Salvataggio di dati critici in database (di terze parti)


12

Come si salvano i dati utente (per quanto riguarda la privacy) importanti come SSN, numeri di carta di credito e indirizzi nei database?

Scenario:
vengono salvati solo i dati che devono essere disponibili. Ad esempio, SSN viene salvato perché l'app utilizza SSN per identificare un particolare record. oppure i dettagli della carta di credito vengono salvati per rendere possibili transazioni in un clic. Alcuni di questi dati possono essere crittografati e salvati, ma alcuni dati devono essere disponibili in testo normale (ad es. per la ricerca di testo completo). L'app utilizza hosting di terze parti.

Domande:
quanto sono sicuri tali dati in testo normale (o in altro modo) su host di terze parti come HostGator o App Engine?

Salvate tali dati su host di terze parti (ed è consigliata questa pratica)?

Lo memorizzi in testo semplice o crittografi tali dati?

Solo le aziende che dispongono delle risorse per disporre dei propri server dovrebbero procedere alla creazione di tali app?


Per quanto riguarda la sicurezza, ipotizzerei lo scenario peggiore: i dati ospitati sono disponibili a chiunque. Le promesse "siamo sicuri" non valgono molto, una volta che il disastro ha colpito.
LennyProgrammers,

@ Lenny222 Sono d'accordo. Sarebbe possibile crittografare i dati ricercabili, ma colpirà le prestazioni.
Abel,

Risposte:


5
  • Devi prima indagare sulla tua responsabilità legale, che differisce da paese a paese. Ad esempio, i dati finanziari nel Regno Unito non possono essere archiviati in un server in un Paese non nel Regno Unito (o in un Paese non UE a seconda di quali siano tali dati).

  • I dati non sono mai sicuri al 100% quando non crittografati, diamine non è nemmeno sicuro al 100% quando crittografati, ma un buon algoritmo di crittografia e mantenere le chiavi belle e sicure lo rendono dannatamente sicuro.

  • Sì, posso consigliare l'hosting di terze parti, soprattutto se non puoi permetterti di creare e mantenere l'infrastruttura del data warehouse. Ancora una volta dipende dai tuoi dati e dalla tua attività.

  • Sempre cifrare frickin tutti i dati che è privato o business critical. Non fidarti mai di terzi :).

  • Tantissime aziende utilizzano l'hosting di dati di terze parti, non è necessario gestire la propria farm. Ovviamente persone come Twitter, Google e Facebook apprezzano così tanto i loro dati da non sognare mai di archiviarli su un host di terze parti.

Spero possa aiutare!


Sì, questo aiuta.
abel

Non ho mai lavorato con la crittografia prima. qualche suggerimento per iniziare?
abel

1
In che lingua stai lavorando con quale DB?
Martijn Verburg,

PHP / MySQL e Python su GAE
abel

1
OK, è fuori dalla mia portata - Avrei crittografato Google Python Data e poi andrei a controllare con i guru su SO o il tuo gruppo di utenti Python locale
Martijn Verburg

3

Dal momento che stai includendo i numeri di carta di credito, potresti voler esaminare gli standard di sicurezza dei dati PCI in uso. Mentre l'articolo di Wikipedia non sembra menzionare host di terze parti, i requisiti per tenere traccia dell'accesso lo rendono inaccettabile. Questo è il minimo necessario per accettare le carte di credito (almeno negli Stati Uniti).

Esistono sufficienti potenziali problemi legali e di conformità che ritengo che l'hosting dei propri server non comporterebbe costi aggiuntivi.


I gateway di pagamento mi aiuteranno a evitarli?
abel

2
@abel: si. Per i pagamenti una tantum, passeresti i dettagli della carta di credito al gateway e non li memorizzeresti mai tu stesso. Se hai bisogno di pagamenti ricorrenti, i gateway offrono vari servizi. ad esempio, uno australiano con cui sto attualmente lavorando ti consente di inviare i dettagli della carta di credito e ottenere un "token" in cambio; memorizzi questo token, che ti consente di attivare un pagamento in futuro. Non memorizzi i dettagli CC, e anche se il token è compromesso, è inutile per chiunque altro perché tutto ciò che può fare è effettuare un pagamento.
Carson63000,

@Carson utile.
Abel,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.