Catturare dati sensibili all'interno di restrizioni legali? [chiuso]

Naviga le tue risposte
1

In qualità di agenzia di sviluppo web, stiamo attualmente eseguendo la ricostruzione di un sito per un'agenzia di reclutamento. Il sito attuale consente ai richiedenti di registrarsi come lavoratori temporanei per l'agenzia (il nostro cliente) a cui verranno quindi assegnati contratti a breve termine come e quando richiesto.

Il modulo di domanda sul sito corrente per questi lavoratori cattura e un'enorme quantità di dati davvero sensibili, inclusi dettagli bancari, recapiti, istruzione e persino una dettagliata anamnesi del richiedente. Sorprendentemente lo fa su una normale connessione HTTP senza SSL, e i dati sono memorizzati in un DB mysql utilizzato anche dal sito. IMHO è negligente al meglio.

Il nostro cliente desidera lo stesso comportamento sul nuovo sito che stiamo sviluppando, ma ovviamente nutriamo forti preoccupazioni in merito alla legalità e ai problemi di sicurezza nell'implementazione dell'attuale logica aziendale.

Qualcuno può dare una guida su cosa può essere archiviato legalmente, come conservare al meglio le informazioni e forse eventuali scenari alternativi che possiamo mettere al cliente? Per chiarire siamo soggetti alle leggi sulla protezione dei dati del Regno Unito (UE) per questo sito.

Ovviamente il primo passo che stiamo compiendo è quello di servire il nuovo sito via HTTPS, ma a parte questo il meglio che possiamo fare finora è catturare solo le informazioni non sensibili e richiedere all'agenzia di reclutamento di fare richieste separate dei candidati per ottenere le cose cattive come numeri di conto bancario e storia medica.

qualsiasi aiuto molto apprezzato ......

    
posta bharling 08.12.2016 - 08:53
fonte

1 risposta

2

Quando parli di protezione dei dati, puoi fare riferimento a questa pagina per il Regno Unito. L'essenza di questo è sotto:

Everyone responsible for using data has to follow strict rules called ‘data protection principles’. They must make sure the information is:

  • used fairly and lawfully
  • used for limited, specifically stated purposes
  • used in a way that is adequate, relevant and not excessive accurate
  • kept for no longer than is absolutely necessary
  • handled according to people’s data protection rights
  • kept safe and secure not transferred outside the European Economic Area without adequate protection

There is stronger legal protection for more sensitive information, such as:

  • ethnic background
  • political opinions
  • religious beliefs
  • health
  • sexual health
  • criminal records

Ora la parte che dice "tenuto al sicuro" deve essere implementata sulla base dell'interpretazione della persona che implementa la sicurezza. Il fatto è che un giudice esaminerà le misure che hai preso e poi riterrà che tali misure siano adeguate.

Non esiste una legge che dice che è necessario utilizzare HTTPS, ma non utilizzarlo potrebbe essere considerato non in linea con le buone pratiche del settore. Quindi, significa che non stai proteggendo adeguatamente le informazioni.

Si noti che ci sono molte altre cose da considerare come la gestione delle patch, la gestione dei cambiamenti controllata, ecc .... Per quanto riguarda le informazioni mediche ci saranno misure ancora più severe che si aspetterebbero di essere in atto, tra cui un buon sistema di controllo e contabilità per supervisionare chi accede a quali registri ea che ora.

In termini di ammende, il GDPR che sostituisce la DPA prevede sanzioni: fino al 4% del fatturato globale annuale o 20 milioni di EUR.

    
risposta data 08.12.2016 - 09:15
fonte

Leggi altre domande sui tag

Autenticazione anche con password incompleta Quanto sono pratici i codici di prova per garantire la sicurezza di un programma?