我正在为一个客户工作,该客户在他们的数据库中保存社会安全号码的记录,这些号码是从筛查中提取的,并从公司和其他财务数据中自动获取。数百万个 SSN 附在姓名、地址、工作历史、工资历史……等上
当我研究他们的代码库时,我一直想知道他们是否需要遵守任何规定。现在 SSN 在数据库中被加密,但任何人都可以使用不安全的密码(像 admin@company.com,密码:admin 一样简单)以管理员身份登录他们面向公众的 Web 应用程序,并以纯文本形式查看它们,并且现有员工可以搜索 SSN 并查看号码持有者的信息。
对于 SSN 和个人信息,是否需要遵循/遵守任何类型的合规性(类似于支付信息的 PCI)?
这是可能没有明确和具体答案的时代之一,但我向你保证,有一个答案。
部分答案可以在 Artog 的评论之一中找到。有一个关于这个主题的 NIST 出版物。更大的担忧是这个...
在每个安全课程中,我们都会讨论谨慎的人规则。问题是“一个谨慎的人会在这种情况下做什么?”
如果这家公司使用不安全的方法来保护可能会伤害人们的数据(SSN、姓名、地址、电话号码、雇主等),他们可能会承担巨大的责任。他们可能对他们造成的任何财务问题负责。
您发布的内容有几个问题:
现实情况是,除非这个数据库属于某种形式的监管/控制,否则不太可能发生变化。因为更改需要花钱,而且企业很可能已经利用您描述的漏洞从数据库中获利。
是的,PCI-DSS。但是,它们不是像 NERC-CIP 这样的联邦授权