Usted es absolutamente responsable de mantener la confidencialidad de los registros financieros.
Según las leyes y los precedentes legales de su país (exención de responsabilidad: IANAL ) puede ser el caso que usted (como empresa) podría ser procesado o demandado por negligencia en caso de incumplimiento. Veo que su perfil dice que está en el Reino Unido, por lo que organizaciones gubernamentales como ICO y FSA puede involucrarse si ocurre una violación y los clientes terminan siendo estafados por ello. Tienen un historial de entregar grandes multas a las empresas que actúan de manera irresponsable con los detalles financieros de sus clientes. Además de esto, los clientes individuales pueden demandarlo por separado, en función de sus pérdidas individuales.
Tenga en cuenta que una infracción que filtra la información personal de un cliente debido a medidas de seguridad insuficientes lo pone automáticamente en violación de la Ley de protección de datos 1988 , que es algo por lo que ICO puede procesarlo.
De hecho, su banco o procesador de tarjetas puede requerir que sea compatible con PCI en los casos en que almacene credenciales financieras, por lo tanto, si ese es el caso, puede estar violando el contrato que tiene con ellos. En tal caso, pueden revocar sus servicios, multarle o incluso demandarlo ante un tribunal.
Mi consejo es el siguiente:
- Examine su sistema e identifique qué información debe protegerse y cuál es el mejor método para protegerla. Para las contraseñas, debe utilizar un algoritmo de derivación de claves como PBKDF2 o bcrypt, no un hash como SHA1. Para obtener información financiera como números de cuenta y códigos de clasificación, debe utilizar un HSM , o al menos un cifrado simétrico con una -la clave de memoria. ¿Puede externalizar su almacenamiento de credenciales y / o el procesamiento de pagos a un proveedor externo? Cree una lista de sugerencias y tiempos de desarrollo esperados, y priorícelos por severidad. Sea realista: decir que todo es crítico hará que su jefe se apague.
- Diríjase a su jefe y explique que la forma actual en que su compañía está almacenando información financiera es negligente y que sus medidas de seguridad actuales son insuficientes. Explique por qué es malo, cuál es la legislación adecuada a su alrededor (especialmente la DPA 1998 y otras regulaciones de la OIC) y los estándares que se espera que la mayoría de las empresas cumplan (PCI-DSS, ISO / IEC 27000 , etc.). Asegúrese de que reconozca completamente el potencial de sanciones financieras severas (y potencialmente legales) en caso de que se le incumpla.
- Pídale que hable con una compañía de seguridad de la información que se especializa en PCI-DSS o regulaciones financieras similares. A menudo, dan una consulta gratuita (o barata) para repasar cualquier inquietud que tenga, y le dan algunos consejos. Desde allí puede decidir cuáles son los riesgos. Puede que valga la pena realizar una prueba de penetración exhaustiva en su aplicación web, ya que almacena detalles financieros. Esto es un gasto, pero es mucho más barato que ser demandado.
- Tome medidas en función de la información que obtenga y asegúrese de que un profesional examine los resultados.
Si, después de todo esto, su jefe aún decide ignorar los serios problemas de seguridad y privacidad que tiene su aplicación web, pídale que indique por escrito que no puede y no será responsable de ningún problema legal relacionado con la seguridad de los datos. infracciones durante su empleo. Si se niega a hacerlo, recomiendo encarecidamente encontrar otro trabajo y reportarlo al ICO. No vale la pena los posibles problemas legales.