من یک نقص داده ای را در بر داشتم که در آن توسعه دهندگان یک سازمان برخی از اطلاعات مشتری PII را در حساب github خود ذخیره کردند. حس مشترک به من می گوید که این چیزی است که به وضوح احمقانه و بی دقت است.
سوال من این است که آیا استانداردهای امنیتی وجود دارد که به طور خاص تنظیم می کند که چگونه و چگونه سازمان باید داده های مشتری ذخیره شده را ذخیره کند؟ من NIST 800-53 را بررسی کرده ام و کمی زحمت کشیدم ولی هیچ راهنمایی روشن نداشتم. مانند مثال اگر سرور پایگاه داده باید در محیط شبکه داخلی کنترل شده پشت فایروال باشد، داده ها رمزگذاری شده و غیره
در مثال نقض اطلاعات، داده ها به سرور عمومی github با تنها یک رمز عبور محافظت از داده ها گذاشته شد و احتمالا این حساب احتمالا به اشتراک گذاشته شد.
هر گونه مراجعه به استانداردهای خاص (و پاراگرافها) بیشتر مفید خواهد بود.
