我们正在研究将 ASP.NET MVC 应用程序迁移到 Windows Azure 的想法,但我想知道 SQL Azure 是否足够安全,可以让我存储客户数据,例如他们的家庭住址等。
我们不存储银行详细信息或类似的东西,并希望利用云的强大功能实现可扩展性,但不希望安全因素成为阻碍问题。
有什么想法吗?或者我应该加密所有个人数据并在每次访问时解密?
答案1
我强烈建议您对您处理的数据进行分类(客户的姓名和家庭住址是否构成 PII?),并了解有关将这些数据发送给第三方的相关州和联邦法规。受保护的不仅仅是“银行详细信息”。
马萨诸塞州法律可能要求任何居民的数据在传输过程中加密。请参阅201 医疗费用 17.00。内华达州法律可能也要求保护居民的某些信息。请参阅内华达州SB347。加州SB 1386如果居民的数据“被合理地认为已被未经授权的人获取”,则将施加某些要求。如果您在云中拥有未加密的数据,并且提供商报告了未指定的违规行为,您可能必须通知客户。
这只是一些示例。因此,(1) 了解您拥有哪些类型的数据,(2) 了解您的法律和监管要求,以帮助您做出决策。
答案2
我曾经参加过一个小型安全会议,有来自微软、谷歌等公司的代表。如果你问他们,他们会说它是安全的,而且他们可能是对的。
我不认为他们的平台在安全方面技术上不够完善,但微软确实可以完全访问您的数据。不过,他们确实有措施限制员工访问数据的方式和时间。
云端托管着许多应用程序,我认为如果您不处理任何特别机密的内容(例如医疗记录),使用它们是安全的。但在某些国家,这甚至可能不合法。
最终,您需要信任另一家公司来为您管理数据。