Questa politica dei dati è sufficiente per la mia piccola impresa nomade?

Question

Questa politica dei dati è sufficiente per la mia piccola impresa nomade?

#1 da (1 voti)
#2 da (0 voti)

0

Questo potrebbe essere il posto sbagliato da chiedere ma ho pensato di fare un tentativo: non so nulla sulla sicurezza dei dati e ho cercato di istruirmi nelle ultime due settimane e ho elaborato una politica di sicurezza dei dati / protocollo per la piccola impresa che sto iniziando. L'ostacolo principale che ho è che sto avviando questa società senza accesso a una rete sicura perché sto lavorando in remoto e viaggiando per i prossimi mesi.

Solo poche informazioni sulla piccola azienda prima della politica: è una piccola impresa (1-3 dipendenti) che esegue analisi, visualizzazione e gestione e elaborazione dei dati. I dati con cui lavoreremo potrebbero essere estremamente sensibili, ma non è necessario che siano compatibili con HIPAA (a questo punto).

Ecco la bozza della politica ...

How you can safely get your data to us

We recommend that you send us your data files via the secure file transfer service we employ. This file transfer service complies with multiple state and federal privacy regulations including HIPAA, PCI-DSS and EU-US Privacy Shield. The system uses 256-bit encryption on SSAE16 and SAS70 certified data centers. All data are deleted from their system after a fixed and short time using a proprietary deletion process. More information can be found at the file transfer service provider’s website (SendThisFile.com).

How we store your data safely

After we receive your data, we temporarily save your files to an encrypted folder on a fully encrypted computer system. This system is then disconnected from the internet and your data are transferred to a highly-secure external hard drive that is protected by 256-bit AES hardware encryption, and a brute force self destruct feature. Next, we permanently delete your files from our servers using overwriting practices to ensure they are truly unrecoverable.

How we keep your data safe during analysis

When it comes time to analyze your data, we disconnect our computer system from the internet before we connect to the encrypted external hard drive. All temporary and permanent data files are directed to the encrypted external hard drive.

How we safely get your data and results back to you

When it comes time to send your results or reformatted data back to you, we save the files from the encrypted external hard drive to an encrypted folder on a fully encrypted computer system. The hard drive is disconnected, our server is reconnected to the internet, and your information is sent via the secure file transfer service. As soon as your data are sent, we permanently delete your data files from our computer system. Once your project is completed, we will retain your data on our encrypted external hard drive for one month, or for a pre-determined period, before we permanently delete your files from our encrypted hard drive.

How we protect our communications

As an added security, all of the emails we send, including email attachments, are protected using end-to-end encryption through Tutanota.

encryption privacy

posta jtam 01.11.2017 - 00:19

fonte

2 risposte

Leggi altre domande sui tag encryption privacy

Sostituisci IPSEC VPN con Shadowsocks, è abbastanza sicuro? Privacy di accesso alle foto di Messenger e Facebook

score 1 · Answer 1

Ciò che hai citato probabilmente avrebbe impressionato alcuni clienti. Certamente non mi impressionerebbe. Non approfondirò i dettagli di implementazione o se hai bisogno di una politica di sicurezza o di una politica sulla privacy, perché ti sei perso l'elemento più importante:

Non dai agli utenti la possibilità di determinare se i loro preziosi dati sono al sicuro.

A partire da ora, il valore aggiunto della tua proposta è dalla prospettiva dell'utente solo un pezzo di testo impressionante. Una vista di dieci miglia di altezza è "dovrai fidarti di me e solo di me". Questo è tutto.

Per me, una politica minima è:

Dear customers, your data will be protected from misuse. External auditor will check the implementation (yearly/quarterly/just once). The certificate of compliance will be available to you at https://example.com/current_audit_result .

Espandilo, aggiungi i dettagli. Ma non rimuovere la verifica, perché è di fondamentale importanza per gli utenti. In generale, l'obiettivo della sicurezza è diminuire l'ammontare totale di fiducia e / o diffondere la fiducia tra molte parti. Questo perché "fidarsi di qualcuno" è un sinonimo di "essere vulnerabili a qualcuno". Gli utenti vogliono meno di questo.

Ad esempio, prendi tutte le tue proposizioni come "scolleghiamo il nostro sistema informatico da Internet" e diciamo che coprono tutti i probabili vettori di attacco. I clienti razionali presumono che in realtà farai come promesso il 60% delle volte. Con l'audit, questa stima è forse dell'80%. Questo fattore moltiplica ogni punto debole della tua proposta. Nell'ambito di tale esempio, la mancanza di controllo significa il doppio del rischio. Questo è molto.

score 0 · Answer 2

È abbastanza dettagliato, ma si concentra solo sulla gestione dei dati e non è una politica di sicurezza completa. Omissioni immediate ovvie sono i tempi: quanto è "temporaneamente" o "poco tempo" che prometti ai tuoi clienti? Per te, temporaneamente potresti significare una settimana mentre torni in ufficio da una vacanza; ai tuoi clienti, potrebbe significare non più di 5 minuti. Inoltre non dice nulla sull'isolamento del cliente: è possibile che i dati del cliente A vengano elaborati sullo stesso sistema dei dati del cliente B? Potrebbero essere mescolati insieme, in modo tale che il cliente A veda alcune informazioni del cliente B?

Ma ciò che manca davvero è la maggior parte delle altre cose che costituiscono una politica di sicurezza. Queste sono le altre considerazioni che la tua organizzazione promette di dare per costruire un quadro completo di sicurezza. Ciò include dettagli come patch computer, sicurezza della rete e monitoraggio (inclusi sistemi di rilevamento delle intrusioni e firewall), processo decisionale basato sul rischio, audit trail, miglioramento continuo, rilevamento e risposta agli incidenti, backup e disaster recovery, strumenti anti-virus, gestione sicura delle configurazioni , ciclo di vita della chiave di crittografia, ruoli e responsabilità, gestione delle identità e degli accessi, revisioni dei contratti protette e l'elenco potrebbe continuare all'infinito.

Quando qualcuno sta cercando di stabilire una nuova politica di sicurezza, consiglio loro di dare almeno un'occhiata a NIST Cybersecurity Framework . È un elenco completo di cose da considerare incluso in una politica di sicurezza.

Sicuramente non è necessario scrivere ogni goccia del framework in una policy mentre stai iniziando. E non dovresti provare, perché non conosci ancora tutti i sistemi e le architetture che dovrai proteggere, e non hai ancora esperienza con i rischi che dovrai affrontare. Ma dovresti almeno leggere le categorie funzionali elencate nell'Appendice A e scegliere e scegliere quei bit che hanno più senso per affrontare i rischi che hai inizialmente identificato. Probabilmente la cosa più importante da includere nella prima bozza di una politica di sicurezza è pianificare una revisione annuale. A partire da questo momento dell'anno prossimo conoscerai molto di più sulla tua attività e sui rischi, e potrai iniziare ad aggiungerli in modo ponderato in quel momento.