Responsabilidad de vulnerabilidad de la Web / Aplicación [cerrado]

Navega tus respuestas
0

Mientras auditaba algunas aplicaciones web y sitios web, descubrí algunas vulnerabilidades graves que ya he marcado (responsable, por supuesto). Una de las cosas que noté fue que varias compañías de desarrollo habían trabajado en partes de esta aplicación y eso me hizo pensar. En el caso de una violación de la seguridad o de una fuga de datos, ¿quién es el responsable final de eso? Estoy basado en el Reino Unido, por lo que me referiré a la legislación del Reino Unido aquí, pero estoy seguro de que lo mismo podría aplicarse en su región.

No estoy hablando de casos en los que los estudios de desarrollo tienen contratos que los eximen de cualquier vulnerabilidad, sino más en los casos en que no existe un contrato entre el desarrollador (es) y el negocio. Por ejemplo, una aplicación en particular era vulnerable a la inyección de SQL y fue desarrollada por un desarrollador muy joven. Es una aplicación orientada al público, por lo que una gran cantidad de datos de clientes jugosos se almacenaron en la base de datos.

Si se violaba la base de datos y se exponía la información privada de los clientes, esto constituiría una violación de la Ley de Protección de Datos de 1998. ¿Quién es el responsable final de esa violación? ¿El negocio como el que presta el servicio? ¿Los desarrolladores, ya que son los que introdujeron la falla que permitió el acceso (a sabiendas o no)? ¿La empresa de desarrollo de terceros para proporcionar el trabajo? Si bien el negocio debería ser el responsable final de la seguridad de los datos del cliente, se podría argumentar que alguien rompió la Ley de uso indebido de computadoras de 1990 al introducir una vulnerabilidad a sabiendas o sin saberlo, permitiendo que la aplicación se vea comprometida. Mi pregunta es que solo el negocio estaría en la línea de fuego, ¿o los desarrolladores también?

También debe considerarse la atribución. Si un desarrollador senior recoge el script anterior, realiza cambios y no realiza la diligencia debida para detectar vulnerabilidades, eso los hace ahora responsables en lugar del desarrollador original, o ambos están ahora en la línea de fuego.

Solo para aclarar: no estoy buscando un consejo legal fuerte aquí, pero vale la pena hacer la pregunta de responsabilidad.

    
pregunta ScottMcGready 15.01.2015 - 12:01
fuente

2 respuestas

1

IANAL - Supongo que la empresa sería responsable de la violación de la protección de datos, ya que normalmente serían los que tenían el control de los datos antes de su entrada / carga en el sistema. Si pudieran demostrar que la infracción se debió a una falla de seguridad en el software, probablemente estarían en una buena posición para demandar a la compañía de desarrollo por cualquier pérdida, ya que la negligencia profesional habría sido la causa de la infracción.

Si el desarrollador individual que trabajó en él era junior / senior realmente no importa, ya que es la empresa de desarrollo la que sería la entidad legalmente responsable. Por supuesto, la compañía de desarrollo podría entonces optar por tomar medidas disciplinarias contra su empleado si los encuentra responsables, pero no creo que tenga ninguna relación con la responsabilidad legal (esto puede ser diferente para el caso de los directores de la compañía y empresas sin responsabilidad limitada).

    
respondido por el rdans 15.01.2015 - 12:31
fuente
0

Vista personal sobre esto (la ley puede ser diferente):

Al final del día, la empresa será responsable en caso de incumplimiento o pérdida de datos. La razón principal detrás de esto es que el negocio es el que almacena los datos y otra información importante y no la compañía de desarrollo. Esto se aplica si no hay un contrato específico vigente que establezca que la compañía de desarrollo tiene que parchar todas las vulnerabilidades de seguridad.

Algunas empresas de desarrollo dirán que solucionarán todos los problemas de seguridad que encuentren en el código cuando se entregue el código. ¿Qué pasa con las hazañas que se hacen públicas / conocidas después de que se entregó el código? Si no hay un contrato establecido con el desarrollador, depende de usted mantener el código y esto también incluye el mantenimiento de la seguridad. (Asegurándose de que esté parchado contra las amenazas más recientes)

En términos de atribución, ese es un tema muy interesante porque la seguridad no debería caer solo en los hombros de los desarrolladores. Están muy ocupados solucionando todo tipo de defectos, agregando requisitos ya, ¿realmente quieren que se conviertan en sus expertos en seguridad y encuentren fallas en el código escrito por otros antes que ellos? Mi respuesta para esto es: No ponga a los desarrolladores a cargo de la seguridad. Haga que estén conscientes de la seguridad y pídale a otra persona que verifique y aborde continuamente los problemas de seguridad en las aplicaciones.

Respuesta final: 1. El negocio es responsable en caso de una fuga de datos o una violación de la seguridad. Culpar a los desarrolladores solo reflejaría el hecho de que no existe un programa de seguridad adecuado.

    
respondido por el sir_k 15.01.2015 - 16:40
fuente

Lea otras preguntas en las etiquetas

Usando bcrypt en la extensión de Chrome [cerrado] ¿Cómo se asignan las claves openvpn / easy-rsa a las variables del algoritmo RSA?