ASP.NET MVC アプリを Windows Azure に移行することを検討していますが、自宅住所などの顧客データを保存するのに SQL Azure が十分安全であるかどうか知りたいです。
私たちは銀行の詳細などを保存しておらず、スケーラビリティ上の理由からクラウドのパワーを活用したいと考えていますが、セキュリティ要因が障害となることは望んでいませんでした。
何かご意見はありますか? それとも、すべての個人データを暗号化し、アクセスするたびに復号化する必要がありますか?
答え1
取り扱うデータを分類し (顧客の名前と自宅住所は PII に該当しますか?)、そのデータを第三者に送信することに関する州および連邦の関連規制を理解することを強くお勧めします。保護されるのは「銀行の詳細」だけではありません。
マサチューセッツ州の法律では、居住者のデータは転送中に暗号化されることが義務付けられている場合があります。201 CM 17.00NV州法では、住民に対しても一部の情報の保護が義務付けられている場合があります。NVを参照してください。SB347。カナダSB1386居住者のデータが「権限のない人物によって取得されたと合理的に考えられる」場合、特定の要件が課せられます。クラウドに暗号化されていないデータがあり、プロバイダーが不特定の侵害を報告した場合、顧客に通知する必要がある可能性があります。
これは、存在するもののほんの一例です。したがって、(1) どのような種類のデータを持っているかを理解し、(2) 法的および規制上の要件を理解して、意思決定に役立ててください。
クラウドに関する詳細情報については、CSAA のそしてそのOWASP クラウド プロジェクト。
答え2
私は、Microsoft、Google などの代表者と小規模なセキュリティ会議に参加したことがあります。彼らに尋ねると、彼らは安全だと言いますが、おそらくその通りでしょう。
セキュリティに関して言えば、彼らのプラットフォームは技術的に不十分だとは思いませんが、Microsoft はユーザーのデータに完全にアクセスできます。ただし、従業員がいつどのようにアクセスできるかを制限する措置は講じています。
クラウドでホストされるアプリケーションは多数ありますが、医療記録など特に機密性の高いものを扱わない限り、クラウドを使用しても安全だと思います。ただし、一部の国ではおそらく違法です。
結局のところ、別の会社にあなたのデータの管理を任せることが大事です。