Estoy en una "discusión" con mi empresa sobre ellos, que muestran a todos los empleados la seguridad social y el número de cuenta / enrutamiento bancario completo en texto sin formato en una aplicación de software de gestión de recursos humanos alojada líder. Tienen la capacidad de ocultarlo, como cualquier otra aplicación que haya visto, pero se niegan a hacerlo por conveniencia. Citan cosas como que está alojado en la misma granja de servidores que la CIA.
No estoy demasiado preocupado por la seguridad en los sistemas backend, solo por el hecho de que presentan los datos a un usuario que ingresa al sistema en la parte delantera de la aplicación en texto sin formato (aunque está encriptado). Sé que es una mala práctica hacer esto, pero no puedo hacer que se muevan.
Creo que la aplicación tiene una configuración de autenticación de 2 factores para informes y más funciones vulnerables de datos. La aplicación utiliza RSA 2048 / sha256RSA.
He mencionado los hacks de Sony, White House, Anthem y OPM, pero aún así se han encogido de hombros.
¿Alguien tiene alguna sugerencia sobre cómo convencerlos de activar el enmascaramiento de estos campos (XXX-XX-1234)?
¿Existen leyes, juicios u otros tipos de orientación que podría citar para ayudar a impulsar la seguridad de esta información (como el cumplimiento de PCI DSS)?
Supongo que la verdadera pregunta debería ser: ¿Cómo explico esto con elegancia a "las personas que no entienden el riesgo real"? (Esto también lo realizó el "administrador de riesgos")
Solicitado ramificaciones legales aquí