Come proteggere i dati personali richiesti dall'autorità di certificazione dal furto di dati?

Question

Come proteggere i dati personali richiesti dall'autorità di certificazione dal furto di dati?

#1 da (2 voti)

2

Recentemente ho caricato immagini del mio passaporto e della patente di guida a un'autorità di certificazione (CA) per richiedere i certificati SSL. La richiesta è stata respinta perché ho aggiunto filigrane per impedire il furto di dati. Ho spiegato al Cert Master che le filigrane non bloccano alcun dettaglio importante sul mio passaporto e sulla patente di guida e sono intese a prevenire l'abuso nel caso in cui i dati siano stati rubati.

La risposta che ho ricevuto è che questo è un requisito di controllo standard di tutte le CA. Se è così, in che modo impediamo agli altri di fingere che usiamo quei documenti se in qualche modo riescono a ottenerli?

data-leakage protection persona

posta Question Overflow 29.06.2014 - 13:18

fonte

1 risposta

Leggi altre domande sui tag data-leakage protection persona

Quali sono i rischi durante l'elaborazione di un documento con POI Apache? Ottieni la cronologia del browser senza utilizzare un browser

score 2 · Accepted Answer

L'Online Trust Alliance (OTA), un'organizzazione industriale con ampia adesione a CA, mantiene un insieme di sicurezza operativa migliore pratiche sulle quali tutte le CA dovrebbero attenersi. Tuttavia, i documenti non raccomandano specifiche politiche di conservazione dei dati, né tentano di definire le PII (informazioni di identificazione personale).

L'implementazione delle Best Practice di OTA varierà da CA a CA, quindi la migliore linea di azione che posso vedere è iniziare selezionando un fornitore in base alle politiche pubblicate e alle metainformazioni, ad es. notizie relative a violazioni della sicurezza di CA. Una volta selezionati i candidati potenziali, chiedi loro in modo specifico in merito alle tue preoccupazioni e in che modo le loro politiche le affrontano.

Non esiste alcun motivo valido per cui una CA possa conservare indefinitamente tali informazioni personali facilmente sfruttabili come passaporto scannerizzato, poiché queste informazioni vengono utilizzate solo in due diligence prima dell'emissione di un certificato.