¿Cómo manejar la información de identificación personal (PII) como inicio?

6

Mi inicio finalmente se enfrenta a la responsabilidad potencial de manejar la PII, y nos preocupa hacerlo correctamente desde una perspectiva de riesgo, pero también para que lo hagamos correctamente.

¿Cuál sería el mejor enfoque si quisiéramos hacerlo nosotros mismos?

Actualmente no contamos con un ingeniero de seguridad, pero estamos operando de manera relativamente segura y en la plataforma de nube de Google. Hemos tomado buenas decisiones de diseño sobre el funcionamiento de la seguridad de nuestra aplicación, pero es posible que tengamos que comenzar a manejar la PII, por lo que queremos asegurarnos de que, si alguna vez está en reposo, estemos cubiertos.

Sé que Google ofrece certificaciones y documentos técnicos sobre su seguridad, pero supongo que también deberíamos obtener los nuestros, a través de un auditor externo.

Cualquier descripción de cómo hacerlo sería sumamente útil, desde las mejores prácticas y consideraciones hasta las implementaciones obligatorias.

    
pregunta redband 25.09.2017 - 20:07
fuente

3 respuestas

1

Esta es una pregunta muy amplia, por lo que sugiero una respuesta amplia. Consulte el NIST Cybersecurity Framework , que es un plan integral que puede seguir para ayudar a garantizar que cubra todas las bases.

    
respondido por el John Deters 25.09.2017 - 21:18
fuente
0
  

Por lo tanto, queremos asegurarnos de que, si alguna vez está en reposo, tengamos cobertura.

Si está almacenando la PII, querrá asegurarse de que los datos estén encriptados cuando se almacenen utilizando algoritmos criptográficos sólidos, como AES, mientras que la clave de encriptación sea compatible con el algoritmo y sus necesidades comerciales. Si utiliza el cifrado para almacenar sus datos, es fundamental que almacene de forma segura las claves de descifrado / cifrado. Lo ideal es que las claves de descifrado se almacenen tan separadas de los datos como sea posible. Si su aplicación puede admitir el uso de un Módulo de seguridad de hardware (HSM), utilice uno.

Pidió algunas prácticas recomendadas al proteger los datos en reposo. Algunas prácticas recomendadas al usar el cifrado para proteger los datos en reposo, es posible que desee pensar en implementar:

  • No intente hacer crecer su propio método de cifrado criptográfico
  • Siempre use algoritmos de encriptación fuertes como AES 256 o RSA
  • si es necesario almacene las contraseñas en formato hash con un salt
  • Cambiar las claves de cifrado periódicamente

La lista anterior es solo una sugerencia de algunas buenas prácticas y no pretende ser exhaustiva. Sobre todo, si no necesita almacenar la PII, no la almacene.

    
respondido por el Anthony 26.09.2017 - 00:30
fuente
-1

Como @Robert Mennel especificado en los comentarios, la respuesta a su pregunta depende en gran medida del tipo de la información de identificación personal que está manejando.

Que yo sepa, si está manejando:

  • La información de salud personal que se le exige a nivel federal es Cumple con HIPAA .

  • Información de la tarjeta de crédito: debe ser compatible con PCI DSS .

  • General PII: verifique la certificación ISO o el cumplimiento con SOC1.

respondido por el KareemElashmawy 25.09.2017 - 23:06
fuente

Lea otras preguntas en las etiquetas