为了我的罪过,我现在负责一系列敏感信息:加密密钥存储策略、网络架构图等。我们很快就会受到 HIPPA 的覆盖,因此痛苦会增加。
不是“管理员密码”敏感的,而是我需要 1) 仅限于一部分人 2) 可审计的东西 - 我需要知道谁从哪里读了这些东西。
我希望存在某种安全的 wiki,最好是托管的安全 wiki,可以对客户数据进行充分加密,以便让我向老板们澄清。
这真的存在吗?人总有梦想,不是吗?
答案1
我觉得你有点本末倒置了。我要做的第一件事是列出一份清单,列出你将根据政策、法规等遵循的要求。听起来你需要首先对静态和动态数据进行加密,同时还要有相对细粒度的访问控制和重要的访问审计/记录功能。
除此之外,您还可以添加对所需的身份验证后端、编辑功能等的任何要求。
然后,根据你的需求,你就可以去寻找合适的工具。
也许 wiki 可以解决部分问题;您可以使用 SSL,大多数 wiki 可以配置为仅允许经过身份验证的用户访问。Wiki 会跟踪更改,这对审计很有帮助 - 谨慎使用各种访问级别可能对构建一个不错的网站大有裨益。这种方法可能失败的地方在于细粒度的访问控制 - 换句话说,确保只有某些人可以看到某些内容,而其他内容则看不到。Wiki 通常不是为此而构建的。最后,我不知道有哪个 wiki 可以处理加密数据存储。
我可能会建议尝试寻找一些专门针对 HIPPA 实施的社区/列表。可能已经有一些你可以使用的东西,但在需要它的社区之外并不为人所知。
答案2
听起来你并不想要一个 wiki - 一个网页任何人可以编辑 - 但 CRM 允许人们登录并更改内容。Joomla 就是这样的优秀,而且你可以很容易地用 SSL 加密它。
答案3
有些 Wiki 允许限制用户。
但安全问题比以往任何时候都更加重要。即使只是针对隐私法规。
为了使云解决方案真正成功,它至少需要具有防黑客和防传票的功能。