In qualità di agenzia di sviluppo web, stiamo attualmente eseguendo la ricostruzione di un sito per un'agenzia di reclutamento. Il sito attuale consente ai richiedenti di registrarsi come lavoratori temporanei per l'agenzia (il nostro cliente) a cui verranno quindi assegnati contratti a breve termine come e quando richiesto.
Il modulo di domanda sul sito corrente per questi lavoratori cattura e un'enorme quantità di dati davvero sensibili, inclusi dettagli bancari, recapiti, istruzione e persino una dettagliata anamnesi del richiedente. Sorprendentemente lo fa su una normale connessione HTTP senza SSL, e i dati sono memorizzati in un DB mysql utilizzato anche dal sito. IMHO è negligente al meglio.
Il nostro cliente desidera lo stesso comportamento sul nuovo sito che stiamo sviluppando, ma ovviamente nutriamo forti preoccupazioni in merito alla legalità e ai problemi di sicurezza nell'implementazione dell'attuale logica aziendale.
Qualcuno può dare una guida su cosa può essere archiviato legalmente, come conservare al meglio le informazioni e forse eventuali scenari alternativi che possiamo mettere al cliente? Per chiarire siamo soggetti alle leggi sulla protezione dei dati del Regno Unito (UE) per questo sito.
Ovviamente il primo passo che stiamo compiendo è quello di servire il nuovo sito via HTTPS, ma a parte questo il meglio che possiamo fare finora è catturare solo le informazioni non sensibili e richiedere all'agenzia di reclutamento di fare richieste separate dei candidati per ottenere le cose cattive come numeri di conto bancario e storia medica.
qualsiasi aiuto molto apprezzato ......