Una lista di controllo di sicurezza per la scelta di un fornitore di servizi di hosting internet per un server privato virtuale?

Naviga le tue risposte
2

Sono in procinto di scegliere un fornitore di servizi di hosting internet per il mio sito web. Oltre a guardare la reputazione del fornitore di servizi di hosting attraverso i forum su Internet, esiste un modo più concreto di valutazione attraverso una lista di controllo in cui posso essere sicuro che il mio codice sorgente e il database per il sito saranno protetti da quelli con accesso diretto al server stesso?

Modifica: ritengo che non ci sia garanzia al 100% che il mio codice sorgente e il database siano al sicuro finché è ospitato da un'altra parte. Quello che sono più interessato a scoprire è il processo di condurre due diligence in modo tale che, per lo meno, so che ho fatto la mia parte nella gestione del rischio per la sicurezza.

    
posta Question Overflow 14.10.2012 - 04:40
fonte

2 risposte

2

Queste liste di controllo di solito non sono molto realistiche e dipendono dall'onestà del venditore che risponde. Puoi provare a cercare fornitori con varie certificazioni di settore, ad es. SEC 2, ISO 27001, PCI (come fornitore, non come commerciante), HIPAA ecc.

Controlla alcuni dei link di Amazon e cerca quelli simili.

    
risposta data 14.10.2012 - 12:16
fonte
1

A meno che non si eseguano controlli in background sul personale dell'ISP, si sta implicitamente credendo in loro. Se il valore dei dati sul tuo sito per gli estranei è abbastanza grande da tentare gli amministratori sottopagati, potresti voler ospitare il sito sui tuoi server. La valutazione dovrebbe includere il costo di trovare il valore per gli amministratori non autorizzati.

EDIT: dopo aver chiarito la questione, sono solo in grado di indicare NIST SP 800 -123 , Guida alla sicurezza generale del server e NIST SP 800- 44 v.2 , Linee guida sulla protezione dei server Web pubblici. Aiuta anche ad avere un avvocato prima di firmare il contratto; essere un cliente prezioso e avere grandi strumenti legali per punire un trasgressore riduce un po 'il rischio - per farlo devi sapere dove si trova l'ISP - dove è registrato.

Un'altra cosa: se hai dubbi o sentimenti di pancia adesso, non fare la dovuta diligenza con un processo CYA.

EDIT # 2: Pensa che la risposta di @Vitaly Osipov è abbastanza pertinente e vale la pena accettarla (puoi chiedere all'ISP l'adesione a Standard di sicurezza PCI )

    
risposta data 14.10.2012 - 12:09
fonte

Leggi altre domande sui tag

Come deve essere trattato il traffico SSL una volta che è stato terminato? La connessione Honeypot SSH tenta senza interazione