¿Qué características de seguridad y calificaciones debemos buscar en un proveedor de respaldo en línea?

4

¿Qué características de seguridad y cualificaciones debemos buscar en un proveedor de respaldo en línea para un servidor web expuesto a Internet que almacena datos confidenciales?

  1. En las copias de seguridad, ¿tipo de encriptación, método de transporte, calificaciones del centro de datos?

  2. En el software cliente que se ejecuta en nuestro servidor: ¿Qué buscamos para determinar si el software cliente creará vulnerabilidades de ataque en el servidor? Estoy pensando específicamente en un caso en el que un atacante pretende ser el servicio del proveedor de respaldo y "restaura" un archivo malicioso en nuestro sistema u obtiene una copia de algo sensible. ¿Qué preguntas deberíamos hacer para mitigar esta posibilidad? es decir. ¿Debería el cliente autenticar el servidor del proveedor?

  3. ¿Es una mala práctica usar un servicio de respaldo que puede (fácilmente) restaurar archivos a su servidor? es decir. ¿Dónde puede seleccionar archivos en un panel de control basado en web y restaurar esos archivos "a pedido"?

En nuestro caso, es un servidor web de producción que ejecuta un sitio de comercio electrónico y recopila información de tarjetas de crédito. Necesitamos 1.) Mantener el cumplimiento de PCI y 2.) prevenir el tiempo de inactividad y la mala publicidad.

    
pregunta Nick 13.03.2012 - 15:12
fuente

1 respuesta

6

Yo diría que el aspecto de cumplimiento de PCI va a complicar las cosas más que un poco y que realmente debería hablar con su QSA sobre los requisitos. Aunque no soy un QSA, me parece que si realiza una copia de seguridad de los datos de la tarjeta, ese servicio de copia de seguridad pasará a formar parte de su entorno de datos del titular de la tarjeta.

Aparte de eso, una cosa que siempre busco en las instalaciones de respaldo en línea es si sus datos están encriptados cuando se almacenan con ellos.

Lamentablemente, no es tan simple como estar cifrado o no, ya que todos los proveedores dirán que sí lo está. algunos proveedores utilizan una clave común para el cifrado, lo que significa que pueden obtener acceso a los datos sin su contraseña, lo que significa que si su seguridad se ve comprometida, esto podría hacer que sus datos se vean comprometidos

Por lo tanto, una cosa importante a considerar es si sus datos están encriptados de tal manera que el compromiso de sus sistemas no comprometa sus datos.

Un servicio que he usado para copias de seguridad es SpiderOak y su modelo es manejar el cifrado del lado del cliente para que la clave de cifrado no esté disponible en su servidor. El inconveniente aquí es que si olvida la contraseña, no hay forma de que recuperen los datos.

La pregunta sobre la posibilidad de que el servicio pueda restaurar datos en sus servidores parece ser un problema de seguridad, ya que parece que el proveedor necesitaría un acceso de escritura persistente a su servidor.

    
respondido por el Rоry McCune 13.03.2012 - 16:02
fuente

Lea otras preguntas en las etiquetas