Salvando dados críticos em bancos de dados (de terceiros)

12

Como você salva dados importantes do usuário (privacidade), como SSN, números de cartão de crédito e endereços nos bancos de dados?

Cenário:
Somente os dados que precisam estar disponíveis são salvos. Por exemplo, o SSN é salvo porque o aplicativo usa o SSN para identificar um registro específico. ou os detalhes do cartão de crédito são salvos para possibilitar transações com um clique. Alguns desses dados podem ser criptografados e salvos, mas alguns dados precisam estar disponíveis em texto sem formatação (por exemplo, para pesquisa de texto completo). O aplicativo usa hospedagem de terceiros.

Perguntas:
Qual a segurança de tais dados em texto sem formatação (ou não) em hosts de terceiros como HostGator ou App Engine?

Você salva esses dados em hosts de terceiros (e essa prática é recomendada)?

Você o armazena em texto sem formatação ou criptografa esses dados?

Somente as empresas que têm recursos para ter seus próprios servidores devem continuar desenvolvendo esses aplicativos?

encryption privacy abel
fonte
Em relação à segurança, eu assumiria o pior cenário: seus dados hospedados estão disponíveis para qualquer pessoa. As promessas de "estamos seguros" não valem muito, uma vez que o desastre ocorreu.
precisa saber é o seguinte
@ Lenny222 eu concordo. Seria possível criptografar dados pesquisáveis, mas atingirá o desempenho.
abel

Respostas:

5

  • Você precisa investigar sua responsabilidade legal primeiro - o que difere de país para país. Por exemplo, os dados financeiros no Reino Unido não podem ser armazenados em um servidor em um país fora do Reino Unido (ou em um país fora da UE, dependendo de quais sejam esses dados).

  • Os dados nunca são 100% seguros quando não criptografados, mas nem sequer são 100% seguros quando criptografados, mas um bom algoritmo de criptografia e manter as chaves em segurança e segurança tornam-no bastante seguro.

  • Sim, eu posso recomendar hospedagem de terceiros, especialmente se você não puder criar e manter essa infraestrutura de armazém de dados. Novamente, isso depende dos seus dados e negócios.

  • Sempre faça uma criptografia rápida de todos os dados privados ou críticos para os negócios. Nunca confie em terceiros :).

  • Toneladas de empresas usam hospedagem de dados de terceiros, você não precisa executar seu próprio farm. É claro que pessoas como twitter, Google e Facebook valorizam tanto seus dados que nunca sonharam em armazená-los em um host de terceiros.

Espero que ajude!

Martijn Verburg
fonte
Sim, isso ajuda.
abel
Eu não trabalhei com criptografia antes. algum ponteiro para me começar?
abel
1
Em qual idioma você está trabalhando com qual banco de dados?
Martijn Verburg
PHP / MySQL e Python no GAE
abel
1
OK, isso é fora do meu alcance - eu tinha a criptografia de dados do Google Python e depois ir e verificar com gurus sobre SO ou o seu grupo local Python usuário
Martijn Verburg
3

Como você inclui números de cartão de crédito, convém consultar os padrões de segurança de dados PCI em uso. Embora o artigo da Wikipedia não pareça mencionar hosts de terceiros, os requisitos para rastrear o acesso tornam isso inaceitável. Este é o mínimo necessário para aceitar você mesmo os cartões de crédito (pelo menos nos EUA).

Existem muitos problemas legais e de conformidade em potencial que eu acho que hospedar os próprios servidores não seria uma despesa adicional.

David Thornley
fonte
Os gateways de pagamento me ajudarão a evitá-los?
abel
2
@abel: sim. Para pagamentos únicos, você passaria os detalhes do cartão de crédito para o gateway e nunca os armazenaria. Se você precisar de pagamentos recorrentes, os gateways oferecem vários serviços. por exemplo, um australiano com o qual estou trabalhando atualmente permite enviar detalhes do cartão de crédito e receber um "token" em troca; você armazena esse token, o que permite acionar um pagamento no futuro. Você não armazena os detalhes do CC e, mesmo que o token seja comprometido, ele é inútil para qualquer outra pessoa, pois tudo o que pode fazer é fazer um pagamento a você.
Carson63000
@Carson útil.
abel