Almacenar datos de clientes de forma segura (cumplimiento)

1

Vine en una brecha cruzada de datos en la que los desarrolladores de una organización almacenaron algunos datos de PII de los clientes en su cuenta de github. El sentido común me dice que esto es, obviamente, algo estúpido y descuidado. Mi pregunta es: ¿existen normas de seguridad que regulen específicamente dónde y cómo la organización debe almacenar los datos de los clientes que recopilan? Revisé el NIST 800-53 y busqué un poco en Google, pero no pude encontrar ninguna guía clara. Como, por ejemplo, si el servidor de la base de datos debería estar en un entorno de red interno controlado detrás de firewalls, datos cifrados, etc. En el ejemplo de violación de datos, los datos se pusieron al servidor público de Github con solo una contraseña que protege los datos y la cuenta probablemente fue compartida. Cualquier referencia a estándares específicos (y párrafos) sería de gran ayuda.

    
pregunta MR.Elegant 10.09.2018 - 07:43
fuente

2 respuestas

2

Este documento técnico de SANS analiza la arquitectura de la red y el uso de un DMZ: enlace

El PCI DSS está relacionado con los datos del titular de la tarjeta pero, si sustituye al titular de la tarjeta 'sensible', la guía es bastante buena; consulte el requisito 1.3.6 Coloque los componentes del sistema que almacenan los datos del titular de la tarjeta (como una base de datos) una zona de red interna , segregada de la DMZ y otras redes no confiables .

Del mismo modo, las PCI DSS analizan el uso del cifrado :

3.4 Haga que el PAN sea ilegible en cualquier lugar donde se almacene (incluso en medios digitales portátiles, medios de copia de seguridad y registros) utilizando cualquiera de los siguientes métodos:

  • Hashes de una vía basados en criptografía fuerte, (el hash debe ser de todo el PAN).
  • Truncamiento (el hashing no se puede usar para reemplazar el segmento truncado de PAN).
  • Tokens y almohadillas de índice (las almohadillas deben almacenarse de forma segura).
  • Criptografía sólida con procesos y procedimientos de administración de claves asociados.

En relación con almacenamiento de datos de producción , también se requiere lo siguiente en PCI DSS:

  • Los entornos de desarrollo / prueba son independientes de los entornos de producción con control de acceso implementado para imponer la separación.
  • Una separación de tareas entre el personal asignado a los entornos de desarrollo / prueba y los asignados al entorno de producción.
  • Los datos de producción (PAN en vivo) no se utilizan para pruebas o desarrollo.
respondido por el AndyMac 10.09.2018 - 16:37
fuente
0

AndyMac ha proporcionado una excelente respuesta si trabaja con datos de tarjetas de crédito de clientes. Si maneja los datos del cliente, pero no los datos de la tarjeta de crédito, puede buscar el Control de la Organización de Servicios ( SOC 1, SOC 2 ) estándares publicados por el AICPA para orientación autorizada adicional. Desde el idioma de su publicación, parece que está trabajando en la capacidad de una organización de servicio, por lo que esta guía debería ser valiosa para usted.

Uno de los principios de confianza de SOC 2 es Confidencialidad definido como

  

La protección de los datos acordados con el cliente como confidencial de   Acceso y divulgación no autorizados.

Dependiendo del servicio que ofrezca su empresa a los clientes, la gerencia de su compañía decidirá cuál de los Principios de Fideicomiso del SOC 2 se aplica en una carta formal de representación de la gerencia. Si la confidencialidad es uno de los seleccionados, la administración de su empresa tendría que implementar controles que cumplan con los criterios dados con CC como se presenta en este document . Como ejemplo, el almacenamiento seguro de los datos del cliente se abordaría en esta norma de confidencialidad en CC 6.1:

  

La entidad implementa software de seguridad de acceso lógico, infraestructura y arquitecturas sobre activos de información protegidos para protegerlos de los eventos de seguridad para cumplir con los objetivos de la entidad.

Por lo tanto, aunque puede que no haya controles exactos (y con razón en mi opinión) sobre cómo para proteger los datos de los clientes, existen estándares sobre qué se debe cumplir Para que la protección de datos sea considerada confidencial. Estas normas SOC 2 tienen peso debido al informe SOC 2 emitido a los clientes que deben ser auditados por auditores independientes como yo.

    
respondido por el Anthony 11.09.2018 - 04:22
fuente

Lea otras preguntas en las etiquetas