acceso interno a datos confidenciales de seguridad en una empresa

1

Estoy creando un software que requiere mucha seguridad para los datos. Los datos del usuario en esencia son muy sensibles. Así que estamos construyendo una gran cantidad de cifrado, autenticación de 2 pasos, tokenización de llamadas de aplicaciones, etc. Ahora nuestros administradores de DBA y de soporte tienen acceso a estos datos a través de llamadas de interfaz de base de datos tokenized, sin manipulación directa de base de datos. También tienen que iniciar sesión, esencialmente para soportar problemas que vienen del campo. Por ejemplo, si hay algún daño en el registro en la base de datos y se recibe una queja del usuario, los administradores de bases de datos pueden iniciar sesión y encontrar los datos del usuario y tratar de corregir el daño. Pero esto significa esencialmente que estarán accediendo a los datos del usuario. ¿Es esto ético dada la cantidad de seguridad que estamos brindando? ¿Existe una forma estándar de la industria de acceder a estos datos (posibles acuerdos contractuales que no filtren estos datos, otorgando permisos selectivos, etc.)? ¿O hay otras formas seguras de hacer esto?

    
pregunta Slartibartfast 08.05.2015 - 08:02
fuente

1 respuesta

1

Muchas de las respuestas correctas para usted dependerán de las jurisdicciones a las que esté sujeto (leyes, reglamentos, contratos con clientes, etc.)

Pero, en cuanto a las formas estándar de la industria de tratar con el acceso a los datos del cliente, necesitaría:

  • un sistema de emisión de boletos para registrar los cambios solicitados por los clientes (y, por lo tanto, permiso de acceso)
  • separación clara de funciones para que todas las partes se aseguren de que ninguna persona pueda pasar por alto los controles
  • registro de todos los sistemas involucrados para rastrear la actividad del acceso a los datos y también para mostrar el estado de los datos antes y después del acceso
  • auditoría interna independiente de todo lo anterior para asegurarse de que todo sucedió de acuerdo con el plan

Pero, como dije, los detalles de todas estas cosas dependerán de las leyes y regulaciones a las que esté sujeto.

    
respondido por el schroeder 08.05.2015 - 08:09
fuente

Lea otras preguntas en las etiquetas