¿La información semisensible exige cifrado / seguridad? [cerrado]

Navega tus respuestas
0

Desde que se solicitó que esta pregunta fuera reescrita:

¿Se requiere SSL (o algún otro cifrado equivalente) en el caso siguiente? Desde un sitio web de una pequeña empresa local, ¿hay algún daño que pueda hacer un atacante con información semi-sensible del cliente (por ejemplo, la lista de elementos a continuación)?

Original:

Empecé a trabajar en el rediseño del sitio web de un cliente. Son una pequeña empresa y su sitio web tiene una configuración de sistema muy básica. Nadie paga en línea, pero los artículos se reservan al completar un formulario. A partir de ahora, esta información se envía sin ningún tipo de seguridad / cifrado. La información incluye:

  • nombre
  • número de teléfono
  • dirección
  • correo electrónico

Eso es tan delicado como es posible, es decir, no hay información de la tarjeta de crédito, contraseñas ni nada de eso.

¿Este tipo de información constituye algún tipo de seguridad (por ejemplo, SSL)? ¿Qué tan sensible debe ser la información para que se requiera seguridad? ¿Existe un estándar de la industria?

    
pregunta souldzin 22.11.2013 - 18:08
fuente

3 respuestas

2

Razones para usar HTTPS:

Encriptación: como dice el comentario de @ mah, el tráfico HTTPS es difícil de leer y / o cambiar por un hombre en el medio.

Verificación de identidad: un certificado SSL es una prueba para el usuario de que el contenido que se sirve en realidad proviene del servidor que pretende ser.

En otras palabras, HTTPS no solo cifra la información, sino que también trata de garantizar que el servidor con el que el usuario está hablando sea realmente el servidor que cree que es. Si el sitio de su cliente es HTTP, un competidor u otra parte podría falsificar el sitio web por completo para que el usuario realmente esté hablando con otro sitio web y sea fácil imaginar formas de abusar del cliente de una compañía que no le gusta con una El sitio web que controlas. El hombre en el medio ni siquiera es necesario entonces. Para mí, esta es una buena razón para usar HTTPS en su caso.

Si el atacante lo intentó con un sitio HTTPS, el navegador debería dar la alarma. En estos días, esas alarmas son difíciles de advertir para el usuario de la web.

    
respondido por el mcgyver5 22.11.2013 - 18:44
fuente
2

Nombre, dirección, teléfono y correo electrónico son Información de identificación personal (PII) Aunque no es probable que sea un negocio regulado, debe proteger a su cliente cifrando esta información en tránsito mediante SSL y también protegiéndola en el sistema.

Pregúntese cómo quiere que se transmita su información si usted fuera un cliente. La mayoría pensaría que cifrar esos detalles sería algo bueno, y tal vez incluso suponer que lo está haciendo como una cuestión de sentido común. Considérelo como la regla de oro de los datos: trate los datos de otros como le gustaría que se traten los suyos.

    
respondido por el GdD 22.11.2013 - 21:15
fuente
0

La información personal, como nombres, direcciones de correo electrónico, números de teléfono y direcciones de correo no es privada. Esta es información que debe compartirse con otros. SSL no protege realmente la información que ya está disponible públicamente en formatos más accesibles, como la guía telefónica.

(Sin embargo, necesita una buena política de privacidad al almacenar y utilizar la información personal de las personas, para asegurar a sus usuarios el motivo por el que necesita su información personal y para qué desea utilizarla. Esto se debe principalmente a que algunas organizaciones tienen un historial de vender sus bases de datos de información personal contra los deseos de sus clientes. Sin embargo, SSL no ayuda con esto.)

¿NECESITA SSL?

    
respondido por el Harikrishnan 22.11.2013 - 18:35
fuente

Lea otras preguntas en las etiquetas

Prevención contra el virus Cryptolocker solicitando una contraseña para todas las aplicaciones de instalación en Windows 7 fuerza de cifrado con sal "débil"