web-dev-qa-db-ja.com

顧客データを安全に保管する(コンプライアンス)

組織の開発者が顧客のPIIデータをgithubアカウントに保存するという、このデータ侵害に遭遇しました。常識によれば、これは明らかに愚かで不注意なことです。私の質問は、組織が収集した顧客データをどこにどのように保存するかを具体的に規制するセキュリティ基準はありますか? NIST 800-53をチェックして少しグーグルで検索しましたが、明確なガイドラインが見つかりませんでした。たとえば、データベースサーバーをファイアウォールの背後にある制御された内部ネットワーク環境に配置する必要がある場合、データを暗号化するなどです。
データ侵害の例では、データを保護するパスワードのみを使用して、データが公開されているgithubサーバーに配置され、アカウントはおそらく共有されていました。
特定の標準(および段落)への参照が最も役立ちます。

1
MR.Elegant

SANSのこのホワイトペーパーでは、ネットワークアーキテクチャとDMZの使用について説明しています。 https://www.sans.org/reading-room/whitepapers/bestprac/infrastructure-security-architectureeffective-security-monitoring-36512 ==

PCI DSSはカード会員データに関連していますが、カード所有者の代わりに「センシティブ」を使用すると、ガイダンスはかなり良いです-要件を参照してください1.3.6カード会員データ(データベースなど)を内部ネットワークゾーンに保存し、DMZおよびその他の信頼できないネットワークから分離します)

同様に、PCI DSSは、暗号化の使用について説明しています。

3.4次のいずれかの方法を使用して、保存されている場所(ポータブルデジタルメディア、バックアップメディア、ログなど)でPAN読み取り不能)をレンダリングします。

  • 強力な暗号化に基づく一方向ハッシュ(ハッシュはPAN全体のものでなければなりません)。
  • 切り捨て(ハッシュを使用してPANの切り捨てられたセグメントを置き換えることはできません)。
  • インデックストークンとパッド(パッドは安全に保管する必要があります)。
  • 関連するキー管理プロセスと手順を備えた強力な暗号化。

本番データの保存に関連して、PCIDSSでは以下も必要です。

  • 開発/テスト環境は本番環境から分離されており、分離を実施するためのアクセス制御が実施されています。
  • 開発/テスト環境に割り当てられた担当者と実稼働環境に割り当てられた担当者の間の職務の分離。
  • 本番データ(ライブPAN)は、テストや開発には使用されません。
2
AndyMac

AndyMacは、顧客のクレジットカードデータを扱う場合に優れた回答を提供します。クレジットカードデータではなく顧客データを処理する場合は、AICPAによって公開されているサービス組織管理( SOC 1、SOC 2 )標準を調べて、追加の信頼できるガイダンスを得ることができます。あなたの投稿の言葉からすると、あなたはサービス組織の立場で働いているように見えるので、このガイダンスはあなたにとって価値があるはずです。

SOC 2の信頼原則の1つは、機密性として定義されます。

不正アクセスや開示から機密情報としてお客様と合意したデータを保護します。

会社が顧客に提供するサービスに応じて、会社の経営陣は、正式な経営陣代表レターで適用されるSOC2信頼原則を決定します。機密性が選択されたものの1つである場合、会社の経営陣は、この document に示されているCCで与えられた基準を満たす管理を実装する必要があります。例として、顧客データの安全な保管は、CC6.1のこの機密性基準によって対処されます。

エンティティは、保護された情報資産に論理アクセスセキュリティソフトウェア、インフラストラクチャ、およびアーキテクチャを実装して、エンティティの目的を達成するためにセキュリティイベントからそれらを保護します。

したがって、顧客データを保護するための方法に関する正確な管理はないかもしれませんが(私の意見では当然そうです)、データ保護を機密と見なすには、満たす必要があります。これらのSOC2基準は、私のような独立監査人による監査を要求されている顧客に発行されたSOC2レポートのために重要です。

0
Anthony