¿Capturando datos confidenciales dentro de las restricciones legales? [cerrado]

Navega tus respuestas
1

Como agencia de desarrollo web, actualmente estamos realizando una reconstrucción del sitio para una agencia de contratación. El sitio actual permite a los solicitantes registrarse como trabajadores temporales para la agencia (nuestro cliente), a quienes luego se les asignarán contratos a corto plazo cuando sea necesario.

El formulario de solicitud en el sitio actual para estas capturas de trabajadores y una enorme cantidad de datos realmente confidenciales, incluidos los datos bancarios, datos de contacto, educación e incluso el historial médico detallado del solicitante. Sorprendentemente, lo hace en una conexión HTTP normal sin SSL, y los datos se almacenan en una base de datos mysql también utilizada por el sitio. En mi humilde opinión es negligente en el mejor de los casos.

Nuestro cliente desea el mismo comportamiento en el nuevo sitio que estamos desarrollando, pero obviamente tenemos grandes preocupaciones sobre la legalidad y la seguridad de implementar la lógica de negocios actual.

¿Alguien puede dar alguna orientación sobre qué se puede almacenar legalmente, cómo almacenar mejor la información y tal vez algún escenario alternativo que podamos presentar al cliente? Para aclarar, estamos sujetos a las leyes de protección de datos del Reino Unido (UE) para este sitio.

Obviamente, el primer paso que estamos dando es servir el nuevo sitio a través de HTTPS, pero aparte de eso, lo mejor que podemos hacer hasta ahora es simplemente capturar la información no confidencial y requerir que la agencia de contratación realice consultas separadas de los solicitantes para obtener información desagradable como números de cuentas bancarias e historial médico.

cualquier ayuda muy apreciada ......

    
pregunta bharling 08.12.2016 - 08:53
fuente

1 respuesta

2

Al hablar de protección de datos, puede consultar esta página para el Reino Unido. La esencia de esto está abajo:

  

Todos los responsables del uso de datos deben seguir reglas estrictas llamadas   «Principios de protección de datos». Deben asegurarse de que la información es:

     
  • usado de manera justa y legalmente
    •   
  • se utiliza con fines limitados, específicamente establecidos
    •   
  • se usa de una manera adecuada, relevante y no demasiado precisa
    •   
  • mantenido por no más de lo absolutamente necesario
    •   
  • manejado de acuerdo con los derechos de protección de datos de las personas
    •   
  • se mantiene seguro y no se transfiere fuera del Espacio Económico Europeo sin la protección adecuada
    •   

Existe una mayor protección legal para la información más sensible,   tales como:

     
  • origen étnico
    •   
  • opiniones políticas
    •   
  • creencias religiosas
    •   
  • salud
    •   
  • salud sexual
    •   
  • antecedentes penales
    •   

Ahora, la parte que dice "mantenerse a salvo y seguro" se implementará según la interpretación de la persona que implementa la seguridad. El hecho es que un juez examinará las medidas que tomó y luego considerará si esas medidas fueron adecuadas.

No hay ninguna ley que diga que debe usar el protocolo HTTPS, pero no usarlo podría considerarse que no está en línea con las buenas prácticas de la industria. Por lo tanto, significa que no está protegiendo adecuadamente la información.

Tenga en cuenta que también hay muchas otras cosas que debe tener en cuenta, como la administración regular de parches, la gestión controlada de cambios, etc. Con respecto a la información médica, habrá medidas aún más estrictas que esperarán que se implementen, incluido un buen sistema de auditoría y contabilidad para supervisar quién accede a qué registros y en qué momento.

En términos de multas, el GDPR que reemplaza a la DPA prescribe multas: hasta el 4% de la facturación global anual o € 20 millones.

    
respondido por el Lucas Kauffman 08.12.2016 - 09:15
fuente

Lea otras preguntas en las etiquetas

ssh-keygen: configuración de la clave del host sshd Suplantando encabezados de solicitud HTTP en javascript? [duplicar]