個人を特定できる情報(PII)をスタートアップとして処理する方法は?
私のスタートアップはついにPIIを処理する潜在的な責任に直面し、リスクの観点から適切に処理することに加えて、これを正しく実行することにも関心があります。
私たちが自分でやりたいのであれば、どのような方法が最善でしょうか?
現在、セキュリティエンジニアはいませんが、Googleのクラウドプラットフォームで比較的安全に運用しています。アプリのセキュリティが機能する方法については適切な設計上の決定を行いましたが、PIIの処理を開始する必要がある場合があるため、それが静止している場合でも確実にカバーされるようにします。
Googleが認定とセキュリティに関するホワイトペーパーを提供していることは知っていますが、第三者監査人からも独自に取得する必要があると思います。
これを実行する方法の説明は、ベストプラクティスや考慮事項から必須の実装まで、非常に役立ちます。
これは非常に幅広い質問なので、幅広い回答を提案します。 NIST Cybersecurity Framework をご覧ください。これは、すべての基盤を確実にカバーするために役立つ包括的な計画です。
ですから、それが静止している場合でもカバーされることを確認したいと思います。
PIIを保存する場合は、アルゴリズムとビジネスニーズでサポートされている暗号化キーを使用して、AESなどの強力な暗号化アルゴリズムを使用してデータを保存するときに、データが確実に暗号化されるようにする必要があります。暗号化を使用してデータを保存する場合復号化キー/暗号化キーを安全に保存することが重要です。理想的には、復号化キーはデータから分離してできるだけ保護して保存する必要があります。アプリケーションがハードウェアセキュリティモジュール(HSM)の使用をサポートできる場合は、必ず1つを使用してください。
保管中のデータを保護するときに、いくつかのベストプラクティスを求めました。暗号化を使用して保存データを保護する場合のベストプラクティスのいくつかを実装することを検討してください。
- 独自の暗号化方式を自作しないでください
- 常にAES 256やRSAなどの強力な暗号化アルゴリズムを使用する
- 必要な場合ソルト付きのハッシュ形式でパスワードを保存します
- 暗号化キーを定期的に変更する
上記のリストは、いくつかの優れたプラクティスの提案にすぎず、すべてを網羅しているわけではありません。何よりもPIIを保存する必要がある場合は保存しないでください。