¿Qué medidas debe tomar el sitio de acuerdo con las leyes de protección de datos?

Una respuesta anterior apuntaba al sitio web de ICO, donde puede obtener información sobre las reglas que se aplican en el Reino Unido (que son esencialmente las mismas que las de otros países de la UE, dado o dado, ya que la Ley de Protección de Datos es el Reino Unido). aplicación de la Directiva de la UE).

Solo quería agregar, sin embargo, que como con muchas otras cosas similares, la legislación de protección de datos generalmente se usa como un palo para vencerle cuando algo ya salió mal. Es decir, lo que sea mide las medidas que implementa, si pierde la información privada de los clientes de alguna manera, será culpable de una infracción y es muy probable que reciba (al menos) algunos "consejos" sobre cómo deberías haber evitado la violación en cuestión.

Dicho de otra manera, la Ley de protección de datos no exige tanto el cifrado como los principios generales establecidos, que se considerarán rotos si pierde información privada . En ese momento, se le puede pedir que acepte, p. encripte los datos en el futuro (suponiendo que, en opinión del oficial de ejecución probablemente no experto y técnico, eso hubiera ayudado).

Finalmente, ya que lo pregunta, en cuanto al cifrado de los datos almacenados, debe considerar

• Qué tan probable es que la clave de descifrado se vea comprometida al mismo tiempo que un atacante obtiene acceso a los datos (si ambos están comprometidos juntos, no tiene ningún sentido, aparte de satisfacer la mentalidad de la casilla de verificación de alguien, cuando corresponda, encriptando cosas) .
• Qué tan sensibles son los datos y si hay otros requisitos que exigen el cifrado (por ejemplo, PCI-DSS).
• La frecuencia con la que se accede a los datos (lo que afecta a las implicaciones de rendimiento, así como a la probabilidad de que un atacante pueda localizar fácilmente la clave).
• Cómo propones cifrar los datos. El cifrado de disco, por ejemplo, puede mitigar algunos problemas de seguridad física, pero no protege contra el compromiso del servidor.
• Dónde se almacenan los datos y cómo se accede a ellos. p.ej. Cifrar columnas en una tabla SQL puede hacer que sean difíciles de consultar o no (dependiendo de cómo estén cifradas).
• Seguridad física de su servidor, incluida, para configuraciones virtualizadas, seguridad de las imágenes de disco.
• Seguridad de sus copias de seguridad. En ocasiones, puede valer la pena cifrar las copias de seguridad incluso cuando el cifrado de datos en vivo no es deseable ...
• Cuánto sabes sobre el cifrado. Si vas a encriptar cosas, necesitas hacerlo bien. No tiene sentido agregar cifrado si se rompe fácilmente, y si no sabe lo que está haciendo, es fácil cometer errores que hacen que sea mucho más fácil leer los datos de lo que debería ser.

Básicamente, para obtener protección contra el cifrado de datos, debe comprender la amenaza contra la que intenta protegerse, las concesiones que realizará a cambio del cifrado y cómo utilizar correctamente las primitivas de cifrado están empleando.

En una nota relacionada, siempre recomendaría el hashing de cualquier campo de contraseña, preferiblemente utilizando una función hash segura moderna como bcrypt , aunque en muy muy poco con SHA256 salado. Hagas lo que hagas, no uses MD5 o UNIX crypt() histórico, y no olvides agregar sal. Esto no solo protege contra el compromiso de contraseña, sino que significa que los usuarios no pueden acusarlo de iniciar sesión en su cuenta bancaria con la contraseña que usaron de forma estúpida tanto en su sitio como en el de su banco.

Cuando se habla de leyes de protección de datos, lo primero que se debe tener en cuenta es que son leyes, por lo que debe consultar a un abogado en caso de duda.

Sin embargo, con cosas como las leyes del Reino Unido (sobre las que parece estar preguntando más específicamente), la guía que el comisario de información tiene en su sitio web es bastante sencilla y consagra muchos de los principios que encontrará en otros las leyes de protección de datos en la UE (ya que la Ley de protección de datos es la consagración en el estatuto del Reino Unido de la Directiva de protección de datos de la UE).

enlace

Para el Reino Unido, hay un par de indicadores rápidos que debe considerar (y hay más información en el sitio web que mencioné. Aquí hay los 8 "principios" que establece la ley, copiados sin vergüenza del sitio web de la OIC.

  

1. Los datos personales se procesarán de manera justa y legal y, en particular, no se procesarán a menos que:

        
   • (a) al menos una de las condiciones en el Anexo 2 se cumple, y
     
   • (b) en el caso de datos personales confidenciales, al menos una de las condiciones del Anexo 3 también se cumple.
     
  
2. Los datos personales se obtendrán solo para uno o más propósitos específicos y legales, y no se procesarán más de ninguna manera incompatible con ese propósito o esos propósitos.
  
3. Los datos personales serán adecuados, relevantes y no excesivos en relación con el propósito o los fines para los que se procesan.
  
4. Los datos personales serán precisos y, cuando sea necesario, se mantendrán actualizados.
  
5. Los datos personales procesados para cualquier propósito o propósitos no se guardarán por más tiempo del que sea necesario para ese propósito o esos propósitos.
  
6. Los datos personales se procesarán de acuerdo con los derechos de los interesados conforme a esta Ley.
  
7. Se tomarán las medidas técnicas y organizativas adecuadas contra el procesamiento no autorizado o ilegal de datos personales y contra la pérdida, destrucción o daño accidental de datos personales.
  
8. Los datos personales no se transferirán a un país o territorio fuera del Área Económica Europea a menos que ese país o territorio garantice un nivel adecuado de protección para > los derechos y libertades de los interesados en relación con el procesamiento de datos personales.
  

Este es un tema muy profundo y amplio. Como mínimo, debe considerar las mejores prácticas generales como OWASP y los requisitos específicos de la industria, como las pautas de PCI-DSS, HIPPA, etc., según su industria.

Es difícil responder a esta pregunta en términos generales que se aplican en todas partes, a excepción de las mejores prácticas mencionadas. La más básica sería no almacenar las contraseñas en forma clara / reversible (es decir, deberían incluirse en sal y ser un hash y almacenarlas en forma de hash; esto protege a los usuarios de las contraseñas que se revelan si su sitio está comprometido), pero esta es solo una. ejemplo.

Gran parte de la orientación se basa en la protección adecuada (consulte el Principio 7 que figura en @webtoe), pero no es muy proscriptiva respecto de lo que debería ser.

El desafío que tendrás es definir qué se encuentra dentro de cada nivel de sensibilidad. Por lo general, se acepta que los detalles de pago de los empleados son confidenciales y que sus datos médicos son muy confidenciales, por lo que la práctica comercial habitual es utilizar el cifrado, los controles de acceso, el registro, las auditorías periódicas, etc. al nivel que cumpla con los requisitos para los niveles de sensibilidad de los datos que posee. .

En general, una política de privacidad se considera esencial para este proceso, ya que sin ella no se pueden imponer fácilmente controles sobre los datos.

Los requisitos obligatorios adicionales provienen de PCI-DSS, que se centra específicamente en los detalles de la tarjeta de crédito, por lo que algunas organizaciones los incorporan a sus requisitos de protección de datos.