@
1年前 提问
1个回答

开发人员怎么保护 PII

007bug
1年前

PII即是个人身份信息,从名称中可以看出,PII处理的是一种允许某人识别特定人的数据。开发人员保护PII的措施如下:

  • 尽最大可能分割数据环境。将数据库放置在单独的服务器,单独的VLAN或单独的防火墙后面,以阻止即兴演奏,特别是在内部网络上。

  • 禁用登录表单中的自动完成功能,以防止笔记本电脑不安全(即没有全盘加密)的人在丢失或笔记本电脑失窃时公开其登录凭据。它不是万无一失的,但可以提供帮助。

  • 注意您的会话管理。永远不要让旧的会话重复使用,并始终检查每个会话以确保其合法性。

  • 全面实施SSL在站点的任何位置期间。

  • 在进行开发,质量检查,功能和安全性测试之后,请禁用生产中的所有测试帐户。

  • 验证您的输入!可以说,导致暴露PII的最大监督是SQL Injection。输入验证还有助于跨站点脚本编写,URL重定向和其他可能间接影响PII的输入篡改。

  • 一定要让用户选择设置强密码。看到拥有巨额营销预算的大公司以安全为荣,却不允许你在密码中使用像特殊字符或数字这样简单的东西,这真是令人沮丧

  • 甚至不给用户选项集密码,例如abc123或123456。可悲的是,我经常看到这种情况。如果您允许他们,他们一定会这样做。