore di servizi a nascondere i dati personali al proprietario dei dati). Ho appena controllato su amazon.com e sul mio conto bancario: entrambi mi mostrano un numero parziale - potresti usare tali riferimenti.

Tuttavia non vi sono sistemi / sicurezza applicativa coinvolti: se i dati sono archiviati in modo appropriato (= sufficientemente sicuro con i vincoli dell'uso previsto), il fatto che si nascondano alcune informazioni è di impedire il riutilizzo da parte di persone diverse dal proprietario dei dati (qualcuno che guarda oltre la spalla, per esempio).

Quindi il tuo unico modo è quello di spiegare che i dati presentati in bella vista possono essere trascurati da qualcun altro, con possibili (benché complicate da dimostrare) implicazioni per il fornitore di servizi.

Sfortunatamente, il dialogo sui "dati memorizzati nello stesso posto della CIA" non si applica qui, il che significa che questa discussione si svolge tra persone che non comprendono il rischio reale (di nuovo, se ho capito correttamente quello che chiedi ).

    
risposta data 26.10.2016 - 17:32
fonte

Leggi altre domande sui tag

Posso usare un certificato di firma del codice come certificato TLS? Tunneling su una sottocartella HTTP?