組織の開発者が顧客のPIIデータをgithubアカウントに保存するという、このデータ侵害に遭遇しました。常識によれば、これは明らかに愚かで不注意なことです。私の質問は、組織が収集した顧客データをどこにどのように保存するかを具体的に規制するセキュリティ基準はありますか? NIST 800-53をチェックして少しグーグルで検索しましたが、明確なガイドラインが見つかりませんでした。たとえば、データベースサーバーをファイアウォールの背後にある制御された内部ネットワーク環境に配置する必要がある場合、データを暗号化するなどです。
データ侵害の例では、データを保護するパスワードのみを使用して、データが公開されているgithubサーバーに配置され、アカウントはおそらく共有されていました。
特定の標準(および段落)への参照が最も役立ちます。
SANSのこのホワイトペーパーでは、ネットワークアーキテクチャとDMZの使用について説明しています。 https://www.sans.org/reading-room/whitepapers/bestprac/infrastructure-security-architectureeffective-security-monitoring-36512 ==
PCI DSSはカード会員データに関連していますが、カード所有者の代わりに「センシティブ」を使用すると、ガイダンスはかなり良いです-要件を参照してください1.3.6カード会員データ(データベースなど)を内部ネットワークゾーンに保存し、DMZおよびその他の信頼できないネットワークから分離します) 。
同様に、PCI DSSは、暗号化の使用について説明しています。
3.4次のいずれかの方法を使用して、保存されている場所(ポータブルデジタルメディア、バックアップメディア、ログなど)でPAN読み取り不能)をレンダリングします。
本番データの保存に関連して、PCIDSSでは以下も必要です。
AndyMacは、顧客のクレジットカードデータを扱う場合に優れた回答を提供します。クレジットカードデータではなく顧客データを処理する場合は、AICPAによって公開されているサービス組織管理( SOC 1、SOC 2 )標準を調べて、追加の信頼できるガイダンスを得ることができます。あなたの投稿の言葉からすると、あなたはサービス組織の立場で働いているように見えるので、このガイダンスはあなたにとって価値があるはずです。
SOC 2の信頼原則の1つは、機密性として定義されます。
不正アクセスや開示から機密情報としてお客様と合意したデータを保護します。
会社が顧客に提供するサービスに応じて、会社の経営陣は、正式な経営陣代表レターで適用されるSOC2信頼原則を決定します。機密性が選択されたものの1つである場合、会社の経営陣は、この document に示されているCCで与えられた基準を満たす管理を実装する必要があります。例として、顧客データの安全な保管は、CC6.1のこの機密性基準によって対処されます。
エンティティは、保護された情報資産に論理アクセスセキュリティソフトウェア、インフラストラクチャ、およびアーキテクチャを実装して、エンティティの目的を達成するためにセキュリティイベントからそれらを保護します。
したがって、顧客データを保護するための方法に関する正確な管理はないかもしれませんが(私の意見では当然そうです)、何データ保護を機密と見なすには、満たす必要があります。これらのSOC2基準は、私のような独立監査人による監査を要求されている顧客に発行されたSOC2レポートのために重要です。