Seguridad social y números de cuentas bancarias en texto sin formato en la aplicación web

3

Estoy en una "discusión" con mi empresa sobre ellos, que muestran a todos los empleados la seguridad social y el número de cuenta / enrutamiento bancario completo en texto sin formato en una aplicación de software de gestión de recursos humanos alojada líder. Tienen la capacidad de ocultarlo, como cualquier otra aplicación que haya visto, pero se niegan a hacerlo por conveniencia. Citan cosas como que está alojado en la misma granja de servidores que la CIA.

No estoy demasiado preocupado por la seguridad en los sistemas backend, solo por el hecho de que presentan los datos a un usuario que ingresa al sistema en la parte delantera de la aplicación en texto sin formato (aunque está encriptado). Sé que es una mala práctica hacer esto, pero no puedo hacer que se muevan.

Creo que la aplicación tiene una configuración de autenticación de 2 factores para informes y más funciones vulnerables de datos. La aplicación utiliza RSA 2048 / sha256RSA.

He mencionado los hacks de Sony, White House, Anthem y OPM, pero aún así se han encogido de hombros.

¿Alguien tiene alguna sugerencia sobre cómo convencerlos de activar el enmascaramiento de estos campos (XXX-XX-1234)?

¿Existen leyes, juicios u otros tipos de orientación que podría citar para ayudar a impulsar la seguridad de esta información (como el cumplimiento de PCI DSS)?

Supongo que la verdadera pregunta debería ser: ¿Cómo explico esto con elegancia a "las personas que no entienden el riesgo real"? (Esto también lo realizó el "administrador de riesgos")

Solicitado ramificaciones legales aquí

    
pregunta Lucky Lindy 26.10.2016 - 15:52
fuente

2 respuestas

4

Aquí hay 2 cosas: almacenar los datos en un formato legible y mostrarlos. Necesitan que los datos estén en un formato legible (por el programa) porque se necesita para enviar dinero a las personas y, por razones impositivas, o para cobrar salarios.

Sin embargo, no deberían mostrarle información confidencial que no necesita ver. Si quisiera, podría usar toda esa información para actividades maliciosas. Es su responsabilidad reducir los vectores de ataque sin reducir la funcionalidad, dándole que esta información está haciendo un vector de ataque innecesario por poca o ninguna funcionalidad.

El hecho de que la granja de servidores sea igual a la CIA no significa nada. Es como decir que vives al lado de una estación de policía para que no te roben. Además, no deben saber que están en la misma granja que la CIA porque ahora le dice a uno de los lugares donde la CIA tiene servidores y esa es la información que la CIA no quiere que nadie sepa debido a posibles ataques contra ellos. Por último, no le confiaría a ningún organismo gubernamental mis datos, la mayoría de las violaciones de datos de los denunciantes son datos a los que el informante no debería tener acceso (Edward Snowden, Chelsea Manning, Harold Martin)

    
respondido por el Topher Brink 26.10.2016 - 16:30
fuente
-1

Si entiendo su punto correctamente, le preocupa el hecho de que su se presente a usted cuando usted inicie sesión?

Si es así, es una cuestión de "malas prácticas" (excepto si existe una ley que obligue a un proveedor de servicios a ocultar datos personales al propietario de los datos). Acabo de verificar en amazon.com y en mi cuenta bancaria: ambos me muestran un número parcial, podría usar dichas referencias.

Sin embargo, no hay sistemas / seguridad aplicativa involucrados aquí: si los datos se almacenan adecuadamente (= de manera suficientemente segura con las restricciones del uso previsto), el hecho de que se oculte cierta información es para evitar que otras personas la reutilicen. propietario de los datos (alguien mirando por encima del hombro, por ejemplo).

Por lo tanto, su única forma es explicar que los datos presentados a simple vista pueden ser pasados por alto por otra persona, con posibles (aunque complicadas de probar) implicaciones para el proveedor de servicios.

Lamentablemente, el diálogo sobre "datos almacenados en el mismo lugar que CIA" no se aplica aquí, lo que significa que esta discusión se lleva a cabo entre personas que no comprenden el riesgo real (nuevamente, si obtuve correctamente lo que está preguntando). ).

    
respondido por el WoJ 26.10.2016 - 17:32
fuente

Lea otras preguntas en las etiquetas