Ambiente de desarrollo seguro para la universidad que trata con datos privados

Navega tus respuestas
2

Somos un equipo de desarrollo dentro de una universidad pública estatal. Gran parte de nuestro desarrollo se relaciona con el trabajo con datos privados de estudiantes y empleados. Algunas aplicaciones llevan los datos de las bases de datos internas a soluciones basadas en la nube a través de la transferencia segura de archivos o servicios web. Las nuevas reglas provienen del sistema universitario estatal que nos rige y exige la protección entre sistemas que acceden a Internet y acceden a datos privados internos. Estas reglas no definen qué tipo de separación se requiere. El problema no es la separación entre desarrollo, organización y producción (que ya tenemos), sino proteger estaciones de trabajo de desarrollo que pueden acceder a datos privados de ataques basados en Internet.

Además de los antivirus y antispam basados en el cliente, y los servidores de seguridad y servidores proxy basados en la red, ¿cuáles son los pasos razonables que se pueden tomar para proteger las estaciones de desarrollo o los servidores de producción que necesitan hablar con las aplicaciones basadas en la nube? , de ser un conducto a datos privados?

    
pregunta Scott Guthrie 27.03.2013 - 18:54
fuente

1 respuesta

2

Eche un vistazo a la norma PCI, tiene muchas pautas sobre cómo proteger datos de tarjetas de crédito que también se pueden aplicar a cualquier información confidencial:

enlace

No todo se aplicará a su entorno, pero es un buen punto de partida. Cubre aspectos como el cifrado de datos, la administración de claves, el seguimiento de auditorías, la anonimización de datos para máquinas de prueba / desarrollo, la protección de estaciones de trabajo que tienen acceso a los datos, etc.

Construya y mantenga una red segura

  1. Instale y mantenga una configuración de firewall para proteger los datos del titular de la tarjeta
  2. No utilice los valores predeterminados suministrados por el proveedor para las contraseñas del sistema y otros parámetros de seguridad

Proteger los datos del titular de la tarjeta

  1. Proteger los datos almacenados del titular de la tarjeta
  2. Cifre la transmisión de los datos del titular de la tarjeta a través de redes abiertas y públicas

Mantener un programa de gestión de vulnerabilidades

  1. Use y actualice periódicamente el software antivirus en todos los sistemas comúnmente afectados por malware
  2. Desarrollar y mantener sistemas y aplicaciones seguros

Implementar medidas de control de acceso sólidas

  1. Restringir el acceso a los datos del titular de la tarjeta por parte de las empresas que necesitan saberlo
  2. Asigne una ID única a cada persona con acceso a una computadora
  3. Restrinja el acceso físico a los datos del titular de la tarjeta

Supervise y pruebe regularmente las redes \

  1. Rastree y supervise todos los accesos a los recursos de red y los datos del titular de la tarjeta
  2. Probar regularmente los sistemas y procesos de seguridad

Mantener una política de seguridad de la información

  1. Mantener una política que aborde la seguridad de la información

(se supone que esos pasos deben numerarse secuencialmente para que coincidan con los pasos de PCI DSS, pero StackExchange es más inteligente que yo e ignoró los números que escribí y empecé en "1" para cada encabezado)

    
respondido por el Johnny 27.03.2013 - 19:25
fuente

Lea otras preguntas en las etiquetas

¿Por qué es fácil detectar los ataques DDoS de la capa de red? Usando una dirección de correo electrónico separada para cada contacto