我的创业公司最终面临着处理 PII 的潜在责任,我们关心的是从风险的角度正确地做这件事,但也让我们正确地做这件事。
如果我们想自己做,最好的方法是什么?
我们目前没有安全工程师,但我们在谷歌的云平台上运行相对安全。我们在应用程序安全工作方式方面做出了良好的设计决策,但我们可能必须开始处理 PII,因此我们希望确保它是否处于静止状态时我们被覆盖。
我知道 Google 提供有关其安全性的认证和白皮书,但我猜我们还需要从第三方审核员那里获得我们自己的认证。
从最佳实践和考虑到强制实施,任何关于如何进行此操作的描述都将非常有用。
这是一个非常广泛的问题,所以我建议一个广泛的答案。查看NIST 网络安全框架,这是一个您可以遵循的综合计划,以帮助确保您涵盖所有基础。
因此,我们要确保如果它处于静止状态,我们将被覆盖。
如果您要存储 PII,则需要确保在使用强加密算法(如 AES)存储数据时加密数据,只要算法支持的加密密钥和您的业务需求即可。如果您使用加密来存储数据,那么安全地存储解密/加密密钥至关重要。理想情况下,解密密钥应尽可能与其保护的数据分开存储。如果您的应用程序能够支持使用硬件安全模块 (HSM),那么一定要使用一个。
您要求在保护静态数据时提供一些最佳实践。使用加密保护静态数据时的一些最佳实践,您可能需要考虑实施:
上面的列表只是一些好的做法的建议,并不意味着详尽。最重要的是,如果您不需要存储 PII,请不要存储它。