托管敏感客户端数据的解决方案

Question

我们正在开发一个web应用程序，它将处理客户的高度敏感(财务)数据(受众是中型到大型企业)。客户将受到监管机构和审计师的监督，因此，我们也将受到监督。更重要的是，为了给客户一定程度的安慰，我们的应用程序和相关的托管安排应该向他们灌输很大的信心。

我们正在考虑使用基于云的服务，如Linode、Amazon等。为了实现最大的灵活性，我们热衷于将所有内容都放在虚拟服务器上，并避免不得不购买自己的硬件。

基于云的服务对我们的特定场景有意义吗？如果不是，我们应该考虑什么样的托管？如果是这样的话，我们应该注意什么？

谢谢!

Answer 1

如果没有更多的人手，就很难找到安全的基础设施。您可能无法完全保护存储在诸如Amazon这样的托管环境中的数据。特别是在信用卡存储和PCI方面，通常建议不要在这些环境中存储数据。

即使有一个专用的服务器也不能满足存储数据的PCI要求，因为您需要在物理上保护空间并具有受控的物理访问。

为了满足大多数安全要求，您需要有自己的空间来进行访问控制和物理安全。例如，共享数据中心内的一个完全封闭的笼子可以符合条件。大多数较低级别的产品，如虚拟专用服务器和专用服务器，都不太可能合格。

适用的条例将是数据特有的，这将有助于澄清确切的要求。如果您想了解您要进入的内容，可以查看PCI DSS。

祝好运。

Answer 2

如果你能找到一个审计师批准把敏感的金融数据放在云中，你可能需要停止使用杜威，Cheatem和Howe。严肃地说，敏感数据的托管需要由一家经过SAS 70认证的公司来完成，并允许审计师检查他们的程序(Sungard被认为是一个潜在的来源)。在美国，大多数金融IT审计表格不喜欢听托管这个词，因为它意味着你对数据没有控制权--这是一个问题。从成本的角度来看，我怀疑您会发现，使用托管服务比在某个地方获得共享空间要花费更多。

Answer 3

我怀疑威瑞森的CaaS服务也能做到这一点，而且他们的ROC可以让你在晚上睡觉。他们习惯于处理PCI的遵从性(以及更严格的事情，比如HIPPA和银行想要什么)。不是最便宜的，但他们可以提供很高水平的服务。

免责声明，我是中华民国的SA。