Al almacenar información de identificación privada en una aplicación web, ¿cuáles son las mejores prácticas "estándar de la industria"? [cerrado]

Question

Al almacenar información de identificación privada en una aplicación web, ¿cuáles son las mejores prácticas "estándar de la industria"? [cerrado]

#1 de D.W. (4 votos)
#2 de david6 (3 votos)
#3 de Paul Ackerman (1 votos)
#4 de Rory Alsop (1 votos)
#5 de schroeder (0 votos)

4

Estoy creando una aplicación web alojada (SaaS) que almacena el PII como nombre, dirección de correo electrónico y empleador del usuario. A partir de ahora, no tengo la intención de almacenar números de tarjetas de crédito, números de cuentas bancarias, números de seguridad social, etc.

Me gustaría poder afirmar que mi servicio sigue las prácticas de seguridad "estándar de la industria", pero no estoy muy claro qué significa esto hoy. Por ejemplo, ¿la SHA-1 o MD5 con una contraseña que contiene una sal que está correctamente salada sigue siendo considerada estándar de la industria y aceptable?

En general, ¿qué pautas siguen las personas para determinar las prácticas "estándar de la industria" desde todos los ángulos, para que 1) esté adecuadamente protegido contra actividades maliciosas y 2) no sea criticado en los tribunales si alguna vez lo demandan por una fuga de datos? .

Además, ¿cómo cambia esto si almacena una PII más sensible como un número de seguridad social?

web-application privacy compliance

pregunta Michael Berkhart 02.12.2011 - 21:16

fuente

5 respuestas

Lea otras preguntas en las etiquetas web-application privacy compliance

vulnerabilidad de redireccionamiento de URL Servidores: por qué un dispositivo separado para un firewall, además de la reducción en la falsificación de IP o el aumento en el rendimiento

score 4 · Answer 1

El almacenamiento de contraseñas con hash MD5 o SHA1 no es la mejor práctica. La mejor práctica es hash de contraseñas usando bcrypt, scrypt o PBKDF2 (vea también esta pregunta ) o para usar un proveedor de autenticación de terceros, como OpenID o (shudder) Facebook Connect.

Sigo con la recomendación de @ david6 de que OWASP es una buena fuente de información para los estándares de la industria sobre seguridad web.

También recomiendo que lea las siguientes dos introducciones para asegurar el desarrollo de software web:

Un excelente resumen para desarrolladores : esta debería ser una lectura obligatoria para todos los programadores que realizan desarrollo web.
Tutoriales de seguridad web en Google Code University

Proporcionan información que creo que todos los desarrolladores web necesitan saber. Creo que es justo decir que lo mejor es que los desarrolladores se familiaricen con los problemas de seguridad y con la forma de escribir código seguro. Para obtener más información, vea mi respuesta sobre esto .

También puede considerar probar la seguridad de su sitio web, ya sea utilizando herramientas automatizadas de análisis , o contratando a Probador de penetración o servicio de pruebas de penetración. Probablemente esto no sea necesario si su sitio no recopila ni almacena información confidencial. Pero si almacena información confidencial, entonces esta es probablemente una buena idea.

score 3 · Answer 2

3

Si no está utilizando tarjetas de crédito o información similar, (afortunadamente) no debe considerar el cumplimiento de PCI-DSS.

Para la seguridad general basada en 'estándares de la industria' para alojamiento web, consulte OWASP:

enlace

respondido por el david6 02.12.2011 - 22:58

fuente

score 1 · Answer 3

1

Yo trabajo en el gobierno. Seguimos la política de sistemas de información de justicia penal del FBI. Puede encontrarlo en aquí .

respondido por el Paul Ackerman 03.12.2011 - 03:44

fuente

score 1 · Answer 4

Debe observar las regulaciones específicas de la industria y del país, algunos ejemplos importantes son:

HIPAA (atención médica de EE. UU.)
Gramm-Leach-Bliley (Servicios financieros de EE. UU.)
Sarbanes-Oxley a nivel mundial ( J-SOx en Japón)
PCI-DSS (industria de tarjetas de crédito a nivel mundial)
Ley de protección de datos de 1998 (Reino Unido)

etc

score 0 · Answer 5

Si todo lo que está almacenando es nombre, correo electrónico y empleador, entonces las cosas se vuelven mucho más fáciles para usted. Pero OWASP / SANS / WASC es solo la mitad de la imagen. Debe observar la forma en que almacena los datos, no solo cómo se accede a ellos. Los problemas de almacenamiento se centran en la base de datos, el servidor y los controles internos de su organización que controlan quién tiene acceso a esos datos.

En cuanto al SSN, consulte: enlace

Por otra parte, lo que podría hacer para certificarse es obtener una verificación por parte de terceros de la seguridad de su sitio mediante la contratación de un probador de sitios web profesional. De esa manera, en lugar de decir que cumple con un estándar (que aún no existe), puede decir que pasó una prueba de seguridad externa. Se pueden encontrar probadores independientes a bajo costo, orientados a sitios pequeños con presupuestos ajustados.