Guardar datos críticos en bases de datos (de terceros)

12

¿Cómo guarda datos de usuario importantes (en cuanto a la privacidad) como el SSN, los números de tarjeta de crédito y las direcciones en las bases de datos?

Escenario:
solo se guardan los datos que deben estar disponibles. Por ejemplo, el SSN se guarda porque la aplicación usa el SSN para identificar un registro en particular. o los detalles de la tarjeta de crédito se guardan para hacer posibles las transacciones con 1 clic. Algunos de estos datos se pueden cifrar y guardar, pero algunos datos deben estar disponibles en texto sin formato (por ejemplo, para la búsqueda de texto completo). La aplicación utiliza hosting de terceros.

Preguntas:
¿Qué tan seguros son dichos datos en texto plano (o de otro modo) en hosts de terceros como HostGator o App Engine?

¿Guarda estos datos en hosts de terceros (y se recomienda esta práctica)?

¿Lo almacena en texto plano o cifra dichos datos?

¿Deberían solo aquellas compañías que tienen los recursos para tener sus propios servidores proceder a construir tales aplicaciones?

Abel
fuente
Con respecto a la seguridad, asumiría el peor de los casos: sus datos alojados están disponibles para cualquier persona. Las promesas de "estamos seguros" no valen mucho, una vez que ha ocurrido el desastre.
LennyProgrammers
@ Lenny222 Estoy de acuerdo. Sería posible encriptar datos de búsqueda, aunque afectará el rendimiento.
abel

Respuestas:

5
  • Primero debe investigar su responsabilidad legal, que difiere de un país a otro. Por ejemplo, los datos financieros en el Reino Unido no pueden almacenarse en un servidor en un país no perteneciente al Reino Unido (o en un país no perteneciente a la UE, dependiendo de cuáles sean esos datos).

  • Los datos nunca son 100% seguros cuando no están encriptados, diablos, ni siquiera son 100% seguros cuando están encriptados, pero un buen algoritmo de encriptación y mantener las claves bien y seguras lo hacen bastante seguro.

  • Sí, puedo recomendar alojamiento en terceros, especialmente si no puede permitirse crear y mantener esa infraestructura de almacenamiento de datos. Nuevamente, depende de sus datos y negocios.

  • Siempre cifre cualquier información que sea privada o crítica para el negocio. Nunca confíes en un tercero :).

  • Toneladas de negocios usan alojamiento de datos de terceros, no necesita ejecutar su propia granja. Por supuesto, personas como Twitter, Google y Facebook valoran tanto sus datos que nunca soñarían con almacenar sus datos en un host de terceros.

¡Espero que ayude!

Martijn Verburg
fuente
Sí, eso ayuda.
abel
No he trabajado con cifrado antes. ¿Algún consejo para empezar?
abel
1
¿En qué idioma estás trabajando con qué DB?
Martijn Verburg
PHP / MySQL y Python en GAE
abel
1
OK, que está fuera de mi liga - Me cifrado de datos de Google Python y luego ir y comprobar con los gurús de SO o su grupo local de usuarios de Python
Martijn Verburg
3

Dado que incluye números de tarjetas de crédito, es posible que desee ver los estándares de seguridad de datos PCI en uso. Si bien el artículo de Wikipedia no parece mencionar hosts de terceros, los requisitos para rastrear el acceso hacen que esto parezca inaceptable. Este es el mínimo necesario para aceptar tarjetas de crédito usted mismo (al menos en los EE. UU.).

Hay suficientes problemas legales y de cumplimiento potenciales que creo que alojar los propios servidores no sería un gasto adicional.

David Thornley
fuente
Las pasarelas de pago me ayudarán a evitar esto.
abel
2
@abel: si. Para pagos únicos, debe pasar los detalles de la tarjeta de crédito a la puerta de enlace y nunca almacenarlos usted mismo. Si necesita pagos recurrentes, las pasarelas ofrecen varios servicios. por ejemplo, un australiano con el que estoy trabajando actualmente le permite enviar detalles de la tarjeta de crédito y obtener un "token" a cambio; almacena este token, que le permite activar un pago en el futuro. No almacena los detalles de CC, e incluso si el token está comprometido, es inútil para cualquier otra persona porque todo lo que puede hacer es pagarle.
Carson63000
@Carson útil.
abel