Estamos analizando la idea de trasladar una aplicación ASP.NET MVC a Windows Azure, pero me interesa saber si SQL Azure es lo suficientemente seguro para almacenar datos de clientes, como sus direcciones particulares, etc.
No almacenamos datos bancarios ni nada por el estilo, y buscamos utilizar el poder de la nube por razones de escalabilidad, pero no queríamos que el factor de seguridad fuera un problema de bloqueo.
¿Alguna idea? ¿O debería cifrar TODOS los datos personales y descifrarlos cada vez que se accede?
Respuesta1
Le recomiendo encarecidamente que clasifique los datos que está manejando (¿el nombre de un cliente y su dirección particular constituyen PII?) y comprenda las regulaciones estatales y federales pertinentes sobre el envío de esos datos a un tercero. No sólo se protegen los "datos bancarios".
La ley estatal de MA puede exigir que los datos estén cifrados en tránsito para cualquier residente. Ver201 CMR 17.00. La ley estatal de Nevada también puede exigir que cierta información esté protegida para los residentes. Ver NVSB347. CaliforniaSB 1386impone ciertos requisitos si "se cree razonablemente que los datos del residente han sido [...] adquiridos por una persona no autorizada". Si tiene datos no cifrados en la nube y un proveedor informa una infracción no especificada, es posible que deba notificar a los clientes.
Esto es sólo una muestra de lo que hay por ahí. Entonces (1) comprenda qué tipo de datos tiene y (2) comprenda cuáles son sus requisitos legales y regulatorios para ayudarlo a tomar una decisión.
Para obtener más información específica de la nube, consulteCSAy elProyecto de nube OWASP.
Respuesta2
He asistido a una pequeña conferencia de seguridad con representantes de Microsoft, Google, etc. Si les preguntas, te dicen que es seguro y probablemente tengan razón.
No creo que sus plataformas sean técnicamente insuficientes en lo que respecta a la seguridad, pero Microsoft tiene acceso total a sus datos. Sin embargo, tienen medidas que limitan cómo y cuándo sus empleados pueden acceder a él.
Hay muchas aplicaciones alojadas en la nube, creo que es seguro usarlas si no tratas con nada particularmente secreto como registros médicos, por ejemplo. Entonces probablemente ni siquiera sea legal en algunos países.
Al final, se trata de confiar en otra empresa para que cuide sus datos por usted.