Ambiente di sviluppo sicuro per l'università che si occupa di dati privati

Naviga le tue risposte
2

Siamo un team di sviluppo all'interno di un'università statale pubblica. Gran parte del nostro sviluppo riguarda il lavoro con dati privati di studenti e dipendenti. Alcune applicazioni trasferiscono i dati dai database interni alle soluzioni basate su cloud tramite trasferimento file sicuro o servizi Web. Nuove regole stanno venendo giù dal sistema universitario statale che ci governa richiedendo protezione tra i sistemi che accedono a Internet e accedono ai dati privati interni. Queste regole non definiscono quale tipo di separazione è richiesta. Il problema non è la separazione tra sviluppo, messa in scena e produzione (che abbiamo già), ma piuttosto proteggere le workstation di sviluppo che possono accedere ai dati privati dagli attacchi basati su Internet.

Oltre all'antivirus e all'antispam basati su client e ai firewall e server proxy basati sulla rete, quali sono i passi ragionevoli che possono essere presi per proteggere le stazioni di sviluppo oi server di produzione che devono parlare con le applicazioni basate su cloud , dall'essere un condotto verso i dati privati?

    
posta Scott Guthrie 27.03.2013 - 18:54
fonte

1 risposta

2

Dai uno sguardo allo standard PCI, contiene molte linee guida su come proteggere i dati delle carte di credito che possono essere applicati anche a tutti i dati riservati:

link

Non tutto si applicherà al tuo ambiente, ma è un buon punto di partenza. Copre elementi come la crittografia dei dati, la gestione delle chiavi, la conservazione delle tracce di controllo, l'anonimizzazione dei dati per le macchine test / dev, la messa in sicurezza delle workstation che hanno accesso ai dati, ecc.

Costruisci e gestisci una rete sicura

  1. Installa e gestisci una configurazione firewall per proteggere i dati dei titolari di carta
  2. Non utilizzare i valori predefiniti forniti dal fornitore per le password di sistema e altri parametri di sicurezza

Protezione dei dati dei titolari di carta

  1. Proteggi i dati dei titolari di carta memorizzati
  2. Cifra la trasmissione dei dati dei titolari di carta su reti pubbliche aperte

Gestione di un programma di gestione delle vulnerabilità

  1. Utilizzare e aggiornare regolarmente il software antivirus su tutti i sistemi comunemente interessati dal malware
  2. Sviluppa e mantieni sistemi e applicazioni sicuri

Implementa misure di controllo dell'accesso strong

  1. Limita l'accesso ai dati dei titolari di carta da parte delle aziende che hanno necessità di sapere
  2. Assegna un ID univoco a ogni persona con accesso al computer
  3. Limita l'accesso fisico ai dati dei titolari di carta

Monitora e verifica regolarmente le reti \

  1. Tieni traccia e monitora tutti gli accessi alle risorse di rete e ai dati dei titolari di carta
  2. Registra regolarmente i sistemi e i processi di sicurezza

Mantieni una politica di sicurezza delle informazioni

  1. Mantenere una politica che risolva la sicurezza delle informazioni

(questi passaggi dovrebbero essere numerati in sequenza per abbinare i passi PCI DSS, ma StackExchange è più intelligente di me e ignorato i numeri che ho digitato e iniziato a "1" per ogni intestazione)

    
risposta data 27.03.2013 - 19:25
fonte

Leggi altre domande sui tag

Quanto è sicuro un sito statico ospitato su Amazon S3? tshark - scarica la sezione dei dati