¿Qué características de seguridad y cualificaciones debemos buscar en un proveedor de respaldo en línea para un servidor web expuesto a Internet que almacena datos confidenciales?
-
En las copias de seguridad, ¿tipo de encriptación, método de transporte, calificaciones del centro de datos?
-
En el software cliente que se ejecuta en nuestro servidor: ¿Qué buscamos para determinar si el software cliente creará vulnerabilidades de ataque en el servidor? Estoy pensando específicamente en un caso en el que un atacante pretende ser el servicio del proveedor de respaldo y "restaura" un archivo malicioso en nuestro sistema u obtiene una copia de algo sensible. ¿Qué preguntas deberíamos hacer para mitigar esta posibilidad? es decir. ¿Debería el cliente autenticar el servidor del proveedor?
-
¿Es una mala práctica usar un servicio de respaldo que puede (fácilmente) restaurar archivos a su servidor? es decir. ¿Dónde puede seleccionar archivos en un panel de control basado en web y restaurar esos archivos "a pedido"?
En nuestro caso, es un servidor web de producción que ejecuta un sitio de comercio electrónico y recopila información de tarjetas de crédito. Necesitamos 1.) Mantener el cumplimiento de PCI y 2.) prevenir el tiempo de inactividad y la mala publicidad.