Si estoy ejecutando un sitio web que, por ejemplo, responde a una encuesta, ¿debo proteger los datos del usuario de la divulgación si inicialmente se informa a los usuarios que es inseguro? No estoy almacenando datos financieros o números de seguridad social, solo opiniones, nombres (de usuarios) y correos electrónicos.
¿Esperas que el usuario lea el acuerdo? De Verdad? Eso simplemente no sucede, es un usuario raro que lee el EULA en lugar de simplemente hacer clic en siguiente o marcar esa casilla de verificación que dice que lo leyeron.
En estos días, existe la suposición implícita de que usted se preocupará por lo que está haciendo, de la misma manera que espera que un cirujano sepa qué órgano extraer, e incluso si firma un pedazo de papel. Antes de someterse a una cirugía, acordar no demandar si le extirpan una pierna en lugar de un riñón, el deber implícito de atención y la posterior pesadilla publicitaria cuando está enloquecido en la televisión porque cortaron una pierna (¡juego de palabras!) carrera para el bien.
"Saber" que su inseguridad es una cosa difícil ... ¿Cómo lo saben? ¿Un buen mensaje grande en el sitio (que es fácilmente ignorado)? ¿Un ToS largo en el que nadie se moleste en hacer clic, y mucho menos leer? ¿Una ventana emergente intrusiva, que el usuario típico no leerá y hará clic derecho para acceder al sitio?
Entonces, ¿está bien no proteger estos datos?
Si esta información fuera completamente anónima, diría "quizás". Maaaaybe incluso "probablemente", dado un poco más de información.
Dado que la información incluye direcciones de correo electrónico, y se correlaciona entre nombres y opiniones (¿sobre qué? ¿Política? ¿Religión? ¿Preferencias sexuales? ¿Empleador? ¿Preferencias religiosas o sexuales del empleador?) Diría que es un rotundo "No tanto".
Una vez más, aún depende de la información precisa que hay y de por qué cree que el usuario lo sabe (por ejemplo, mostrar comentarios en el blog es bastante obvio). Además, cuando dice "seguro" y "proteger", estos términos no son completamente inequívocos ... Mi suposición es que se está refiriendo a "proteger de la divulgación", obviamente aún desea evitar la Inyección de SQL, XSS, etc. .
Para agregar, aunque hay muchos "depende" aquí, si tienes dinero y un usuario puede llorar, entonces te abres a demandas civiles.
Lea otras preguntas en las etiquetas web-application requirements