インディーアプリの開発者がユーザーのデータをハッカーから意図せずに保護しなかった場合、罰金を科せますか?
私は現在、ユーザーが機密データを保存するアプリを開発しており、このデータはインターネットに保存されます(Firebaseまたは同様のサービスを使用します)。
私はできる限りデータを保護するようにします(そして、安全な接続または何かを介して送信します)が、私は情報セキュリティ分野の完全な初心者であり、まだ学んでいますが私のアプリのデータセキュリティが機能しないことを恐れています。
私の質問は、誰かがユーザーのデータにアクセスできた場合、私(アプリ開発者)は罰金を科されるのでしょうか?それとも罰金は国際的なデータセキュリティ違反だけですか?私の場合は意図的なものではないので、データを保護するために最善を尽くします。
別の副次的な質問は次のとおりです。データセキュリティに関連する、注意が必要な規制/標準/要件は何ですか?私はGDPR規制のみを知っています。
まず第一に、インターネット上のQ&Aサイトからの法的アドバイスを信用しないでください。私はnot弁護士ですが、少なくともいくつかの指針を提供できます。
- それは主にあなたの管轄に依存します。サイバーセキュリティに関しては、法的責任は非常に多様です。管轄地でのソフトウェアの法的責任に詳しい法務専門家に相談する必要があります。
- データセキュリティはゲームの一部にすぎません。ハッキングされて個人情報が漏洩することは深刻な問題ですが、それだけではありません。システムが侵害され、他のユーザーを攻撃したり、マルウェアや違法な素材を拡散したりする可能性があります。 DDoS攻撃中にシステムが利用できない場合、ユーザーは損害を受ける可能性があります。リストは続きます。すべてのデータ保護基準に従っているという理由だけで、アプリケーションを安全であると考えないでください。
- 契約を定義する際に自由度があります。繰り返しますが、これは地域の管轄によって異なりますが、通常、ソフトウェアを使用する必要がある、または使用しない必要があるユースケースまたは業界を定義できます。基本的に、あなたは何に対しても責任を負いません、そしてあなたのソフトウェアはどんな目的にも適合しないと言うことができます。クライアントはそれを好まないでしょうが、それはオプションです。目標は、すべての面で機能する中間基盤を見つけることです。契約に不快感を覚えるような責任は含めないでください。繰り返しますが、これは難しい問題です。法律コンサルタントに相談してください。
- チームにソフトウェアセキュリティの専門家を派遣してください。自分で言ったとおり、情報セキュリティの分野の初心者です。標準とセキュリティフレームワークに依存するだけでは、これまでのところ手が届きません。アプリケーションのセキュリティを管理する有能なパートナーがいないと、リスクが高くなります。小規模な開発プロジェクトであり、資金が限られている場合は、セキュリティコンサルタントに限られた時間だけ問い合わせて、最も重要なトピックをカバーしてもらいます。余裕がある場合は、専門家をチームに招いてください。セキュリティに精通した開発者は、セキュリティだけでなく他の開発タスクも支援できます。
- セキュリティ標準について...正直なところ、あなたの説明に基づくと、セキュリティ標準だけではうまくいきません。アプリケーションセキュリティは、物事を正しく行うために長年の経験を必要とする分野であり、それでも困難です。 OWASP、NIST、その他多くのさまざまなセキュリティ標準をリストすることができますが、それらの標準は問題ではありません。それはおそらくあなたが望んでいた答えではありませんが、あなたの状況についての私の正直な意見です。