En busca de consejos para almacenar información confidencial - Rails, Postgres, https, pg_crypto, Digital Ocean

2

Un contrato potencial requiere que la siguiente información confidencial se guarde en una base de datos de postgres:

Bank Account type (Uk/Int)
Bank Account Number
Bank Sort Code

Passport Number
Passport Issuing Country

Driving License Number
Driving License Issuing Country
Persisting this data terrifies me.

El personal de la empresa debe acceder a esta información a través de un panel de administración en un navegador web.

¿Sería suficiente una aplicación Rails, configurada para usar https, ejecutándose en Digital Ocean donde las columnas confidenciales están cifradas con pg_crypto? ¿Hay algunos pasos adicionales que debería tomar?

Soy nuevo en seguridad, lo siento si esta es una mala pregunta.

    
pregunta Ross Kinsella 04.02.2015 - 17:46
fuente

1 respuesta

3

Hacer: utilizar el centro de datos de los centros bancarios. Que asuman la carga de la seguridad física. Necesitan proporcionar algo con su infraestructura de TI para el cumplimiento. Hasta que esté en su entorno, simplemente aloje localmente en una unidad cifrada con datos ficticios.

No: use ningún entorno de nube. Utilice un host dedicado y gestionado. Deje que el cliente pague la factura.

Sí: revise dos veces las mejores prácticas de la biblioteca pg_crypto y verifique esta palabra por palabra. enlace

Hacer: lea en general sobre pares de claves, sales y hashes aquí: enlace

Sí: agregue algunos autenticadores como preguntas de seguridad y permita la detección automatizada de comportamientos sospechosos como iniciar sesión desde una nueva IP, verificación doble del servicio al cliente (el servicio al cliente no puede ver las respuestas, solo escribe los desafíos de seguridad de los clientes y ver si pasó o falló al final)

Hacer: auditorias de seguridad periódicas. Sugiera a empresas externas que lo ayuden y respalde su propuesta con el costo adicional. Una pequeña operación de comercio electrónico (solo para inscribirse en una edición en línea y pagarla por ejemplo) cuesta alrededor de $ 5,000 para una auditoría anual realizada por una empresa reconocida.

Hacer: leer acerca de los ataques MITM. Evite que los navegadores desactualizados o los certificados autofirmados utilicen el sitio. Prefiera usar una CA altamente confiable y nunca permita certificados comodín, certificados rápidos o certificados vencidos en el lado del servidor. Todo eso es tu trabajo que hacer! Felicidades por la RFP y buena suerte.

Más por venir.

    
respondido por el Kevin Yu 04.02.2015 - 18:59
fuente

Lea otras preguntas en las etiquetas