Tenemos nuestro software de nómina para instalar en nuestro servidor de archivos. Esto contiene todos los detalles de los empleados actuales y pasados. Los datos contenidos en el software de nómina incluyen impuestos, banco, número de seguro nacional, dirección, fecha de inicio, fecha de finalización, etc.
Estamos en el Reino Unido y queremos protegernos legalmente y con obligaciones morales. Queremos protegernos contra el procesamiento no autorizado o ilegal de datos personales y contra la pérdida o destrucción accidental o el daño de los datos personales.
Detalles técnicos del software:
- Las bases de datos se encuentran en un servidor SBS de Windows 2008 y la aplicación cliente se instala en una estación de trabajo de Windows 7 a 64 bits.
- Las bases de datos no están cifradas y son de un sistema a medida antiguo. Para leer la base de datos necesitará el paquete de desarrollo.
- La aplicación requiere una contraseña para ingresar al sistema.
¿Cuáles son los pasos necesarios para asegurar este sistema? ¿Cómo podemos establecer una lista de requisitos precisos (controles de acceso, permisos, auditoría, ...)? ¿Qué leyes, estándares y mejores prácticas se aplican?
Más información de sus preguntas
Un desglose de la seguridad:
- El servidor está bloqueado en la sala de servidores segura, lo que impide el acceso no autorizado.
- Los archivos de la base de datos no están cifrados, pero estarán protegidos por la lista de control de acceso.
- Los campos en la base de datos no están cifrados
- La transmisión a través de la red no está encriptada
- No hay Vlans privados en la red ni hardware que lo admita en la actualidad. Estaremos actualizando en breve
- La aplicación se desarrolló en la década de los 90, por lo que supongo que no hay cifrado sobre la transmisión y probablemente no esté desarrollada de forma segura según los estándares actuales.
Quiero saber si ACL es aceptable teniendo en cuenta que el servidor está físicamente bloqueado, la base de datos / archivos no están cifrados y todas las máquinas están en la misma LAN.
Aquí hay más información que he recopilado del Reino Unido:
Acción tomada contra la protección de datos y la privacidad y las comunicaciones electrónicas: enlace Gran cantidad de procesos judiciales contra empresas y departamentos gubernamentales
Principios de protección de datos: ico.gov.uk/for_organisations/data_protection/the_guide/the_principles.aspx Muchos tribunales Cita de la página web "Se tomarán las medidas técnicas y organizativas adecuadas contra el procesamiento no autorizado o ilegal de datos personales y contra la pérdida, destrucción o daño accidental de los datos personales".
¿Qué medidas de seguridad debo tomar para proteger los datos personales que tengo ?: ico.gov.uk/for_organisations/data_protection/security_measures.aspx Citas "Solo permita que su personal acceda a la información que necesitan para hacer su trabajo y no les permita compartir contraseñas. Cifre cualquier información personal retenida electrónicamente que pueda causar daño o angustia si se pierde o es robada ".