Archiviazione sicura dei dati dei clienti (conformità)

Naviga le tue risposte
1

Mi sono imbattuto in questa violazione dei dati in cui gli sviluppatori di un'organizzazione hanno archiviato alcuni dati PII dei clienti sul proprio account github. Il buon senso mi dice che questa è ovviamente una cosa stupida e incurante da fare. La mia domanda è che ci sono degli standard di sicurezza che regolano specificamente dove e come l'organizzazione dovrebbe archiviare i dati dei clienti che raccolgono? Ho controllato il NIST 800-53 e ho cercato un po 'su google ma non ho trovato linee guida chiare. Ad esempio, se il server di database deve trovarsi in un ambiente di rete interno controllato protetto da firewall, dati crittografati, ecc Nell'esempio della violazione dei dati i dati sono stati collocati sul server github pubblico con una sola password che proteggeva i dati e probabilmente l'account era condiviso.
Qualsiasi riferimento a standard (e paragrafi) specifici sarebbe molto utile.

    
posta MR.Elegant 10.09.2018 - 07:43
fonte

2 risposte

2

Questo white paper di SANS illustra l'architettura di rete e l'uso di una DMZ: link

Il PCI DSS è correlato ai dati dei titolari di carta, ma se si sostituisce "sensibile" per il titolare della carta, la guida è piuttosto buona - vedere requisito 1.3.6 Posizionare i componenti del sistema che memorizzano i dati dei titolari di carta (come un database) in una zona di rete interna , segregata dalla DMZ e da altre reti non attendibili .

Allo stesso modo, PCI DSS discute l'uso della crittografia :

3.4 Render PAN illeggibile ovunque sia memorizzato (anche su supporti digitali portatili, supporti di backup e nei registri) utilizzando uno dei seguenti approcci:

  • Gli hash unidirezionali basati su crittografia avanzata, (l'hash deve essere dell'intero PAN).
  • Troncamento (l'hashing non può essere utilizzato per sostituire il segmento troncato del PAN).
  • Token e pad dell'indice (i pad devono essere memorizzati in modo sicuro).
  • Crittografia strong con procedure e processi di gestione delle chiavi associati.

In relazione a archiviazione dei dati di produzione è richiesto anche in PCI DSS:

  • Gli ambienti di sviluppo / test sono separati dagli ambienti di produzione con controllo degli accessi in atto per rafforzare la separazione.
  • Una separazione dei compiti tra il personale assegnato agli ambienti di sviluppo / test e quelli assegnati all'ambiente di produzione.
  • I dati di produzione (PAN live) non vengono utilizzati per test o sviluppo.
risposta data 10.09.2018 - 16:37
fonte
0

AndyMac ha fornito una risposta eccellente se lavori con i dati della carta di credito del cliente. Se si gestiscono i dati dei clienti, ma non i dati della carta di credito, è possibile effettuare una ricerca sul controllo dell'organizzazione dei servizi ( SOC 1, SOC 2 ) standard pubblicati dall'AICPA per ulteriori indicazioni autorevoli. Dalla lingua del tuo post, sembra che tu stia lavorando in una capacità di organizzazione del servizio, quindi questa guida dovrebbe essere preziosa per te.

Uno dei principi di fiducia di SOC 2 è Riservatezza definito come

Protecting data agreed upon with the customer as confidential from unauthorized access and disclosure.

A seconda del servizio offerto dalla tua azienda ai clienti, la direzione della tua azienda deciderà su quali principi di SOC 2 si applicano in una lettera formale di rappresentanza gestionale. Se la riservatezza è una delle scelte selezionate, la direzione della tua azienda dovrebbe implementare i controlli che soddisfano i criteri forniti con CC come presentati in questo documento . Ad esempio, lo stoccaggio sicuro dei dati dei clienti verrebbe risolto da questo standard di riservatezza in CC 6.1:

The entity implements logical access security software, infrastructure, and architectures over protected information assets to protect them from security events to meet the entity’s objectives.

Pertanto, anche se non ci sono controlli esatti (e giustamente secondo me) su come per proteggere i dati dei clienti, esistono degli standard su quali devono essere soddisfatti perché la protezione dei dati sia considerata confidenziale. Questi standard SOC 2 hanno il peso dovuto al rapporto SOC 2 rilasciato ai clienti che devono essere controllati da revisori indipendenti come me.

    
risposta data 11.09.2018 - 04:22
fonte

Leggi altre domande sui tag

MySQL AES_ENCRYPT lunghezza della chiave di stringa E 'possibile hackerare in una rete protetta e scaricare con bit torrent dal mio indirizzo IP?