Sauvegarde des données critiques dans des bases de données (tierces)

Comment enregistrez-vous des données d'utilisateur importantes (en termes de confidentialité) telles que SSN, numéros de carte de crédit et adresses dans des bases de données?

Scénario:
seules les données qui doivent être disponibles sont enregistrées. Par exemple, le SSN est enregistré car l'application utilise le SSN pour identifier un enregistrement particulier. ou les détails de la carte de crédit sont enregistrés pour rendre les transactions en 1 clic possibles. Certaines de ces données peuvent être cryptées et enregistrées, mais certaines données doivent être disponibles en texte brut (par exemple pour la recherche en texte intégral). L'application utilise un hébergement tiers.

Questions:
Dans quelle mesure ces données sont-elles sécurisées en texte brut (ou autre) sur des hôtes tiers tels que HostGator ou App Engine?

Enregistrez-vous ces données sur des hôtes tiers (et cette pratique est-elle recommandée)?

Le stockez-vous en texte brut ou cryptez-vous ces données?

Est-ce que seules les entreprises qui ont les ressources nécessaires pour avoir leurs propres serveurs devraient créer de telles applications?

• Vous devez d'abord enquêter sur votre responsabilité légale - qui diffère d'un pays à l'autre. Par exemple, les données financières au Royaume-Uni ne peuvent pas être stockées sur un serveur dans un pays non britannique (ou non européen selon ce que sont ces données).

• Les données ne sont jamais sécurisées à 100% lorsqu'elles ne sont pas cryptées, sachez qu'elles ne sont même pas 100% sécurisées lorsqu'elles sont cryptées, mais un bon algorithme de cryptage et le maintien de clés agréables et sécurisées le rendent très sécurisé.

• Oui, je peux recommander l'hébergement sur des tiers, surtout si vous ne pouvez pas vous permettre de créer et de maintenir cette infrastructure d'entrepôt de données. Encore une fois, cela dépend de vos données et de votre entreprise.

• Frickin crypte toujours toutes les données privées ou critiques pour l'entreprise. Ne faites jamais confiance à un tiers :).

• Des tonnes d'entreprises utilisent l'hébergement de données tiers, vous n'avez pas besoin de gérer votre propre batterie de serveurs. Bien sûr, des gens comme Twitter, Google et Facebook apprécient tellement leurs données qu'ils n'auraient jamais rêvé de stocker leurs données sur un hôte tiers.

J'espère que cela pourra aider!

Étant donné que vous incluez des numéros de carte de crédit, vous souhaiterez peut-être consulter les normes de sécurité des données PCI en vigueur. Bien que l'article Wikipedia ne semble pas mentionner les hôtes tiers, les exigences de suivi de l'accès rendent cela inacceptable. C'est le minimum nécessaire pour accepter vous-même les cartes de crédit (au moins aux États-Unis).

Il existe suffisamment de problèmes juridiques et de conformité potentiels pour que je pense que l'hébergement de ses propres serveurs ne représenterait pas une dépense supplémentaire.