¿Una página web en la que los visitantes envíen una dirección de correo electrónico y un número de teléfono deben recibir servicio solo a través de HTTPS?

2

En uno de nuestros sitios web, hay un enlace que apunta a una página para descargar algunos archivos PDF. Los visitantes deben enviar su nombre, título de trabajo, empresa, número de teléfono y dirección de correo electrónico y hacer clic en el botón "enviar" antes de llegar a la página donde se encuentra el archivo PDF. Sin embargo, la página donde recopila el nombre, la dirección de correo electrónico, etc. no se sirve a través de HTTPS. Personalmente, creo que cualquier página que recopile información de carácter personal debe servirse a través de HTTPS, pero necesito algo para presentar a la administración antes de hacer este cambio (de HTTP a HTTPS). ¿La práctica de recopilar los detalles anteriores a través de una página que no es HTTPS viola nuestra política si nos comprometemos a proteger la PII de nuestros clientes y visitantes?

    
pregunta Sree 04.04.2017 - 09:49
fuente

1 respuesta

3

La información personal (PII) debe estar protegida.

El nombre y los correos electrónicos son. La dirección IP también puede ser.

Si está en tu póliza, debes hacerlo.

En Europa, es una obligación, como en la mayoría de los países.

Por lo tanto, debes usar https.

Si no usa https en todas sus páginas, incluidas las que no tienen PII, es vulnerable a los ataques MitM / sslstrip, por lo que no los protege correctamente.

Debería usar https en todas sus páginas y HSTS.

    
respondido por el Tom 04.04.2017 - 16:13
fuente

Lea otras preguntas en las etiquetas