認証局から要求された個人データをデータの盗難から保護するにはどうすればよいですか?
最近、パスポートと運転免許証の画像を認証局(CA)にアップロードして、SSL証明書を申請しました。データの盗難を防ぐために透かしを追加したため、送信は拒否されました。透かしはパスポートと運転免許証の重要な詳細をブロックするものではなく、データが盗まれた場合の誤用を防ぐためのものであることを証明書マスターに説明しました。
私が与えられた回答は、これはすべてのCAによる標準的な監査要件であるというものです。もしそうなら、他の人がなんとかしてそれらを入手した場合、どうすれば他の人がそれらの文書を使用して私たちになりすますのを防ぐことができますか?
広範なCAメンバーシップを持つ業界組織であるOnlineTrust Alliance(OTA)は、一連の運用セキュリティを維持しています ベストプラクティス すべてのCAが従う必要があります。ただし、これらのドキュメントは特定のデータ保持ポリシーを推奨しておらず、PII(個人を特定できる情報)を定義しようともしていません。
OTAベストプラクティスの実装はCAごとに異なるため、私が見ることができる最善の行動は、公開されているポリシーとメタ情報に基づいてプロバイダーを選択することから始めることです。 CAのセキュリティ違反に関連するニュース記事。潜在的な候補者が選ばれたら、あなたの懸念と彼らの方針がそれらにどのように対処するかについて具体的に彼らに尋ねてください。
この情報は証明書の発行前のデューデリジェンスでのみ使用されるため、CAがスキャンされたパスポートなどの簡単に悪用されるPIIを無期限に保持する説得力のある理由はありません。